[GTER] Tráfego Suspeito.

Marcello Barreto de Medeiros marcellobm at gmail.com
Wed Jun 20 13:31:44 -03 2007


Olá Pessoal,
	isso é uma Feature implementada em todo SO. O nome dessa função é APIPA (Automatic Private IP Addressing). É atribuído um endereço com com rota de métrica 1000, e isso quer dizer que um pacote nunca vai por aquela rota, a não ser que não tenha uma rede com prioridade maior. Aí isso já fica por conta da tua configuração.

Tanto no Windows como no linux vc pode desativar esse recurso:

Windows:
http://www.petri.co.il/disable_apipa_in_windows_2000_xp_2003.htm

Ubuntu: Verifica o avahi-autoipd... Dependendo da versão do linux que você usa, pode ter uma maneira diferente de ativar/desativar.

On Wed, 20 Jun 2007 01:09:19 -0300
"Ednilson Aureliano" <ednilson.aureliano at terra.com.br> wrote:

> A classe 169.254.x.x é dado pelo windows a nic quando não encontra um 
> servidor dhcp na rede.
> 
> 
> ----- Original Message -----
> From: "Rodrigo Lima" <rlima at rlima.org>
> To: <gter at eng.registro.br>
> Sent: Tuesday, June 19, 2007 5:01 PM
> Subject: [GTER] Tráfego Suspeito.
> 
> Caros, boa tarde
> 
> Estou em fase de homologação de um appliance da TrendMicro NVWE 1200
> que faz o papel de viruswall de forma passiva atuando como bridge, e
> este appliance o deixei rodando apenas na rede de alunos pois minha rede
> é dividida entre alunos e funcionários, porém observei que o appliance
> capturou diversos tráfegos suspeitos conforme segue-se abaixo :
> 
> 2007-06-18 13:27:09 169.254.37.94   00:12:F0:9B:0D:96
> 2007-06-18 14:14:04 169.254.64.57   00:19:D2:8A:02:D6
> 2007-06-18 15:40:25 169.254.76.141   00:16:6F:2B:6D:B0
> 2007-06-18 16:29:58 169.254.92.18   00:13:CE:27:5B:B5
> 2007-06-18 17:39:59 169.254.202.242   00:12:F0:2F:87:C9
> 2007-06-18 12:13:54 192.168.0.1   00:30:4F:4F:30:E7
> 2007-06-18 17:53:50 192.168.0.101   00:0E:35:B5:F7:C9
> 2007-06-18 16:04:03 201.37.200.132   00:08:54:24:C3:83
> 2007-06-18 15:15:23 201.80.49.60   00:08:54:24:C3:83
> 
> Existe alguma possibilidade de ser malware ou até mesmo falso positivo
> na captura desses dados pelo appliance ? estou depurando um pouco melhor
> o problema através de utilitários como iptraf e sniffer para uma melhor
> analise do problema !
> 
> 
> Forte abraço,
> 
> Rodrigo Lima
> 
> 
> 
> 
> 
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter 
> 
> 
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter



More information about the gter mailing list