[GTER] Tráfego Suspeito.
Marcello Barreto de Medeiros
marcellobm at gmail.com
Wed Jun 20 13:31:44 -03 2007
Olá Pessoal,
isso é uma Feature implementada em todo SO. O nome dessa função é APIPA (Automatic Private IP Addressing). É atribuído um endereço com com rota de métrica 1000, e isso quer dizer que um pacote nunca vai por aquela rota, a não ser que não tenha uma rede com prioridade maior. Aí isso já fica por conta da tua configuração.
Tanto no Windows como no linux vc pode desativar esse recurso:
Windows:
http://www.petri.co.il/disable_apipa_in_windows_2000_xp_2003.htm
Ubuntu: Verifica o avahi-autoipd... Dependendo da versão do linux que você usa, pode ter uma maneira diferente de ativar/desativar.
On Wed, 20 Jun 2007 01:09:19 -0300
"Ednilson Aureliano" <ednilson.aureliano at terra.com.br> wrote:
> A classe 169.254.x.x é dado pelo windows a nic quando não encontra um
> servidor dhcp na rede.
>
>
> ----- Original Message -----
> From: "Rodrigo Lima" <rlima at rlima.org>
> To: <gter at eng.registro.br>
> Sent: Tuesday, June 19, 2007 5:01 PM
> Subject: [GTER] Tráfego Suspeito.
>
> Caros, boa tarde
>
> Estou em fase de homologação de um appliance da TrendMicro NVWE 1200
> que faz o papel de viruswall de forma passiva atuando como bridge, e
> este appliance o deixei rodando apenas na rede de alunos pois minha rede
> é dividida entre alunos e funcionários, porém observei que o appliance
> capturou diversos tráfegos suspeitos conforme segue-se abaixo :
>
> 2007-06-18 13:27:09 169.254.37.94 00:12:F0:9B:0D:96
> 2007-06-18 14:14:04 169.254.64.57 00:19:D2:8A:02:D6
> 2007-06-18 15:40:25 169.254.76.141 00:16:6F:2B:6D:B0
> 2007-06-18 16:29:58 169.254.92.18 00:13:CE:27:5B:B5
> 2007-06-18 17:39:59 169.254.202.242 00:12:F0:2F:87:C9
> 2007-06-18 12:13:54 192.168.0.1 00:30:4F:4F:30:E7
> 2007-06-18 17:53:50 192.168.0.101 00:0E:35:B5:F7:C9
> 2007-06-18 16:04:03 201.37.200.132 00:08:54:24:C3:83
> 2007-06-18 15:15:23 201.80.49.60 00:08:54:24:C3:83
>
> Existe alguma possibilidade de ser malware ou até mesmo falso positivo
> na captura desses dados pelo appliance ? estou depurando um pouco melhor
> o problema através de utilitários como iptraf e sniffer para uma melhor
> analise do problema !
>
>
> Forte abraço,
>
> Rodrigo Lima
>
>
>
>
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list