<div dir="ltr">Hello David, <div><br></div><div>Did you have some news regarding that "attack"?.</div><div><br></div><div>Best, </div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On 19 December 2013 17:04, David Hausheer <span dir="ltr"><<a href="mailto:hausheer@ps.tu-darmstadt.de" target="_blank">hausheer@ps.tu-darmstadt.de</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Thanks Andri,<br>
<br>
as soon as I will be able to login to the nodes, I may be able to get a better understanding as to which slice may have been the target of the "attack".<br>
<br>
Best regards<span class="HOEnZb"><font color="#888888"><br>
David</font></span><div class="HOEnZb"><div class="h5"><br>
<br>
On 19.12.2013 09:43, Andri Lareida wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Dear David,<br>
<br>
The crawler itself does for sure not cause this behavior. The torrents<br>
come from a portal via RSS, so there is the possibility that some very<br>
popular torrents are in there. When BT clients from all over the world<br>
try to connect to the Inria host when there is not client running I<br>
imagine this could look like DDoS attack. Although, the traffic seems to<br>
high for that.<br>
<br>
On the other hand there are many PlanetLab Hosts in the log.<br>
<br>
Lets see the more detailed information. This will help a lot. In the<br>
meantime I can check what ports were announced.<br>
<br>
Cheers<br>
Andri<br>
<br>
<br>
<br>
<br>
On 12/19/2013 09:29 AM, Juan Pablo Timpanaro wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Dear Andri,<br>
<br>
Have you used a specific node (or nodes) to announce a specific,<br>
probably popular, content (movie,...)? A crawler itself can not<br>
(should not) produce this behavior. It seems more like an old-fashined<br>
DDoS, with INRIA nodes as targets.<br>
<br>
Looking forward for further information on those flows.<br>
<br>
Best,<br>
<br>
On Dec 19, 2013, at 9:19 AM, Andri Lareida wrote:<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Dear David,<br>
<br>
As far as I understand, the log file shows incomming connections. I'm<br>
testing a BitTorrent Tracker crawler at the moment. For that the<br>
node  announces itself to several BitTorrent Tracker to get IPs. This<br>
also means that the IP of the EmanicsLab node will be on the Tracker<br>
and other hosts might try to connect to it. Since no BitTorrent<br>
client is running on the node, no connection can be established.<br>
Therefore, I can not explain that the flows have KB sizes. The node<br>
also joins the BitTorrent DHT what might result in incomming<br>
connections.<br>
<br>
Some more detailed information on ports and transport protocol would<br>
help finding an answer.<br>
<br>
Regards<br>
Andri<br>
<br>
<br>
<br>
Am 18.12.2013 18:59, schrieb David Hausheer:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Dear EmanicsLab users,<br>
<br>
we have some suspicious activity ongoing on EmanicsLab nodes<br>
<a href="http://host1-plb.loria.fr" target="_blank">host1-plb.loria.fr</a> and <a href="http://host2-plb.loria.fr" target="_blank">host2-plb.loria.fr</a><br>
<br>
Since those of you addressed explicitly in the Email header are<br>
running experiments including those nodes, I would like to<br>
understand if the traffic originates from any of your slices.<br>
<br>
Thus, please take a look at the attached log file, and let me know<br>
if the hostnames are familiar to you. It may also be that one of<br>
your slices has been hacked, in which case we would need to disable it.<br>
<br>
Thus, please inform me as soon as possible if<br>
<br>
a) you know that your slice IS the source of those connections<br>
b) you know that your slice is NOT the source of those connections<br>
c) you don't know (your slice may be hacked)<br>
<br>
Thanks you and best regards<br>
David<br>
<br>
On 18.12.2013 16:09, Emmanuel Nataf wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hello,<br>
<br>
The hosts : <a href="http://host1-plb.loria.fr" target="_blank">host1-plb.loria.fr</a> <<a href="http://host1-plb.loria.fr/" target="_blank">http://host1-plb.loria.fr/</a>> and<br>
<a href="http://host2-plb.loria.fr" target="_blank">host2-plb.loria.fr</a> <<a href="http://host2-plb.loria.fr/" target="_blank">http://host2-plb.loria.fr/</a>> are down for security<br>
reason.<br>
Since last week a very large amount of connexions, coming from<br>
everywhere (and probably not all registered nodes) threaten our<br>
firewall.<br>
I join the firewal log.<br>
<br>
<br>
<br>
Regards<br>
<br>
E. Nataf<br>
INRIA Nodes<br>
</blockquote></blockquote>
______________________________<u></u>_________________<br>
emanicslab mailing list<br>
<a href="mailto:emanicslab@lists.ifi.uzh.ch" target="_blank">emanicslab@lists.ifi.uzh.ch</a><br>
<a href="https://lists.ifi.uzh.ch/listinfo/emanicslab" target="_blank">https://lists.ifi.uzh.ch/<u></u>listinfo/emanicslab</a><br>
</blockquote></blockquote>
<br>
</blockquote>
<br></div></div><div class="HOEnZb"><div class="h5">
-- <br>
Prof. Dr. David Hausheer<br>
<br>
Technische Universitaet Darmstadt<br>
Dept. of Electrical Engineering & Information Technology<br>
<br>
Rundeturmstr. 10, Building S3/20, Room 225<br>
64283 Darmstadt, Germany<br>
Phone: <a href="tel:%2B49%206151%2016%204280" value="+496151164280" target="_blank">+49 6151 16 4280</a><br>
Fax: <a href="tel:%2B49%206151%2016%206152" value="+496151166152" target="_blank">+49 6151 16 6152</a><br>
E-Mail: <a href="mailto:hausheer@ps.tu-darmstadt.de" target="_blank">hausheer@ps.tu-darmstadt.de</a><br>
Web: <a href="http://www.ps.tu-darmstadt.de/" target="_blank">http://www.ps.tu-darmstadt.de/</a><br>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><br><br>Juan Pablo Timpanaro
</div>