ComputerBase Menü
Aktuelles

merkwürdige Kommunikation zu Akamai-, Level3- und Limelight-Adressen?

Hellstorm

Hellstorm

Cadet 4th Year
Registriert
Nov. 2008
Beiträge
100
Hallo zusammen,

vor kurzem bin ich in unseren Proxy-Logs auf merkwürdige Kommunikationen einzelner Clients zu diversen IP-Adressen gestoßen. Das Datenvolumen liegt offensichtlich auch bei mehreren 100MB pro Tag.

Das Ganze sieht im Proxy (anonymisiert) ungefähr so aus:

Code: 
Mon Sep  1 09:17:15 2014    242 [CLIENT_IP] TCP_MISS/200 458 POST http://8.27.3.9/idle/kjhAKDSD987asdjxha/77 [PROXY_USERNAME] FIRST_UP_PARENT/[PROXY_IP] application/x-fcs
Mon Sep  1 09:17:15 2014    279 [CLIENT_IP] TCP_MISS/200 458 POST http://8.27.3.9/idle/kjhAKDSD987asdjxha/78 [PROXY_USERNAME] FIRST_UP_PARENT/[PROXY_IP] application/x-fcs
Mon Sep  1 09:17:16 2014   1142 [CLIENT_IP] TCP_MISS/200 266703 POST http://8.27.3.9/idle/kjhAKDSD987asdjxha/79 [PROXY_USERNAME] FIRST_UP_PARENT/[PROXY_IP] application/x-fcs
Mon Sep  1 09:17:17 2014    271 [CLIENT_IP] TCP_MISS/200 39883 POST http://8.27.3.9/idle/kjhAKDSD987asdjxha/80 [PROXY_USERNAME] FIRST_UP_PARENT/[PROXY_IP] application/x-fcs

Viele POST-Anfragen haben also eine größe von 458 Bytes, einige sind aber auch mehrere hundert KB groß - ohne ersichtlichen Grund.

Das Protokoll lässt sich auf das RTMP (Real Time Messaging Protocol) festnageln. Da der Datenverkehrt aber SSL/TLS verschlüsselt ist, hab ich keine Ahnung, was in den Paketen steckt. Diese Gespräche finden auch schon seit langer Zeit statt, wie man sieht.

Paranoia hin oder her - kennt irgendjemand das Problem? Die Sache erscheint mir suspekt. Es gibt keine Erklärung, warum auf diesem Weg solche Datenmengen hochgeladen werden. Ich kenne auch kein verwendetes Programm, was es erklären würde. Software- oder OS-Updates erfolgen bei uns über ein Asset Management und nicht über die Update-Seiten der Hersteller.

Für Trojaner oder Bots wäre diese Kommunikationsmethode ja auch nicht verwunderlich. Immerhin bekäme man über RTMP prima seine Daten durch Firewall/Proxy geschleust. Und durch die Verschlüsselung errät auch keiner um was für Daten es sich handelt...
 
Das 8.0.0.0/8er Netz nutzt zum Beispiel Hamachi zum Tunneln. Hab mir den Traffic noch nie genauer ausgeschaut aber das wäre ein Anhaltspunkt.
 
Die url im Screenshot führt zu Level3 Communication.
Auszug aus dem Wikipedia-Artikel zu dieser Firma:
"Nach einem Bericht der Süddeutschen Zeitung ist das Unternehmen in internen Dokumenten des britischen Geheimdienstes aus dem Jahr 2009 als eine jener Telekomfirmen aufgeführt, die „den geheimen Diensten beim Ausspähen helfen oder helfen müssen“.[5] Vorwürfen, wonach Level 3 innerhalb Deutschlands Daten zur Weitergabe an die amerikanische NSA abgegriffen habe,[6] trat das Unternehmen im August 2013 mit der Aussage entgegen, Level 3 gewähre keiner nichtdeutschen Regierung Zugang zu ihrem Telekommunikationsnetz oder ihren Einrichtungen in Deutschland und habe solchen auch in der Vergangenheit nicht gewährt.[7]"
Quelle
 
Vielleicht schaut da jemand Streams? Da wird RTMP auch genutzt und würde die Datenmengen erklären.
Evtl auch verschlüsselte Video-Konferenz?
 
o_O

Es hatte ja auch niemand die Absicht eine Mauer zu bauen...

