[GTER] Bloco /20 - Milhares de tentativas de conexão porta 445 (smb)
Maicon Vinicius Nunes
nunesvn at gmail.com
Wed Apr 22 21:53:36 -03 2009
Boa noite, lista.
Solicitamos o AS aqui na empresa (um pequeno, mas crescente ISP), fiz as
configurações de BGP com a operadora, recebi as rotas, anunciei a nossa
e está tudo funcionando normalmente. O problema é o seguinte:
Temos um bloco de IPS /20. Neste bloco há apenas um IP utilizado, o do
roteador. Percebi que o tráfego estava alto (em média 200kbps, chegando
a 1Mbps), mesmo sem nada conectado, e analisando, percebi que eram
tentativas de acesso à porta 445 (smb). Até aí tudo bem, vírus, port
scan e coisas do gênero são normais. Ocorre que as tentativas se
destinam a praticamente todos os 4096 endereços do bloco, e são
incessantes. Criei regras (usamos Mikrotik) para capturar todas as
tentativas de acesso a qualquer IP da rede (menos ao roteador) e inserir
o IP de origem em uma blacklist, para que aquele IP não incomode mais,
ao menos por um tempo. Entretanto, fiz isso hoje à tarde (por volta das
16hs), e agora, 21:40, a blacklist já tem 48797 endereços.
Não estamos acostumados a monitorar uma faixa de IPs tão grande quanto
um /20, portanto eu pergunto aos senhores: é normal esse nível de
atividade? Percebi que dois /25 que temos aqui não tem nenhum acesso
desse gênero.
Nosso link instalado até agora é de 4MBps, e é meio preocupante perder
10% do link em lixo.
Alguém tem alguma dica sobre o assunto?
Um abraço!
--
Maicon Vinicius Nunes
(51) 9355-1734
More information about the gter
mailing list