[GTER] Re: Alerta: Pacotes udp desconhecido com volumes absurdos
Wander Menezes
wander at dominal.com
Tue Jan 4 15:05:27 -02 2005
Srs,
As vulnerabilidades que apontaram para windows 2003 não se aplicam
Pois a assinatura é outra no que tange ser máquinas windows 2003 que
realizam ataques com esta formação de pacotes esta incorreta são
máquinas
Linux dentro de backbones europeus com interfaces de saída Gigarouter e
o agressor(es) usam ferramentas de manipulação de pacotes do tipo packit
e todos os ataques se originam em backones europeus geralmente de blocos
da RIPE e senhores.... com certeza não é WINS, DHCP ou DNS.... como se
segue:
17:41:26.113664 64.23.1.61 > x.x.x.x: udp (frag 8347:25 at 512) (ttl 55,
len 45)
4500 05dc 209b 74f5 2e11 5699 4017 013d
c896 90fd 4242 4242 4242 4242 4242 4242
4242 4242 4242 4242 4242 4242 4242 4242
4242 4242 4242 4242 4242 4242 4242 4242
4242 4242 4242 4242 4242 4242 4242 4242
4242
17:41:26.114016 63.247.134.43 > x.x.x.x: udp (frag 29804: 25 at 512) (ttl
55, len 45)
4500 05dc 746c 6d02 2e11 85ec 3ff7 862b
c896 90fd 4242 4242 4242 4242 4242 4242
4242 4242 4242 4242 4242 4242 4242 4242
4242 4242 4242 4242 4242 4242 4242 4242
4242 4242 4242 4242 4242 4242 4242 4242
4242
17:41:26.116034 64.23.1.61 > x.x.x.x: udp (frag 8347: 25 at 512) (ttl 55,
len 45)
4500 05dc 209b 7383 2e11 580b 4017 013d
c896 90fd 4242 4242 4242 4242 4242 4242
4242 4242 4242 4242 4242 4242 4242 4242
4242 4242 4242 4242 4242 4242 4242 4242
4242 4242 4242 4242 4242 4242 4242 4242
4242
E sempre são formados assim:
Rede origem > x.x.x.x: udp (frag (ordem de framentacao
incorreta):25 at 512) (ttl 55, len 45)
Qualquer conteúdo geralmente números.
E muito rápido.... detectei volumes acima de 70mbs... métrica levantada
nos peerings de acesso internacional. Peço que chequem com as operadoras
pois
a "Pancada" é violenta.
-----Mensagem original-----
De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br]
Em nome de gter-request at eng.registro.br
Enviada em: terça-feira, 4 de janeiro de 2005 12:00
Para: gter at eng.registro.br
Assunto: GTER Digest, Vol 22, Issue 5
Send GTER mailing list submissions to
gter at eng.registro.br
To subscribe or unsubscribe via the World Wide Web, visit
https://eng.registro.br/mailman/listinfo/gter
or, via email, send a message with subject or body 'help' to
gter-request at eng.registro.br
You can reach the person managing the list at
gter-owner at eng.registro.br
When replying, please edit your Subject line so it is more specific
than "Re: Contents of GTER digest..."
Today's Topics:
1. Re: Alerta: Pacotes udp desconhecido com volumes absurdos
(Humberto Sartini)
2. ENC: MX Terra (Eduardo Rothschild)
3. Re: ENC: MX Terra (Lao DanTong)
4. Re: ENC: MX Terra (Antonio Carlos Pina)
5. RES: [GTER] Alerta: Pacotes udp desconhecido com volumes
absurdos (Leandro R.)
