[GTER] RES: Bloco /20 - Milhares de tentativas de conexão porta 445 (smb)

Julio Arruda jarruda-gter at jarruda.com
Thu Apr 23 11:10:26 -03 2009


Edv wrote:
> Dependendo da origem, bloquear no destino pode simplesmente não funcionar,
> pq afinal o recurso (link) já vai ter sido consumido, quando vc dropar o
> pacote indesejado no seu roteador/firewall.
> 
> Acho que o mais correto seria usar as communities de black-hole da sua
> operadora...
> 
> Julio Arruda, o que vc acha?
Quanto a porta 445, sim, tem scan constante, https://atlas.arbor.net da 
sempre a entediante visao deste 'ruido de fundo' que voces falam :-)..

Quanto a black-hole, nao ajuda, lembre que o que estam fazendo e' um 
scan para cada IP de um range (no caso ai, um /20), por porta 445.
Se ele fosse tentar fazer um RTBH para dizer "o que for para o IP x vai 
para o lixo" iria efetivamente mandar o trafego todo para o lixo.

PS:
Voce PODE fazer uma coisa, que e' tentar um blackhole para o agregado, e 
anuncio mais especifico somente para onde voce tem IPs vivos, assim voce 
vai estar mandando o trafego que nao tem nenhum host na sua rede 
escutando, para o lixo porem:
1- Geralmente RTBH e' limitado a /32 ou /31 ou /30 (ao menos no caso 
onde estive vendo)
2- Geralmente os upstreams limitam o "maximo" de mascara que voce passa, 
e outros tambem, assim, se voce tentar anunciar um /29 como "e' onde 
tenho maquinas vivas", e o /20 como "isto tem os meus ips vivos e os 
Dark IPs da minha rede"...nao vai passar para cima o /29..

De outro modo, para 'limpar' o trafego antes da sua rede, SOMENTE para 
port 445, so se tiver um ACL ou um scrubber deste outro lado..



> 
> até mais!
> 
> Edv
> 
> 
> 2009/4/23 Filipe Thompson <listas.fthompson at live.com>
> 
>> Maicon,
>>
>> Certifique-se de que somente a porta 445 está recebendo essas "tentativas".
>> Faça uma análise criteriosa dos seus logs, pois se consome tanta banda, não
>> pode ser coisa boa. Caso seja somente a 445/SMB, acho que você pode
>> considerar bloqueá-la, dropando todo o tráfego destinado a ela. E continue
>> monitorando, veja se o número de tentativas cai.
>>
>> --
>> Filipe Thompson
>> fthompson at live.com
>>
>> -----Mensagem original-----
>> De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em
>> nome de Adailton Silva
>> Enviada em: quarta-feira, 22 de abril de 2009 23:46
>> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
>> Assunto: Re: [GTER] Bloco /20 - Milhares de tentativas de conexão porta 445
>> (smb)
>>
>> Eu me preocuparia, já que se trata de um Port Scan em todos os IPs do seu
>> bloco. Porta 445/TCP é o protocolo Microsoft SMB sobre TCP, usado pelo
>> Windows para compartilhamento de rede. Ou seja, máquinas que têm porta
>> 445/TCP abertas para a Internet têm alta probabilidade de serem Windows,
>> tem
>> boas chances de estarem vulneráveis e podem ser exploradas, etc, etc.
>>
>> Abs,
>> Adailton
>>
>>
>> 2009/4/22 Antonio Carlos Pina <antoniocarlospina at gmail.com>
>>
>>> Infelizmente pode ser normal sim.
>>>
>>> Existe um "ruído de fundo" na Internet devido a Scans, bots, etc que
>> parece
>>> muito com isso que você cita.
>>>
>>> Não se preocupe que muito provavelmente não é nenhum "concorrente" ou
>>> "invasor" querendo "destruir" seu negócio, mas sim o resultado da
>>> multiplicação dos "n" zumbis scaneando (com duplo sentido!) outros "n"
>>> servidores.
>>>
>>> Abs
>>>
>>> 2009/4/22 Maicon Vinicius Nunes <nunesvn at gmail.com>
>>>
>>>> Boa noite, lista.
>>>>
>>>> Solicitamos o AS aqui na empresa (um pequeno, mas crescente ISP), fiz
>> as
>>>> configurações de BGP com a operadora, recebi as rotas, anunciei a nossa
>> e
>>>> está tudo funcionando normalmente. O problema é o seguinte:
>>>>
>>>> Temos um bloco de IPS /20. Neste bloco há apenas um IP utilizado, o do
>>>> roteador. Percebi que o tráfego estava alto (em média 200kbps, chegando
>> a
>>>> 1Mbps), mesmo sem nada conectado, e analisando, percebi que eram
>>> tentativas
>>>> de acesso à porta 445 (smb). Até aí tudo bem, vírus, port scan e coisas
>>> do
>>>> gênero são normais. Ocorre que as tentativas se destinam a praticamente
>>>> todos os 4096 endereços do bloco, e são incessantes. Criei regras
>> (usamos
>>>> Mikrotik) para capturar todas as tentativas de acesso a qualquer IP da
>>> rede
>>>> (menos ao roteador) e inserir o IP de origem em uma blacklist, para
>>  que
>>>> aquele IP não incomode mais, ao menos por um tempo. Entretanto, fiz
>> isso
>>>> hoje à tarde (por volta das 16hs), e agora, 21:40, a blacklist já tem
>>> 48797
>>>> endereços.
>>>>
>>>> Não estamos acostumados a monitorar uma faixa de IPs tão grande quanto
>> um
>>>> /20, portanto eu pergunto aos senhores: é normal esse nível de
>> atividade?
>>>> Percebi que dois /25 que temos aqui não tem nenhum acesso desse gênero.
>>>> Nosso link instalado até agora é de 4MBps, e é meio preocupante perder
>>> 10%
>>>> do link em lixo.
>>>>
>>>> Alguém tem alguma dica sobre o assunto?
>>>>
>>>> Um abraço!
>>>>
>>>> --
>>>> Maicon Vinicius Nunes
>>>> (51) 9355-1734
>>>>
>>>> --
>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter




More information about the gter mailing list