[GTER] RES: Bloco /20 - Milhares de tentativas de conexão porta 445 (smb)

[Edv]

Dependendo da origem, bloquear no destino pode simplesmente não funcionar,
pq afinal o recurso (link) já vai ter sido consumido, quando vc dropar o
pacote indesejado no seu roteador/firewall.

Acho que o mais correto seria usar as communities de black-hole da sua
operadora...

Julio Arruda, o que vc acha?

até mais!

Edv


2009/4/23 Filipe Thompson <listas.fthompson at live.com>

> Maicon,
>
> Certifique-se de que somente a porta 445 está recebendo essas "tentativas".
> Faça uma análise criteriosa dos seus logs, pois se consome tanta banda, não
> pode ser coisa boa. Caso seja somente a 445/SMB, acho que você pode
> considerar bloqueá-la, dropando todo o tráfego destinado a ela. E continue
> monitorando, veja se o número de tentativas cai.
>
> --
> Filipe Thompson
> fthompson at live.com
>
> -----Mensagem original-----
> De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em
> nome de Adailton Silva
> Enviada em: quarta-feira, 22 de abril de 2009 23:46
> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> Assunto: Re: [GTER] Bloco /20 - Milhares de tentativas de conexão porta 445
> (smb)
>
> Eu me preocuparia, já que se trata de um Port Scan em todos os IPs do seu
> bloco. Porta 445/TCP é o protocolo Microsoft SMB sobre TCP, usado pelo
> Windows para compartilhamento de rede. Ou seja, máquinas que têm porta
> 445/TCP abertas para a Internet têm alta probabilidade de serem Windows,
> tem
> boas chances de estarem vulneráveis e podem ser exploradas, etc, etc.
>
> Abs,
> Adailton
>
>
> 2009/4/22 Antonio Carlos Pina <antoniocarlospina at gmail.com>
>
> > Infelizmente pode ser normal sim.
> >
> > Existe um "ruído de fundo" na Internet devido a Scans, bots, etc que
> parece
> > muito com isso que você cita.
> >
> > Não se preocupe que muito provavelmente não é nenhum "concorrente" ou
> > "invasor" querendo "destruir" seu negócio, mas sim o resultado da
> > multiplicação dos "n" zumbis scaneando (com duplo sentido!) outros "n"
> > servidores.
> >
> > Abs
> >
> > 2009/4/22 Maicon Vinicius Nunes <nunesvn at gmail.com>
> >
> > > Boa noite, lista.
> > >
> > > Solicitamos o AS aqui na empresa (um pequeno, mas crescente ISP), fiz
> as
> > > configurações de BGP com a operadora, recebi as rotas, anunciei a nossa
> e
> > > está tudo funcionando normalmente. O problema é o seguinte:
> > >
> > > Temos um bloco de IPS /20. Neste bloco há apenas um IP utilizado, o do
> > > roteador. Percebi que o tráfego estava alto (em média 200kbps, chegando
> a
> > > 1Mbps), mesmo sem nada conectado, e analisando, percebi que eram
> > tentativas
> > > de acesso à porta 445 (smb). Até aí tudo bem, vírus, port scan e coisas
> > do
> > > gênero são normais. Ocorre que as tentativas se destinam a praticamente
> > > todos os 4096 endereços do bloco, e são incessantes. Criei regras
> (usamos
> > > Mikrotik) para capturar todas as tentativas de acesso a qualquer IP da
> > rede
> > > (menos ao roteador) e inserir o IP de origem em uma blacklist, para
>  que
> > > aquele IP não incomode mais, ao menos por um tempo. Entretanto, fiz
> isso
> > > hoje à tarde (por volta das 16hs), e agora, 21:40, a blacklist já tem
> > 48797
> > > endereços.
> > >
> > > Não estamos acostumados a monitorar uma faixa de IPs tão grande quanto
> um
> > > /20, portanto eu pergunto aos senhores: é normal esse nível de
> atividade?
> > > Percebi que dois /25 que temos aqui não tem nenhum acesso desse gênero.
> > > Nosso link instalado até agora é de 4MBps, e é meio preocupante perder
> > 10%
> > > do link em lixo.
> > >
> > > Alguém tem alguma dica sobre o assunto?
> > >
> > > Um abraço!
> > >
> > > --
> > > Maicon Vinicius Nunes
> > > (51) 9355-1734
> > >
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>