{"id":228875,"date":"2020-02-29T00:04:00","date_gmt":"2020-02-28T23:04:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=228875"},"modified":"2020-02-28T20:05:32","modified_gmt":"2020-02-28T19:05:32","slug":"aktuell-laufen-tcp-christmas-tree-attacks-29-2-2019","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/02\/29\/aktuell-laufen-tcp-christmas-tree-attacks-29-2-2019\/","title":{"rendered":"Aktuell laufen TCP Christmas Tree Attacks (29.2.2019)"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Kurzer Hinweis f\u00fcr Admins von Firmennetzwerken. Aktuell scheinen sich wieder sogenannte Christmas Tree Attacks \u00fcber TCP zu h\u00e4ufen. K\u00f6nnte sich irgend etwas mit Internet zusammen brauen. <\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg08.met.vgwort.de\/na\/80f5f3fa387d484eac0fb2a90320e14e\" width=\"1\" height=\"1\"\/>Thomas B. hat mich heute per E-Mail auf eine entsprechende Beobachtung aufmerksam gemacht. Er schrieb mir:<\/p>\n<blockquote>\n<p>TCP Christmas Tree attacks<\/p>\n<p>solche  <\/p>\n<p>02\/28\/2020 09:41:35 267 Security Services&nbsp; <br \/>Alert 66.225.225.225, 42905, X1 178.27.108.16, 443 tcp<br \/>TCP Flag(s): PSH SYN<br \/>TCP Xmas Tree dropped  <\/p>\n<p>Angriffe auf Port 80 und 443 laufen seit einigen Tagen massiv auch von anderen IP Adresse weltweit. In einigen Foren ist das auch bereits seit 14 Tagen aufgefallen. M\u00f6glicherweise wird da etwas im gro\u00dfen Stil vorbereitet?  <\/p>\n<p>In der Vergangenheit f\u00e4llt so was ab und zu mal auf, bleibt aber ein Einzelfall. Seit Tagen sehe ich das auf Firewalls latent.<\/p>\n<\/blockquote>\n<p>Bei einer Forensuche bin ich beispielsweise auf <a href=\"https:\/\/community.spiceworks.com\/topic\/2257104-lots-of-tcp-xmas-tree-dropped-messages-should-i-be-concerned\" target=\"_blank\" rel=\"noopener noreferrer\">diesen Spiceworks-Eintrag<\/a> vom 11. Februar 2020 gesto\u00dfen:&nbsp;&nbsp; <\/p>\n<blockquote>\n<p>Lots of \"TCP XMAS Tree Dropped\" messages, should I be concerned?<\/p>\n<p>Hi everyone. I'm entry level IT and still learning the ropes, so excuse what might be an easy question.  <\/p>\n<p>I like reading the SonicWall log emails we get that detail the goings and comings in our network and have been noticing quite a few \"TCP Xmas tree dropped\" logs.  <\/p>\n<p>There will be about 7-9 in a single log email, all in a row.  <\/p>\n<p>The first time I noticed it, yesterday, the IP address was coming from Virginia, US. Later in the day, we had some but this time coming from a Netherlands IP address. Later, we had a lot but this time coming from a Swedish IP. And then today, we have the same coming from a Philippine IP address.  <\/p>\n<p>I've read a little about \"Christmas tree packets\" and how they're used but not exactly sure what's going on here and if we should be taking extra measures or just monitoring or something else.  <\/p>\n<p>Thanks!<\/p>\n<\/blockquote>\n<p>Hinter dem Begriff <a href=\"https:\/\/en.wikipedia.org\/wiki\/Christmas_tree_packet\" target=\"_blank\" rel=\"noopener noreferrer\">Christmas tree packet<\/a> verbirgt sich ein speziell gestaltetes TCP-Paket, welches zum 'Fingerprinting' genutzt werden kann, um die M\u00f6glichkeiten der TCP-Infrastruktur auszuforschen. In <a href=\"https:\/\/www.professormesser.com\/security-plus\/sy0-401\/christmas-tree-attack-2\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Artikel<\/a> hier hei\u00dft es dann auch: Ein Christmas Tree Attack ist ein sehr bekannter Angriff, der darauf abzielt, ein sehr spezifisch gestaltetes TCP-Paket an ein Ger\u00e4t im Netzwerk zu senden. Keine Ahnung, was dahinter steckt \u2013 seht es einfach mal als Information. Wenn sich was zusammen braut, werden wir es schon erfahren. <\/p>\n","protected":false},"excerpt":{"rendered":"<p>Kurzer Hinweis f\u00fcr Admins von Firmennetzwerken. Aktuell scheinen sich wieder sogenannte Christmas Tree Attacks \u00fcber TCP zu h\u00e4ufen. K\u00f6nnte sich irgend etwas mit Internet zusammen brauen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-228875","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/228875","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=228875"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/228875\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=228875"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=228875"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=228875"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}