[GTER] RES: RES: Bloco /20 - Milhares de tentativas de conexão porta 445 (smb)

Filipe Thompson listas.fthompson at live.com
Thu Apr 23 11:06:36 -03 2009


Sim, você tem razão, a questão era saber se, como os pacotes não vão chegar
ao destino, o número de tentativas pode cair gradativamente. Já passei por
problemas similares, e essa alternativa, que a princípio não resolve o
problema, fez com que meu atacante desistisse. Só que, no caso do amigo, não
sabemos se é um atacante, se são vários e se de fato haveria queda de
tentativas em razão dos erros. Mas é uma opção.

Então Maicon, o problema persiste? Só para garantir: você está com regras de
firewall bem definidas e um bem configurado IDS rodando, correto? Não
descuide.

--
Filipe Thompson
fthompson at live.com

-----Mensagem original-----
De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em
nome de Edv
Enviada em: quinta-feira, 23 de abril de 2009 10:59
Para: Grupo de Trabalho de Engenharia e Operacao de Redes
Assunto: Re: [GTER] RES: Bloco /20 - Milhares de tentativas de conexão porta
445 (smb)

Dependendo da origem, bloquear no destino pode simplesmente não funcionar,
pq afinal o recurso (link) já vai ter sido consumido, quando vc dropar o
pacote indesejado no seu roteador/firewall.

Acho que o mais correto seria usar as communities de black-hole da sua
operadora...

Julio Arruda, o que vc acha?

até mais!

Edv


2009/4/23 Filipe Thompson <listas.fthompson at live.com>

> Maicon,
>
> Certifique-se de que somente a porta 445 está recebendo essas
"tentativas".
> Faça uma análise criteriosa dos seus logs, pois se consome tanta banda,
não
> pode ser coisa boa. Caso seja somente a 445/SMB, acho que você pode
> considerar bloqueá-la, dropando todo o tráfego destinado a ela. E continue
> monitorando, veja se o número de tentativas cai.
>
> --
> Filipe Thompson
> fthompson at live.com
>
> -----Mensagem original-----
> De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em
> nome de Adailton Silva
> Enviada em: quarta-feira, 22 de abril de 2009 23:46
> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> Assunto: Re: [GTER] Bloco /20 - Milhares de tentativas de conexão porta
445
> (smb)
>
> Eu me preocuparia, já que se trata de um Port Scan em todos os IPs do seu
> bloco. Porta 445/TCP é o protocolo Microsoft SMB sobre TCP, usado pelo
> Windows para compartilhamento de rede. Ou seja, máquinas que têm porta
> 445/TCP abertas para a Internet têm alta probabilidade de serem Windows,
> tem
> boas chances de estarem vulneráveis e podem ser exploradas, etc, etc.
>
> Abs,
> Adailton
>
>
> 2009/4/22 Antonio Carlos Pina <antoniocarlospina at gmail.com>
>
> > Infelizmente pode ser normal sim.
> >
> > Existe um "ruído de fundo" na Internet devido a Scans, bots, etc que
> parece
> > muito com isso que você cita.
> >
> > Não se preocupe que muito provavelmente não é nenhum "concorrente" ou
> > "invasor" querendo "destruir" seu negócio, mas sim o resultado da
> > multiplicação dos "n" zumbis scaneando (com duplo sentido!) outros "n"
> > servidores.
> >
> > Abs
> >
> > 2009/4/22 Maicon Vinicius Nunes <nunesvn at gmail.com>
> >
> > > Boa noite, lista.
> > >
> > > Solicitamos o AS aqui na empresa (um pequeno, mas crescente ISP), fiz
> as
> > > configurações de BGP com a operadora, recebi as rotas, anunciei a
nossa
> e
> > > está tudo funcionando normalmente. O problema é o seguinte:
> > >
> > > Temos um bloco de IPS /20. Neste bloco há apenas um IP utilizado, o do
> > > roteador. Percebi que o tráfego estava alto (em média 200kbps,
chegando
> a
> > > 1Mbps), mesmo sem nada conectado, e analisando, percebi que eram
> > tentativas
> > > de acesso à porta 445 (smb). Até aí tudo bem, vírus, port scan e
coisas
> > do
> > > gênero são normais. Ocorre que as tentativas se destinam a
praticamente
> > > todos os 4096 endereços do bloco, e são incessantes. Criei regras
> (usamos
> > > Mikrotik) para capturar todas as tentativas de acesso a qualquer IP da
> > rede
> > > (menos ao roteador) e inserir o IP de origem em uma blacklist, para
>  que
> > > aquele IP não incomode mais, ao menos por um tempo. Entretanto, fiz
> isso
> > > hoje à tarde (por volta das 16hs), e agora, 21:40, a blacklist já tem
> > 48797
> > > endereços.
> > >
> > > Não estamos acostumados a monitorar uma faixa de IPs tão grande quanto
> um
> > > /20, portanto eu pergunto aos senhores: é normal esse nível de
> atividade?
> > > Percebi que dois /25 que temos aqui não tem nenhum acesso desse
gênero.
> > > Nosso link instalado até agora é de 4MBps, e é meio preocupante perder
> > 10%
> > > do link em lixo.
> > >
> > > Alguém tem alguma dica sobre o assunto?
> > >
> > > Um abraço!
> > >
> > > --
> > > Maicon Vinicius Nunes
> > > (51) 9355-1734
> > >
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>
--
gter list    https://eng.registro.br/mailman/listinfo/gter




More information about the gter mailing list