[GTER] Bloco /20 - Milhares de tentativas de conexão porta 445 (smb)

Juliano Primavesi - Cyberweb Networks juliano at cyberweb.com.br
Wed Apr 22 23:43:32 -03 2009 

Sugiro, ao invés de bloquear as milhares de origens, bloquear a porta de 
destino (445).

Como disse o Pina, infelizmente existe muito ruído, muitos "testes" e 
isso "gasta" tráfego mesmo.

Juliano

Antonio Carlos Pina escreveu:
> Infelizmente pode ser normal sim.
>
> Existe um "ruído de fundo" na Internet devido a Scans, bots, etc que parece
> muito com isso que você cita.
>
> Não se preocupe que muito provavelmente não é nenhum "concorrente" ou
> "invasor" querendo "destruir" seu negócio, mas sim o resultado da
> multiplicação dos "n" zumbis scaneando (com duplo sentido!) outros "n"
> servidores.
>
> Abs
>
> 2009/4/22 Maicon Vinicius Nunes <nunesvn at gmail.com>
>
>   
>> Boa noite, lista.
>>
>> Solicitamos o AS aqui na empresa (um pequeno, mas crescente ISP), fiz as
>> configurações de BGP com a operadora, recebi as rotas, anunciei a nossa e
>> está tudo funcionando normalmente. O problema é o seguinte:
>>
>> Temos um bloco de IPS /20. Neste bloco há apenas um IP utilizado, o do
>> roteador. Percebi que o tráfego estava alto (em média 200kbps, chegando a
>> 1Mbps), mesmo sem nada conectado, e analisando, percebi que eram tentativas
>> de acesso à porta 445 (smb). Até aí tudo bem, vírus, port scan e coisas do
>> gênero são normais. Ocorre que as tentativas se destinam a praticamente
>> todos os 4096 endereços do bloco, e são incessantes. Criei regras (usamos
>> Mikrotik) para capturar todas as tentativas de acesso a qualquer IP da rede
>> (menos ao roteador) e inserir o IP de origem em uma blacklist, para  que
>> aquele IP não incomode mais, ao menos por um tempo. Entretanto, fiz isso
>> hoje à tarde (por volta das 16hs), e agora, 21:40, a blacklist já tem 48797
>> endereços.
>>
>> Não estamos acostumados a monitorar uma faixa de IPs tão grande quanto um
>> /20, portanto eu pergunto aos senhores: é normal esse nível de atividade?
>> Percebi que dois /25 que temos aqui não tem nenhum acesso desse gênero.
>> Nosso link instalado até agora é de 4MBps, e é meio preocupante perder 10%
>> do link em lixo.
>>
>> Alguém tem alguma dica sobre o assunto?
>>
>> Um abraço!
>>
>> --
>> Maicon Vinicius Nunes
>> (51) 9355-1734
>>
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
>>     
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

More information about the gter mailing list