----------------------------------------------------------------------
Message: 1
Date: Tue, 4 Jan 2005 09:16:56 -0200
From: Humberto Sartini <humbertosartini at gmail.com>
Subject: Re: [GTER] Alerta: Pacotes udp desconhecido com volumes
absurdos
To: Grupo de Trabalho de Engenharia e Operacao de Redes
<gter at eng.registro.br>
Message-ID: <7f6420bb050104031646557753 at mail.gmail.com>
Content-Type: text/plain; charset=ISO-8859-1
Olá
Abaixo segue o link com mais informações:
http://isc.sans.org/diary.php?date=2005-01-03
E um pouco de tráfego para porta 42 (Wins):
01/04/2005 11:05:48.317571 200.173.110.131.4443 >
200.X.X.X.nameserver: . [tcp sum ok] 2368547765:2368547766(1) ack
112645303 win 17520 (DF) (ttl 117, id 31850, len 41)
0x0000 4500 0029 7c6a 4000 7506 baa4 c8ad 6e83 E..)|j at .u.....n.
0x0010 c8c3 cecb 115b 002a 8d2d 2bb5 06b6 d4b7 .....[.*.-+.....
0x0020 5010 4470 aecd 0000 4800 0000 0000 P.Dp....H.....
01/04/2005 11:06:34.321207 200.80.231.78.1042 > 200.X.X.X.nameserver:
. [tcp sum ok] 1105905868:1105905869(1) ack 109932366 win 17520 (DF)
(ttl 113, id 11666, len 41)
0x0000 4500 0029 2d92 4000 7106 950e c850 e74e E..)-. at .q....P.N
0x0010 c8c3 cecb 0412 002a 41ea c8cc 068d 6f4e .......*A.....oN
0x0020 5010 4470 0f66 0000 9000 0000 0000 P.Dp.f........
01/04/2005 11:07:48.424599 200.173.110.131.4443 >
200.X.X.X.nameserver: . [tcp sum ok] 0:1(1) ack 1 win 17520 (DF) (ttl
117, id 801, len 41)
0x0000 4500 0029 0321 4000 7506 33ee c8ad 6e83 E..).!@.u.3...n.
0x0010 c8c3 cecb 115b 002a 8d2d 2bb5 06b6 d4b7 .....[.*.-+.....
0x0020 5010 4470 aecd 0000 4800 0000 0000 P.Dp....H.....
01/04/2005 11:08:34.545658 200.80.231.78.1042 > 200.X.X.X.nameserver:
. [tcp sum ok] 0:1(1) ack 1 win 17520 (DF) (ttl 113, id 12249, len 41)
0x0000 4500 0029 2fd9 4000 7106 92c7 c850 e74e E..)/. at .q....P.N
0x0010 c8c3 cecb 0412 002a 41ea c8cc 068d 6f4e .......*A.....oN
0x0020 5010 4470 0f66 0000 9000 0000 0000 P.Dp.f........
01/04/2005 11:09:48.419638 200.173.110.131.4443 >
200.X.X.X.nameserver: . [tcp sum ok] 0:1(1) ack 1 win 17520 (DF) (ttl
117, id 37364, len 41)
0x0000 4500 0029 91f4 4000 7506 a51a c8ad 6e83 E..).. at .u.....n.
0x0010 c8c3 cecb 115b 002a 8d2d 2bb5 06b6 d4b7 .....[.*.-+.....
0x0020 5010 4470 aecd 0000 4800 0000 0000 P.Dp....H.....
01/04/2005 11:10:34.738316 200.80.231.78.1042 > 200.X.X.X.nameserver:
. [tcp sum ok] 0:1(1) ack 1 win 17520 (DF) (ttl 113, id 12828, len 41)
0x0000 4500 0029 321c 4000 7106 9084 c850 e74e E..)2. at .q....P.N
0x0010 c8c3 cecb 0412 002a 41ea c8cc 068d 6f4e .......*A.....oN
0x0020 5010 4470 0f66 0000 9000 0000 0000 P.Dp.f........
01/04/2005 11:11:48.393747 200.173.110.131.4443 >
200.X.X.X.nameserver: . [tcp sum ok] 0:1(1) ack 1 win 17520 (DF) (ttl
117, id 7260, len 41)
0x0000 4500 0029 1c5c 4000 7506 1ab3 c8ad 6e83 E..).\@.u.....n.
0x0010 c8c3 cecb 115b 002a 8d2d 2bb5 06b6 d4b7 .....[.*.-+.....
