[GTER] RES: Bloco /20 - Milhares de tentativas de conexão porta 445 (smb)

Filipe Thompson listas.fthompson at live.com
Thu Apr 23 01:37:46 -03 2009


Maicon,

Certifique-se de que somente a porta 445 está recebendo essas "tentativas".
Faça uma análise criteriosa dos seus logs, pois se consome tanta banda, não
pode ser coisa boa. Caso seja somente a 445/SMB, acho que você pode
considerar bloqueá-la, dropando todo o tráfego destinado a ela. E continue
monitorando, veja se o número de tentativas cai.

--
Filipe Thompson
fthompson at live.com

-----Mensagem original-----
De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em
nome de Adailton Silva
Enviada em: quarta-feira, 22 de abril de 2009 23:46
Para: Grupo de Trabalho de Engenharia e Operacao de Redes
Assunto: Re: [GTER] Bloco /20 - Milhares de tentativas de conexão porta 445
(smb)

Eu me preocuparia, já que se trata de um Port Scan em todos os IPs do seu
bloco. Porta 445/TCP é o protocolo Microsoft SMB sobre TCP, usado pelo
Windows para compartilhamento de rede. Ou seja, máquinas que têm porta
445/TCP abertas para a Internet têm alta probabilidade de serem Windows, tem
boas chances de estarem vulneráveis e podem ser exploradas, etc, etc.

Abs,
Adailton


2009/4/22 Antonio Carlos Pina <antoniocarlospina at gmail.com>

> Infelizmente pode ser normal sim.
>
> Existe um "ruído de fundo" na Internet devido a Scans, bots, etc que
parece
> muito com isso que você cita.
>
> Não se preocupe que muito provavelmente não é nenhum "concorrente" ou
> "invasor" querendo "destruir" seu negócio, mas sim o resultado da
> multiplicação dos "n" zumbis scaneando (com duplo sentido!) outros "n"
> servidores.
>
> Abs
>
> 2009/4/22 Maicon Vinicius Nunes <nunesvn at gmail.com>
>
> > Boa noite, lista.
> >
> > Solicitamos o AS aqui na empresa (um pequeno, mas crescente ISP), fiz as
> > configurações de BGP com a operadora, recebi as rotas, anunciei a nossa
e
> > está tudo funcionando normalmente. O problema é o seguinte:
> >
> > Temos um bloco de IPS /20. Neste bloco há apenas um IP utilizado, o do
> > roteador. Percebi que o tráfego estava alto (em média 200kbps, chegando
a
> > 1Mbps), mesmo sem nada conectado, e analisando, percebi que eram
> tentativas
> > de acesso à porta 445 (smb). Até aí tudo bem, vírus, port scan e coisas
> do
> > gênero são normais. Ocorre que as tentativas se destinam a praticamente
> > todos os 4096 endereços do bloco, e são incessantes. Criei regras
(usamos
> > Mikrotik) para capturar todas as tentativas de acesso a qualquer IP da
> rede
> > (menos ao roteador) e inserir o IP de origem em uma blacklist, para  que
> > aquele IP não incomode mais, ao menos por um tempo. Entretanto, fiz isso
> > hoje à tarde (por volta das 16hs), e agora, 21:40, a blacklist já tem
> 48797
> > endereços.
> >
> > Não estamos acostumados a monitorar uma faixa de IPs tão grande quanto
um
> > /20, portanto eu pergunto aos senhores: é normal esse nível de
atividade?
> > Percebi que dois /25 que temos aqui não tem nenhum acesso desse gênero.
> > Nosso link instalado até agora é de 4MBps, e é meio preocupante perder
> 10%
> > do link em lixo.
> >
> > Alguém tem alguma dica sobre o assunto?
> >
> > Um abraço!
> >
> > --
> > Maicon Vinicius Nunes
> > (51) 9355-1734
> >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>
--
gter list    https://eng.registro.br/mailman/listinfo/gter




More information about the gter mailing list