Zumindest schon einmal 1:0 für eine nicht-legitime Kommunikation.
Ergänzung ()

ZeroCoolRiddler schrieb:
Vielleicht schaut da jemand Streams? Da wird RTMP auch genutzt und würde die Datenmengen erklären.
Evtl auch verschlüsselte Video-Konferenz?
Zum Vergrößern anklicken....

Es sind auch User, die keine Videokonferenzen führen. Solche Dinge habe ich auch schon in Verdacht gehabt, aber lies sich bisher nicht bestätigen. Daher bleibt es mysteriös.
 
Die neusten Kinofilme wärend der Arbeit schauen?:D
 
Gibt es bei euch eine Regelung, die die Auswertung der Logs erlaubt? Wenn ja, dann frag die entsprechenden User doch einfach mal. Wenn nicht, dann blockier die Verbindungen mit Verdacht auf nicht zugelassene Kommunikation, ggf. sogar ein Sicherheitsvorfall.
 
DunklerRabe schrieb:
Gibt es bei euch eine Regelung, die die Auswertung der Logs erlaubt? Wenn ja, dann frag die entsprechenden User doch einfach mal. Wenn nicht, dann blockier die Verbindungen mit Verdacht auf nicht zugelassene Kommunikation, ggf. sogar ein Sicherheitsvorfall.
Zum Vergrößern anklicken....

Entsprechende Sicherheitsrichtlinien haben wir. Momentan versuche ich auch zeitnah entsprechende User zu erwischen. Problem ist, dass ich die Kommunikation wirklich ad hoc erwischen muss. Sind seitdem 10 Minuten vergangen, weiß der User i.d.R. schon nicht mehr 100%ig, was er z.B. 9:43 Uhr am Computer gemacht hat. Aber ich hab mir ja extra eine regular Expression für den URL gebaut...
 
Da hat jemand eine VPN-Tunnel auf. Was da geht kann dir nur die Person sagen die den Tunnel aufbaut. Kann alles sein.
Ergänzung ()

Versuch den Absender zu identifizieren und stelle den zur Rede. Mehr kannste nicht machen.
 
fatal_error schrieb:
Da hat jemand eine VPN-Tunnel auf. Was da geht kann dir nur die Person sagen die den Tunnel aufbaut. Kann alles sein.
Ergänzung ()

Versuch den Absender zu identifizieren und stelle den zur Rede. Mehr kannste nicht machen.
Zum Vergrößern anklicken....

Vorher absichern ob der Mitarbeiter überhaupt bespitzelt werden darf :D
 
marzk schrieb:
Vorher absichern ob der Mitarbeiter überhaupt bespitzelt werden darf :D
Zum Vergrößern anklicken....

Ja, das ist, in der Tat, wichtig.

Wenn du die User nicht erwischst oder die dir nicht sagen können was das genau war, dann blockier die Verbindungen einfach. Es dürfte ja relativ unwahrscheinlich sein, dass das zum normalen Betrieb gehörender Traffic ist. Wenn doch, dann wird sich schon jemand beschweren. Wenn nicht, dann beschwert sich vielleicht auch jemand und sorgt dann aber für ein paar Lacher! :)
 
Hört sich in der Tat nach irgendwas mit Streaming aus oder in die cloud an.
Ist die Ziel IP immer die gleiche?
Verdächtig finde ich es aber schon das Daten nach Amerika zu level3 gesendet werden. Die Arbeiten schon länger sehr Stark mit der NSA zusammen. Dort werden auch viele Regierungsserver betrieben. (www.gsa.gov)
 
Zuletzt bearbeitet:
Stichproben darf man immer machen. Und es gibt hier auch sogar einen Grund. Es ich nicht die normale Firmenkommunikation. Natürlich darf nicht in die Privatsphäre des Mitarbeiter eingedrungen werden. Hier kommen aber Firmenvertrag (Umgang mit dem Internet) und Firmensicherheit zum tragen.
 
