Servus,
habe seit ein paar Tage dutzende Einträge wie diese im Logbuch:
oder
Das was mir am meisten Sorgen dabei macht, ist dass die IP's nicht zu meinen Servern gehören und IPSec somit eigentlich nicht aktiv sein sollte.
Versucht hier jemand ein DoS auf meinen IPSec Dienst? Der Hostname "iris" gehört einem Server von mir, nur die IP's die die Verbindung versuchen stimmen nicht.
Grüße,
BK
habe seit ein paar Tage dutzende Einträge wie diese im Logbuch:
Code:
Jan 7 11:51:56 hades pluto[1552]: "iris"[2399] xxx.xxx.42.4 #2401: next payload type of ISAKMP Identification Payload has an unknown value: 217
Jan 7 11:51:56 hades pluto[1552]: "iris"[2399] xxx.xxx.42.4 #2401: probable authentication failure (mismatch of preshared secrets?): malformed payload in packet
Jan 7 11:51:56 hades pluto[1552]: | payload malformed after IV
Jan 7 11:51:56 hades pluto[1552]: | 49 f4 cd 8e fd e9 94 74 11 3d 4c d0 03 16 c4 2f
Jan 7 11:51:56 hades pluto[1552]: | d0 5a c5 7c
Jan 7 11:51:56 hades pluto[1552]: "iris"[2399] xxx.xxx.42.4 #2401: sending notification PAYLOAD_MALFORMED to xxx.xxx.42.4:500
oder
Code:
Jan 7 11:02:57 hades pluto[1552]: packet from xxx.xxx.150.210:38981: ignoring unknown Vendor ID payload [01528bbbc00696121849ab9a1c5b2a5100000001]
Jan 7 11:02:57 hades pluto[1552]: packet from xxx.xxx.150.210:38981: ignoring Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000009]
Jan 7 11:02:57 hades pluto[1552]: packet from xxx.xxx.150.210:38981: received Vendor ID payload [RFC 3947] meth=109, but port floating is off
Jan 7 11:02:57 hades pluto[1552]: packet from xxx.xxx.150.210:38981: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n] meth=106, but port floating is off
Jan 7 11:02:57 hades pluto[1552]: packet from xxx.xxx.150.210:38981: ignoring Vendor ID payload [FRAGMENTATION]
Jan 7 11:02:57 hades pluto[1552]: packet from xxx.xxx.150.210:38981: ignoring Vendor ID payload [MS-Negotiation Discovery Capable]
Jan 7 11:02:57 hades pluto[1552]: packet from xxx.xxx.150.210:38981: ignoring Vendor ID payload [Vid-Initial-Contact]
Jan 7 11:02:57 hades pluto[1552]: packet from xxx.xxx.150.210:38981: ignoring Vendor ID payload [IKE CGA version 1]
Jan 7 11:02:57 hades pluto[1552]: packet from xxx.xxx.150.210:38981: af+type of ISAKMP Oakley attribute has an unknown value: 16384
Jan 7 11:02:57 hades pluto[1552]: "iris"[2394] xxx.xxx.150.210 #2396: responding to Main Mode from unknown peer xxx.xxx.150.210
Jan 7 11:02:57 hades pluto[1552]: "iris"[2394] xxx.xxx.150.210 #2396: policy does not allow Extended Authentication (XAUTH) of initiator (we are responder). Attribute OAKLEY_AUTHENTICATION_METHOD
Jan 7 11:02:57 hades pluto[1552]: "iris"[2394] xxx.xxx.150.210 #2396: policy does not allow Extended Authentication (XAUTH) of initiator (we are responder). Attribute OAKLEY_AUTHENTICATION_METHOD
Jan 7 11:02:57 hades pluto[1552]: "iris"[2394] xxx.xxx.150.210 #2396: OAKLEY_DES_CBC is not supported. Attribute OAKLEY_ENCRYPTION_ALGORITHM
Jan 7 11:02:57 hades pluto[1552]: "iris"[2394] xxx.xxx.150.210 #2396: OAKLEY_DES_CBC is not supported. Attribute OAKLEY_ENCRYPTION_ALGORITHM
Jan 7 11:02:57 hades pluto[1552]: "iris"[2394] xxx.xxx.150.210 #2396: no acceptable Oakley Transform
Jan 7 11:02:57 hades pluto[1552]: "iris"[2394] xxx.xxx.150.210 #2396: sending notification NO_PROPOSAL_CHOSEN to xxx.xxx.150.210:38981
Jan 7 11:02:57 hades pluto[1552]: "iris"[2394] xxx.xxx.150.210: deleting connection "iris" instance with peer xxx.xxx.150.210 {isakmp=#0/ipsec=#0}
Das was mir am meisten Sorgen dabei macht, ist dass die IP's nicht zu meinen Servern gehören und IPSec somit eigentlich nicht aktiv sein sollte.
Versucht hier jemand ein DoS auf meinen IPSec Dienst? Der Hostname "iris" gehört einem Server von mir, nur die IP's die die Verbindung versuchen stimmen nicht.
Grüße,
BK