[GTER] Bloco /20 - Milhares de tentativas de conexão porta 445 (smb)

[Antonio Carlos Pina]

Infelizmente pode ser normal sim.

Existe um "ruído de fundo" na Internet devido a Scans, bots, etc que parece
muito com isso que você cita.

Não se preocupe que muito provavelmente não é nenhum "concorrente" ou
"invasor" querendo "destruir" seu negócio, mas sim o resultado da
multiplicação dos "n" zumbis scaneando (com duplo sentido!) outros "n"
servidores.

Abs

2009/4/22 Maicon Vinicius Nunes <nunesvn at gmail.com>

> Boa noite, lista.
>
> Solicitamos o AS aqui na empresa (um pequeno, mas crescente ISP), fiz as
> configurações de BGP com a operadora, recebi as rotas, anunciei a nossa e
> está tudo funcionando normalmente. O problema é o seguinte:
>
> Temos um bloco de IPS /20. Neste bloco há apenas um IP utilizado, o do
> roteador. Percebi que o tráfego estava alto (em média 200kbps, chegando a
> 1Mbps), mesmo sem nada conectado, e analisando, percebi que eram tentativas
> de acesso à porta 445 (smb). Até aí tudo bem, vírus, port scan e coisas do
> gênero são normais. Ocorre que as tentativas se destinam a praticamente
> todos os 4096 endereços do bloco, e são incessantes. Criei regras (usamos
> Mikrotik) para capturar todas as tentativas de acesso a qualquer IP da rede
> (menos ao roteador) e inserir o IP de origem em uma blacklist, para  que
> aquele IP não incomode mais, ao menos por um tempo. Entretanto, fiz isso
> hoje à tarde (por volta das 16hs), e agora, 21:40, a blacklist já tem 48797
> endereços.
>
> Não estamos acostumados a monitorar uma faixa de IPs tão grande quanto um
> /20, portanto eu pergunto aos senhores: é normal esse nível de atividade?
> Percebi que dois /25 que temos aqui não tem nenhum acesso desse gênero.
> Nosso link instalado até agora é de 4MBps, e é meio preocupante perder 10%
> do link em lixo.
>
> Alguém tem alguma dica sobre o assunto?
>
> Um abraço!
>
> --
> Maicon Vinicius Nunes
> (51) 9355-1734
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>