Zuletzt bearbeitet:
Unsere User müssen dafür unterschreiben, dass die Computer nicht für private Zwecke genutzt werden dürfen. Von daher haben wir rechtlich zumindest einige Optionen offen, bzw. stehen nicht mehr auf ganz so glattem Eis.
Einige IP-Adressen habe ich im Proxy auch schon gesperrt - beschwert hat sich bisher keiner. Alle IP-Adressen habe ich aber noch nicht erwischt, ich warte nun wie gesagt erst einmal, bis ich ad hoc eine Kommunikation bemerke. Ich mag auch nur ungern auf blauen Dunst dem User den Rechner wegnehmen um ihn hier zu zerlegen. Sollte ich allerdings am Telefon dann erkennen, bzw. heraushören, dass der Traffic in der Tat nicht beabsichtigt ist, schmerzt mich das recht wenig einem User mal eben seine Arbeitsgrundlage zu entziehen.
Ergänzung ()

Nachtrag: Zwei neue Clients "live" entdeckt, jedoch keine Zusammenhänge in Software o.Ä., keine Konferenzen, Uploads oder Videos...
Ich glaube, ich ziehe mal zwei Festplatten ein.
Ergänzung ()

Die Aufrufe finden statt, wenn ich z.B. http://www.automobil-industrie.vogel.de/ mit dem IE aufrufe. Ebenso bei Chrome. Nur bei Firefox nicht.
Ich mache hier auch noch viele andere Seiten pauschal verantwortlich, tippe aber aller Wahrscheinlichkeit nach auf die Werbung auf diversen seiten.
Ich werde nun erst einmal per RegEx diese URLs verbieten und dann bleibt abzuwarten, was passiert.

Ich verstehe nur dennoch nicht den Grund, warum diverse Seiten, oder Werbung solche Methoden verwendet...
Evtl. kann man den User damit besser mit Werbung vollbomben, ich hak' da mal nach.
 
Einfach den IP Range 8.0.0.0/8 im Proxy oder in der Firewall blocken und gut ist. Es ist unwahrscheinlich das dort wirklich was liegt was ihr braucht.
 
Außer den 2 Subnetzen von Google... ok, was außer den 2 Nameservern sie da noch betreiben weiß ich nicht genau, aber wär durchaus möglich das da mehr von ihren Diensten liegt.

Auch beim Rest ist die Frage an wen Level3 die IPs evtl. weitervermietet hat, sind ja schließlich Netzanbieter (wenn auch eigentlich eher für Backbones)
 
Du kannst nicht einfach ganze /8 Netze blockieren, das ist die etwas zu große Keule :D
Vielleicht sind das die Adressen von irgendwelchen CDN Betreibern, die für x andere Firmen arbeiten. Ob Level 3 in dem Business was macht weiß ich nicht, Akamai aber mal definitiv.
 
Nee, ich denke mal, ich werde da einfach ne entsprechende RegEx drauf bauen. Der URL dafür hat ja ein erkennbares Muster. Ich werd trotzdem mal nachforschen, was das für ein Müll ist. Kann ja nicht angehen, dass, für was auch immer, da so ne Menge an Daten rausgeht. Mich würde vorallem auch mal interessieren, ob das der Seitenbetreiber weiß.
Ich werde mir wohl mal auch die Mühe machen, die gesamten Proxy Logs für Februar per Script auszuwerten, wieviele MB/GB das sind.
Zumindest bin ich soweit schon einmal froh, dass es mit sehr hoher Sicherheit kein Virus ist.

Btw... wer die Regex mal auf eigene Proxy Logs anwenden will:

Code: 
cat logfile | egrep -e "TCP_MISS.*http://[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}(:[0-9]{2,5}/|/)(idle|open|send|close)/[0-9a-zA-Z_]*/[0-9]{1,4}"

(Wenn ich das jetzt nicht verdreht habe)
 
Du kannst nicht einfach ganze /8 Netze blockieren, das ist die etwas zu große Keule
Zum Vergrößern anklicken....
Kann ich und habe ich schon. Bis heute keine Auswirkungen, außer massiv weniger Spambots und Müll in den Postfächern.
Ist vielleicht nicht 100% vergleichbar aber von dem gigantischen Adressraum im Internet nutzt man eh nur einen winzigen Teil.
 
DunklerRabe schrieb:
Du kannst nicht einfach ganze /8 Netze blockieren, das ist die etwas zu große Keule :D
Zum Vergrößern anklicken....
Masamune2 schrieb:
Kann ich und habe ich schon.
Zum Vergrößern anklicken....

Kommt immer ganz auf den Boss der IT bzw. IT-Sicherheit an. Manch einer erlaubt es, andere wollen stichhaltige Begründungen ohne wenn und aber.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

F
ASUS DSL-AC68U verbindet sich nicht mit VDSL
Antworten
12
Aufrufe
12.308
Hakubaku
H
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz