[GTER] Bloco /20 - Milhares de tentativas de conexão porta 445 (smb)
Carlos Eduardo Tavares Terra
eduardo.terra at gmail.com
Thu Apr 23 11:31:28 -03 2009
Maicon,
mal lhe pergunte, mas porque solicitaram AS? Com 4Mbps de link,
provavelmente não são multi-homed. Só utilizam 1 IP de todo o /20. E
normalmente o lixo na internet sobe bastante com o aumento do número
de IPs, aumentando largamente o consumo do link.
Possuo um servidor que tem um /24 só pra ele e já tive que preparar
diversas regras de proteção, pois qualquer scan já era um ataque de
negação de serviço. Em questão de segundos haviam 254 conexões
simultâneas nos serviços. Fora os lixos de netbios e afins. A máquina
tem uns 200Kbps de tráfego só de lixo continuamente. Não gosto disso
mesmo tendo 60Mbps de link.
Tirando por experiência própria, o seu problema é normal. E poderá
aumentar em momentos críticos na rede.
Att,
--
Carlos Eduardo Tavares Terra
2009/4/22 Maicon Vinicius Nunes <nunesvn at gmail.com>:
> Boa noite, lista.
>
> Solicitamos o AS aqui na empresa (um pequeno, mas crescente ISP), fiz as
> configurações de BGP com a operadora, recebi as rotas, anunciei a nossa e
> está tudo funcionando normalmente. O problema é o seguinte:
>
> Temos um bloco de IPS /20. Neste bloco há apenas um IP utilizado, o do
> roteador. Percebi que o tráfego estava alto (em média 200kbps, chegando a
> 1Mbps), mesmo sem nada conectado, e analisando, percebi que eram tentativas
> de acesso à porta 445 (smb). Até aí tudo bem, vírus, port scan e coisas do
> gênero são normais. Ocorre que as tentativas se destinam a praticamente
> todos os 4096 endereços do bloco, e são incessantes. Criei regras (usamos
> Mikrotik) para capturar todas as tentativas de acesso a qualquer IP da rede
> (menos ao roteador) e inserir o IP de origem em uma blacklist, para que
> aquele IP não incomode mais, ao menos por um tempo. Entretanto, fiz isso
> hoje à tarde (por volta das 16hs), e agora, 21:40, a blacklist já tem 48797
> endereços.
>
> Não estamos acostumados a monitorar uma faixa de IPs tão grande quanto um
> /20, portanto eu pergunto aos senhores: é normal esse nível de atividade?
> Percebi que dois /25 que temos aqui não tem nenhum acesso desse gênero.
> Nosso link instalado até agora é de 4MBps, e é meio preocupante perder 10%
> do link em lixo.
>
> Alguém tem alguma dica sobre o assunto?
>
> Um abraço!
>
> --
> Maicon Vinicius Nunes
> (51) 9355-1734
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list