0x0020 5010 4470 aecd 0000 4800 0000 0000 P.Dp....H.....
--
[ ]'s
Humberto Sartini
http://web.onda.com.br/humberto
On Mon, 3 Jan 2005 22:14:41 -0200, Denny Roger <denny at batori.com.br>
wrote:
> Prezados,
>
> no dia 30 de dezembro de 2004 recebemos diversos chamados relacionados
a
> ataques utilizando pacotes UDP.
>
> Todas as máquinas que estavam (ou ainda estão) enviando pacotes UDP,
estão
> com o sistema operacional Windows 2003 Server com DNS/WINS/AD. Tudo
indica
> que a técnica está explorando o serviço de WINS.
------------------------------
Message: 2
Date: Tue, 4 Jan 2005 11:09:39 -0200
From: "Eduardo Rothschild" <eduardo at biorastro.com>
Subject: [GTER] ENC: MX Terra
To: "Grupo de Trabalho de Engenharia e Operacao de Redes"
<gter at eng.registro.br>
Message-ID:
<!~!UENERkVCMDkAAQACAAAAAAAAAAAAAAAAABgAAAAAAAAA8gnvUTVzv0+JyrYAgs+TAcKA
AAAQAAAAw36MZsoMC0a01z4rk4eKGAEAAAAA at biorastro.com>
Content-Type: text/plain; charset="iso-8859-1"
Prezados Senhores:
Antes de mais nada, FELIZ ANO NOVO para todos.
Tenho um servidor de e-mail rodando em 200.148.207.104,
sendmail+imap+antivírus, e quando meu usuário esta mandando e-mail para
o
terra, tenho a seguinte resposta:
"Deferred: 450 Client host rejected: cannot find your hostname,
[200.148.207.104]"
Meus reversos estao OK: 200-148-207-104.biorastro.com.br e meu direto:
redangus.biorastro.com
Existe algum lugar no sendmail que eu tenha de configurar isso tb??
[]´s
Eduardo Rothschild
BioR at stro Certificação de Produtos
------------------------------
Message: 3
Date: Tue, 4 Jan 2005 11:17:50 -0200 (EDT)
From: Lao DanTong <danton at inexo.com.br>
Subject: Re: [GTER] ENC: MX Terra
To: Grupo de Trabalho de Engenharia e Operacao de Redes
<gter at eng.registro.br>
Message-ID:
<Pine.LNX.4.44.0501041116470.2296-100000 at zaphod.inexo.com.br>
Content-Type: TEXT/PLAIN; charset=iso-8859-1
On Tue, 4 Jan 2005, Eduardo Rothschild wrote:
> Prezados Senhores:
>
> Antes de mais nada, FELIZ ANO NOVO para todos.
>
> Tenho um servidor de e-mail rodando em 200.148.207.104,
> sendmail+imap+antivírus, e quando meu usuário esta mandando e-mail
para o
> terra, tenho a seguinte resposta:
> "Deferred: 450 Client host rejected: cannot find your hostname,
> [200.148.207.104]"
> Meus reversos estao OK: 200-148-207-104.biorastro.com.br e meu direto:
> redangus.biorastro.com
não está ok não, pos a conversão de IP para nome e de volta para IP
falha:
danton at zaphod:~$ host 200.148.207.104
104.207.148.200.in-addr.arpa domain name pointer
200-148-207-104.biorastro.com.br.
danton at zaphod:~$ host 200-148-207-104.biorastro.com.br.
Host 200-148-207-104.biorastro.com.br not found: 3(NXDOMAIN)
------------------------------
Message: 4
Date: Tue, 4 Jan 2005 11:23:07 -0200
From: "Antonio Carlos Pina" <apina at infolink.com.br>
Subject: Re: [GTER] ENC: MX Terra
To: "Grupo de Trabalho de Engenharia e Operacao de Redes"
<gter at eng.registro.br>
Message-ID: <002d01c4f260$874ae070$fe05fea9 at routernew>
Content-Type: text/plain; charset=iso-8859-1
Seu direto tem de bater com o reverso.
