[GTER] RES: RES: Bloco /20 - Milhares de tentativas de conexão porta 445 (smb)

Kill ABC killabc at gmail.com
Thu Apr 23 14:00:59 -03 2009 

Boa Trade Todos

Eu hoje tenho uma serie de portas bloqueadas para evitar envio ou
recebimento de porcarias (445,3127,3128,135,139, são no total 34 portas
bloqueadas), queria saber quem mais utiliza esss bloqueios e quais portas
estao bloqueando, pois faz tempo que nao atualizo minha lista de bloqueios e
queria saber se alguma porta nova que esteja sendo utilizada por scans e
trojans.

Pois existem portas como a 445 tenho quase que constantemente requisições
nela, ai ja bloqueio direto no router evitando de esses pacotes chegarem aos
seus destinos.

Como regra também tenho a porta 25 fechada, deixando liberada somente as
minhas portas e também as portas de smtps que clientes utilizam.

-- 
T+_+ Kill ABC
ICQ 36741022 - MAC OS X Leopard 10.5.6
"O futuro tem varios nomes: para os fracos, ele é inatingível; para os
temerosos, ele é desconhecido; para os corajosos, ele é a chance..."

2009/4/23 Filipe Thompson <listas.fthompson at live.com>

> Sim, você tem razão, a questão era saber se, como os pacotes não vão chegar
> ao destino, o número de tentativas pode cair gradativamente. Já passei por
> problemas similares, e essa alternativa, que a princípio não resolve o
> problema, fez com que meu atacante desistisse. Só que, no caso do amigo,
> não
> sabemos se é um atacante, se são vários e se de fato haveria queda de
> tentativas em razão dos erros. Mas é uma opção.
>
> Então Maicon, o problema persiste? Só para garantir: você está com regras
> de
> firewall bem definidas e um bem configurado IDS rodando, correto? Não
> descuide.
>
> --
> Filipe Thompson
> fthompson at live.com
>
> -----Mensagem original-----
> De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em
> nome de Edv
> Enviada em: quinta-feira, 23 de abril de 2009 10:59
> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> Assunto: Re: [GTER] RES: Bloco /20 - Milhares de tentativas de conexão
> porta
> 445 (smb)
>
> Dependendo da origem, bloquear no destino pode simplesmente não funcionar,
> pq afinal o recurso (link) já vai ter sido consumido, quando vc dropar o
> pacote indesejado no seu roteador/firewall.
>
> Acho que o mais correto seria usar as communities de black-hole da sua
> operadora...
>
> Julio Arruda, o que vc acha?
>
> até mais!
>
> Edv
>
>
> 2009/4/23 Filipe Thompson <listas.fthompson at live.com>
>
> > Maicon,
> >
> > Certifique-se de que somente a porta 445 está recebendo essas
> "tentativas".
> > Faça uma análise criteriosa dos seus logs, pois se consome tanta banda,
> não
> > pode ser coisa boa. Caso seja somente a 445/SMB, acho que você pode
> > considerar bloqueá-la, dropando todo o tráfego destinado a ela. E
> continue
> > monitorando, veja se o número de tentativas cai.
> >
> > --
> > Filipe Thompson
> > fthompson at live.com
> >
> > -----Mensagem original-----
> > De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br]
> Em
> > nome de Adailton Silva
> > Enviada em: quarta-feira, 22 de abril de 2009 23:46
> > Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> > Assunto: Re: [GTER] Bloco /20 - Milhares de tentativas de conexão porta
> 445
> > (smb)
> >
> > Eu me preocuparia, já que se trata de um Port Scan em todos os IPs do seu
> > bloco. Porta 445/TCP é o protocolo Microsoft SMB sobre TCP, usado pelo
> > Windows para compartilhamento de rede. Ou seja, máquinas que têm porta
> > 445/TCP abertas para a Internet têm alta probabilidade de serem Windows,
> > tem
> > boas chances de estarem vulneráveis e podem ser exploradas, etc, etc.
> >
> > Abs,
> > Adailton
> >
> >
> > 2009/4/22 Antonio Carlos Pina <antoniocarlospina at gmail.com>
> >
> > > Infelizmente pode ser normal sim.
> > >
> > > Existe um "ruído de fundo" na Internet devido a Scans, bots, etc que
> > parece
> > > muito com isso que você cita.
> > >
> > > Não se preocupe que muito provavelmente não é nenhum "concorrente" ou
> > > "invasor" querendo "destruir" seu negócio, mas sim o resultado da
> > > multiplicação dos "n" zumbis scaneando (com duplo sentido!) outros "n"
> > > servidores.
> > >
> > > Abs
> > >
> > > 2009/4/22 Maicon Vinicius Nunes <nunesvn at gmail.com>
> > >
> > > > Boa noite, lista.
> > > >
> > > > Solicitamos o AS aqui na empresa (um pequeno, mas crescente ISP), fiz
> > as
> > > > configurações de BGP com a operadora, recebi as rotas, anunciei a
> nossa
> > e
> > > > está tudo funcionando normalmente. O problema é o seguinte:
> > > >
> > > > Temos um bloco de IPS /20. Neste bloco há apenas um IP utilizado, o
> do
> > > > roteador. Percebi que o tráfego estava alto (em média 200kbps,
> chegando
> > a
> > > > 1Mbps), mesmo sem nada conectado, e analisando, percebi que eram
> > > tentativas
> > > > de acesso à porta 445 (smb). Até aí tudo bem, vírus, port scan e
> coisas
> > > do
> > > > gênero são normais. Ocorre que as tentativas se destinam a
> praticamente
> > > > todos os 4096 endereços do bloco, e são incessantes. Criei regras
> > (usamos
> > > > Mikrotik) para capturar todas as tentativas de acesso a qualquer IP
> da
> > > rede
> > > > (menos ao roteador) e inserir o IP de origem em uma blacklist, para
> >  que
> > > > aquele IP não incomode mais, ao menos por um tempo. Entretanto, fiz
> > isso
> > > > hoje à tarde (por volta das 16hs), e agora, 21:40, a blacklist já tem
> > > 48797
> > > > endereços.
> > > >
> > > > Não estamos acostumados a monitorar uma faixa de IPs tão grande
> quanto
> > um
> > > > /20, portanto eu pergunto aos senhores: é normal esse nível de
> > atividade?
> > > > Percebi que dois /25 que temos aqui não tem nenhum acesso desse
> gênero.
> > > > Nosso link instalado até agora é de 4MBps, e é meio preocupante
> perder
> > > 10%
> > > > do link em lixo.
> > > >
> > > > Alguém tem alguma dica sobre o assunto?
> > > >
> > > > Um abraço!
> > > >
> > > > --
> > > > Maicon Vinicius Nunes
> > > > (51) 9355-1734
> > > >
> > > > --
> > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > >
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

More information about the gter mailing list