[GTER] RES: Bloco /20 - Milhares de tentativas de conexão porta 445 (smb)

Juliano Primavesi - Cyberweb Networks juliano at cyberweb.com.br
Thu Apr 23 11:59:35 -03 2009


Resumindo...

Se ele nao quer gastar trafego com ruido, só falando com a operadora 
para bloquear isso

Julio Arruda escreveu:
> Edv wrote:
>> Dependendo da origem, bloquear no destino pode simplesmente não 
>> funcionar,
>> pq afinal o recurso (link) já vai ter sido consumido, quando vc dropar o
>> pacote indesejado no seu roteador/firewall.
>>
>> Acho que o mais correto seria usar as communities de black-hole da sua
>> operadora...
>>
>> Julio Arruda, o que vc acha?
> Quanto a porta 445, sim, tem scan constante, https://atlas.arbor.net 
> da sempre a entediante visao deste 'ruido de fundo' que voces falam :-)..
>
> Quanto a black-hole, nao ajuda, lembre que o que estam fazendo e' um 
> scan para cada IP de um range (no caso ai, um /20), por porta 445.
> Se ele fosse tentar fazer um RTBH para dizer "o que for para o IP x 
> vai para o lixo" iria efetivamente mandar o trafego todo para o lixo.
>
> PS:
> Voce PODE fazer uma coisa, que e' tentar um blackhole para o agregado, 
> e anuncio mais especifico somente para onde voce tem IPs vivos, assim 
> voce vai estar mandando o trafego que nao tem nenhum host na sua rede 
> escutando, para o lixo porem:
> 1- Geralmente RTBH e' limitado a /32 ou /31 ou /30 (ao menos no caso 
> onde estive vendo)
> 2- Geralmente os upstreams limitam o "maximo" de mascara que voce 
> passa, e outros tambem, assim, se voce tentar anunciar um /29 como "e' 
> onde tenho maquinas vivas", e o /20 como "isto tem os meus ips vivos e 
> os Dark IPs da minha rede"...nao vai passar para cima o /29..
>
> De outro modo, para 'limpar' o trafego antes da sua rede, SOMENTE para 
> port 445, so se tiver um ACL ou um scrubber deste outro lado..
>
>
>
>>
>> até mais!
>>
>> Edv
>>
>>
>> 2009/4/23 Filipe Thompson <listas.fthompson at live.com>
>>
>>> Maicon,
>>>
>>> Certifique-se de que somente a porta 445 está recebendo essas 
>>> "tentativas".
>>> Faça uma análise criteriosa dos seus logs, pois se consome tanta 
>>> banda, não
>>> pode ser coisa boa. Caso seja somente a 445/SMB, acho que você pode
>>> considerar bloqueá-la, dropando todo o tráfego destinado a ela. E 
>>> continue
>>> monitorando, veja se o número de tentativas cai.
>>>
>>> -- 
>>> Filipe Thompson
>>> fthompson at live.com
>>>
>>> -----Mensagem original-----
>>> De: gter-bounces at eng.registro.br 
>>> [mailto:gter-bounces at eng.registro.br] Em
>>> nome de Adailton Silva
>>> Enviada em: quarta-feira, 22 de abril de 2009 23:46
>>> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
>>> Assunto: Re: [GTER] Bloco /20 - Milhares de tentativas de conexão 
>>> porta 445
>>> (smb)
>>>
>>> Eu me preocuparia, já que se trata de um Port Scan em todos os IPs 
>>> do seu
>>> bloco. Porta 445/TCP é o protocolo Microsoft SMB sobre TCP, usado pelo
>>> Windows para compartilhamento de rede. Ou seja, máquinas que têm porta
>>> 445/TCP abertas para a Internet têm alta probabilidade de serem 
>>> Windows,
>>> tem
>>> boas chances de estarem vulneráveis e podem ser exploradas, etc, etc.
>>>
>>> Abs,
>>> Adailton
>>>
>>>
>>> 2009/4/22 Antonio Carlos Pina <antoniocarlospina at gmail.com>
>>>
>>>> Infelizmente pode ser normal sim.
>>>>
>>>> Existe um "ruído de fundo" na Internet devido a Scans, bots, etc que
>>> parece
>>>> muito com isso que você cita.
>>>>
>>>> Não se preocupe que muito provavelmente não é nenhum "concorrente" ou
>>>> "invasor" querendo "destruir" seu negócio, mas sim o resultado da
>>>> multiplicação dos "n" zumbis scaneando (com duplo sentido!) outros "n"
>>>> servidores.
>>>>
>>>> Abs
>>>>
>>>> 2009/4/22 Maicon Vinicius Nunes <nunesvn at gmail.com>
>>>>
>>>>> Boa noite, lista.
>>>>>
>>>>> Solicitamos o AS aqui na empresa (um pequeno, mas crescente ISP), fiz
>>> as
>>>>> configurações de BGP com a operadora, recebi as rotas, anunciei a 
>>>>> nossa
>>> e
>>>>> está tudo funcionando normalmente. O problema é o seguinte:
>>>>>
>>>>> Temos um bloco de IPS /20. Neste bloco há apenas um IP utilizado, 
>>>>> o do
>>>>> roteador. Percebi que o tráfego estava alto (em média 200kbps, 
>>>>> chegando
>>> a
>>>>> 1Mbps), mesmo sem nada conectado, e analisando, percebi que eram
>>>> tentativas
>>>>> de acesso à porta 445 (smb). Até aí tudo bem, vírus, port scan e 
>>>>> coisas
>>>> do
>>>>> gênero são normais. Ocorre que as tentativas se destinam a 
>>>>> praticamente
>>>>> todos os 4096 endereços do bloco, e são incessantes. Criei regras
>>> (usamos
>>>>> Mikrotik) para capturar todas as tentativas de acesso a qualquer 
>>>>> IP da
>>>> rede
>>>>> (menos ao roteador) e inserir o IP de origem em uma blacklist, para
>>>  que
>>>>> aquele IP não incomode mais, ao menos por um tempo. Entretanto, fiz
>>> isso
>>>>> hoje à tarde (por volta das 16hs), e agora, 21:40, a blacklist já tem
>>>> 48797
>>>>> endereços.
>>>>>
>>>>> Não estamos acostumados a monitorar uma faixa de IPs tão grande 
>>>>> quanto
>>> um
>>>>> /20, portanto eu pergunto aos senhores: é normal esse nível de
>>> atividade?
>>>>> Percebi que dois /25 que temos aqui não tem nenhum acesso desse 
>>>>> gênero.
>>>>> Nosso link instalado até agora é de 4MBps, e é meio preocupante 
>>>>> perder
>>>> 10%
>>>>> do link em lixo.
>>>>>
>>>>> Alguém tem alguma dica sobre o assunto?
>>>>>
>>>>> Um abraço!
>>>>>
>>>>> -- 
>>>>> Maicon Vinicius Nunes
>>>>> (51) 9355-1734
>>>>>
>>>>> -- 
>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>
>>>> -- 
>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>
>>> -- 
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>
>>> -- 
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>
>> -- 
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>
> -- 
> gter list    https://eng.registro.br/mailman/listinfo/gter



More information about the gter mailing list