200.148.207.104 = 200-148-207-104.biorastro.com.br e
200-148-207-104.biorastro.com.br = 200.148.207.104
----- Original Message -----
From: "Eduardo Rothschild" <eduardo at biorastro.com>
To: "Grupo de Trabalho de Engenharia e Operacao de Redes"
<gter at eng.registro.br>
Sent: Tuesday, January 04, 2005 11:09 AM
Subject: [GTER] ENC: MX Terra
Prezados Senhores:
Antes de mais nada, FELIZ ANO NOVO para todos.
Tenho um servidor de e-mail rodando em 200.148.207.104,
sendmail+imap+antivírus, e quando meu usuário esta mandando e-mail para
o
terra, tenho a seguinte resposta:
"Deferred: 450 Client host rejected: cannot find your hostname,
[200.148.207.104]"
Meus reversos estao OK: 200-148-207-104.biorastro.com.br e meu direto:
redangus.biorastro.com
Existe algum lugar no sendmail que eu tenha de configurar isso tb??
[]´s
Eduardo Rothschild
BioR at stro Certificação de Produtos
--
GTER list https://eng.registro.br/mailman/listinfo/gter
--
No virus found in this incoming message.
Checked by AVG Anti-Virus.
Version: 7.0.298 / Virus Database: 265.6.8 - Release Date: 03/01/2005
--
No virus found in this outgoing message.
Checked by AVG Anti-Virus.
Version: 7.0.298 / Virus Database: 265.6.8 - Release Date: 03/01/2005
------------------------------
Message: 5
Date: Tue, 4 Jan 2005 11:49:33 -0200
From: "Leandro R." <bolinh0 at click21.com.br>
Subject: RES: [GTER] Alerta: Pacotes udp desconhecido com volumes
absurdos
To: "'Grupo de Trabalho de Engenharia e Operacao de Redes'"
<gter at eng.registro.br>
Message-ID: <20050104134828.1814DAB675 at mail3.click21.com.br>
Content-Type: text/plain; charset="iso-8859-1"
Na semana passada saiu uma falha no WINS
e seu respectivo pacote de correção, provavelmente devam
estar utilizando esta falha.
Este é sobre uma falha do DHCP
http://www.microsoft.com/technet/security/Bulletin/MS04-042.mspx
Este é sobre a falha do WINS
http://www.microsoft.com/technet/security/Bulletin/MS04-045.mspx
Atc,
Leandro R.
-----Mensagem original-----
De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br]
Em
nome de Denny Roger
Enviada em: segunda-feira, 3 de janeiro de 2005 22:15
Para: Grupo de Trabalho de Engenharia e Operacao de Redes
Assunto: Re: [GTER] Alerta: Pacotes udp desconhecido com volumes
absurdos
Prezados,
no dia 30 de dezembro de 2004 recebemos diversos chamados relacionados a
ataques utilizando pacotes UDP.
Todas as máquinas que estavam (ou ainda estão) enviando pacotes UDP,
estão
com o sistema operacional Windows 2003 Server com DNS/WINS/AD. Tudo
indica
que a técnica está explorando o serviço de WINS.
Através de uma análise de log, foi possível identificar que os sistemas
de
firewalls receberam 99,95% de pacotes UDP, comparado aos demais pacotes.
O fato tem gerado muita lentidão no ambiente computacional. No dia 31 de
dezembro, durante um monitoramento, identificamos a utilização de 100%
de um
link de 1Mbits, originado por pacotes UDP. Vale lembrar que poucas
pessoas
estavam trabalhando neste dia.
Caso seja confirmada a exploração do serviço de WINS e seja identificada
ferramenta utilizada estarei disponibilizando para lista.
Abraços,
Denny Roger
Batori Software & Security
www.batori.com.br
(11) 3105 1619
------------------------------
--
GTER digest list https://eng.registro.br/mailman/listinfo/gter
End of GTER Digest, Vol 22, Issue 5
***********************************
More information about the gter
mailing list