[nsp-sec] SNMP probes or backacatter? Re: comcast?
Eric Ziegast
ziegast at isc.org
Thu Dec 22 12:46:00 EST 2011
While the attack is out there now, it makes me want to look in darknet
data from SNMP. Stuff I see:
$ tcpdump -i eth1.14 -n port 161 | anonymize_my_destination
> tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
> listening on eth1.14, link-type EN10MB (Ethernet), capture size 65535 bytes
> 09:24:16.782661 IP 68.193.244.83.64367 > 10.1.92.199.161: GetRequest(64) .1.3.6.1.2.1.25.3.2.1.5.1 .1.3.6.1.2.1.25.3.5.1.1.1 .1.3.6.1.2.1.25.3.5.1.2.1
> 09:24:22.769432 IP 68.193.244.83.64367 > 10.1.92.199.161: GetRequest(64) .1.3.6.1.2.1.25.3.2.1.5.1 .1.3.6.1.2.1.25.3.5.1.1.1 .1.3.6.1.2.1.25.3.5.1.2.1
> 09:24:28.767747 IP 68.193.244.83.64367 > 10.1.92.199.161: GetRequest(64) .1.3.6.1.2.1.25.3.2.1.5.1 .1.3.6.1.2.1.25.3.5.1.1.1 .1.3.6.1.2.1.25.3.5.1.2.1
> 09:24:34.767693 IP 68.193.244.83.64367 > 10.1.92.199.161: GetRequest(64) .1.3.6.1.2.1.25.3.2.1.5.1 .1.3.6.1.2.1.25.3.5.1.1.1 .1.3.6.1.2.1.25.3.5.1.2.1
> 09:24:50.438519 IP 187.143.128.153.51033 > 10.0.8.200.161: GetRequest(62) .1.3.6.1.2.1.25.3.2.1.5.1 .1.3.6.1.2.1.25.3.5.1.1.1 .1.3.6.1.2.1.25.3.5.1.2.1
> 09:24:57.294547 IP 187.143.128.153.51033 > 10.0.8.200.161: GetRequest(62) .1.3.6.1.2.1.25.3.2.1.5.1 .1.3.6.1.2.1.25.3.5.1.1.1 .1.3.6.1.2.1.25.3.5.1.2.1
> 09:25:03.302854 IP 187.143.128.153.51033 > 10.0.8.200.161: GetRequest(62) .1.3.6.1.2.1.25.3.2.1.5.1 .1.3.6.1.2.1.25.3.5.1.1.1 .1.3.6.1.2.1.25.3.5.1.2.1
> 09:25:09.311938 IP 187.143.128.153.51033 > 10.0.8.200.161: GetRequest(62) .1.3.6.1.2.1.25.3.2.1.5.1 .1.3.6.1.2.1.25.3.5.1.1.1 .1.3.6.1.2.1.25.3.5.1.2.1
> 09:27:02.168314 IP 142.68.4.80.1029 > 10.0.177.27.161: GetRequest(63) .1.3.6.1.2.1.25.3.2.1.5.1 .1.3.6.1.2.1.25.3.5.1.1.1 .1.3.6.1.2.1.25.3.5.1.2.1
> 09:27:08.445103 IP 142.68.4.80.1029 > 10.0.177.27.161: GetRequest(63) .1.3.6.1.2.1.25.3.2.1.5.1 .1.3.6.1.2.1.25.3.5.1.1.1 .1.3.6.1.2.1.25.3.5.1.2.1
> 09:27:14.498566 IP 142.68.4.80.1029 > 10.0.177.27.161: GetRequest(63) .1.3.6.1.2.1.25.3.2.1.5.1 .1.3.6.1.2.1.25.3.5.1.1.1 .1.3.6.1.2.1.25.3.5.1.2.1
> 09:27:20.502219 IP 142.68.4.80.1029 > 10.0.177.27.161: GetRequest(63) .1.3.6.1.2.1.25.3.2.1.5.1 .1.3.6.1.2.1.25.3.5.1.1.1 .1.3.6.1.2.1.25.3.5.1.2.1
> 09:28:40.768684 IP 68.193.244.83.52038 > 10.1.92.199.161: GetRequest(64) .1.3.6.1.2.1.25.3.2.1.5.1 .1.3.6.1.2.1.25.3.5.1.1.1 .1.3.6.1.2.1.25.3.5.1.2.1
> 09:28:46.752140 IP 68.193.244.83.52038 > 10.1.92.199.161: GetRequest(64) .1.3.6.1.2.1.25.3.2.1.5.1 .1.3.6.1.2.1.25.3.5.1.1.1 .1.3.6.1.2.1.25.3.5.1.2.1
> 09:28:52.752479 IP 68.193.244.83.52038 > 10.1.92.199.161: GetRequest(64) .1.3.6.1.2.1.25.3.2.1.5.1 .1.3.6.1.2.1.25.3.5.1.1.1 .1.3.6.1.2.1.25.3.5.1.2.1
> 09:28:58.751470 IP 68.193.244.83.52038 > 10.1.92.199.161: GetRequest(64) .1.3.6.1.2.1.25.3.2.1.5.1 .1.3.6.1.2.1.25.3.5.1.1.1 .1.3.6.1.2.1.25.3.5.1.2.1
Get the pattern?
Google this: "Printer Discovery SNMP 1.3.6.1".
One result includes:
> The properties of the Printer object is filled using the following queries to the device.
> .1.3.6.1.2.1.25.3.2.1.5.1, to get the current operational state of the device described by this row of the table.
> .1.3.6.1.2.1.25.3.5.1.1.1, to get the current status of this printer device.
> .1.3.6.1.2.1.25.3.5.1.2.1, to get any error conditions detected by the printer.
So its this probe traffic or backscatter from affected victims? It
seems to me to look like probes.
We all might keep track of this type of traffic if they're probes and
investigate sources to see if there's some attribution to a particular
bot.
--
Eric Ziegast
More information about the nsp-security
mailing list