[GTER] Problema com DNS de - ajuda no diagnostico.

Herlon Alcantara Matos herlon at lcimt.com.br
Thu Apr 23 16:19:10 -03 2009


Eu já tive problemas semelhante, mas entre a rede cliente e o dns, havia um 
proxy.
Na verdade o problema era no proxy e não no DNS.


Herlon
LCI Telecom
----- Original Message ----- 
From: <gter-request at eng.registro.br>
To: <gter at eng.registro.br>
Sent: Thursday, April 23, 2009 1:06 PM
Subject: gter Digest, Vol 73, Issue 49


> Send gter mailing list submissions to
> gter at eng.registro.br
>
> To subscribe or unsubscribe via the World Wide Web, visit
> https://eng.registro.br/mailman/listinfo/gter
> or, via email, send a message with subject or body 'help' to
> gter-request at eng.registro.br
>
> You can reach the person managing the list at
> gter-owner at eng.registro.br
>
> When replying, please edit your Subject line so it is more specific
> than "Re: Contents of gter digest..."
>
>
> Today's Topics:
>
>   1. Re: Problema com DNS de - ajuda no diagnostico. (Joao H L M Silva)
>   2. Re: RES: Problema com DNS de - ajuda no diagnostico.
>      (Joao H L M Silva)
>   3. RES:  RES: Bloco /20 - Milhares de tentativas de conex?o
>      porta 445 (smb) (Filipe Thompson)
>   4. Re: Montagem provedor via cabo (Sergio Guimar?es Faulhaber)
>   5. Re: RES: RES: Bloco /20 - Milhares de tentativas de conex?o
>      porta 445 (smb) (Kill ABC)
>
>
> ----------------------------------------------------------------------
>
> Message: 1
> Date: Thu, 23 Apr 2009 11:37:20 -0300
> From: Joao H L M Silva <jhlmsilva at gmail.com>
> Subject: Re: [GTER] Problema com DNS de - ajuda no diagnostico.
> To: Grupo de Trabalho de Engenharia e Operacao de Redes
> <gter at eng.registro.br>
> Message-ID:
> <672545930904230737u886f272x734a4f44eb9e1bd8 at mail.gmail.com>
> Content-Type: text/plain; charset=ISO-8859-1
>
> 2009/4/22 Ricardo Rodrigues <rcr.listas at ig.com.br>:
>> Joao,
>>
>> O seu DNS e os DNS externos est?o resolvendo estes nomes para os
>> mesmos endere?os IP?
>>
>> Abs,
>> Ricardo
>
> Ola Ricardo,
>
> estao sim, apontam para os mesmos NS e mesmos registros A
>
> um fato curioso, ? que ativei querylog e nenhuma das queries que
> chegam no meu servidor ficam sem resposta, durante uma sessao que da
> problema por exemplo
>
>>
>> 2009/4/17 Joao H L M Silva <jhlmsilva at gmail.com>:
>>> prezados
>>>
>>> tenho um problema estranh?o de dns
>>>
>>> ao utilizar o meu dns para resolver alguns sites como www.disney.com,
>>> www.prodemge.gov.br, www.habbo.com eu consigo as resolucoes iniciais,
>>> mas depois nao consigo acessar o servico web desses sites, no
>>> navegador fica tentando para sempre (nao eh cache, ma configuracao,
>>> nem navegador, testado em 3 e maquinas distintas todas com mesmo
>>> comportamento)
>>>
>>> se faco manualnente,com telnet, observem a sessao:
>>>
>>> Connected to www.habbo.com.
>>> Escape character is '^]'.
>>> GET http://www.habbo.com/ HTTP/1.1
>>>
>>> HTTP/1.0 200 OK
>>> Date: Fri, 17 Apr 2009 15:25:31 GMT
>>> Server: Apache
>>> X-Origin-Id: resin-fe-4
>>> Cache-Control: no-cache, no-store, must-revalidate, pre-check=0, 
>>> post-check=0
>>> Expires: Thu, 05 Oct 2006 12:00:00 GMT
>>> Pragma: no-cache
>>> Set-Cookie: habboab=habboab:pixel; path=/; expires=Tue, 16-Jun-2009 
>>> 15:25:31 GMT
>>> Content-Type: text/html; charset=utf-8
>>> P3P: CP="NON DSP COR CURa ADMa OUR STP STA"
>>> X-Cache: MISS from www.habbo.com
>>> Connection: close
>>>
>>> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
>>>        "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
>>> <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en">
>>> <head>
>>>        <meta http-equiv="content-type" content="text/html; 
>>> charset=utf-8" />
>>>        <title>Habbo US ~ Home </title>
>>>
>>> <script type="text/javascript">
>>> var andSoItBegins = (new Date()).getTime();
>>> </script>
>>>    <link rel="shortcut icon"
>>> href="http://images.habbohotel.com/habboweb/32_b68c6e81935491efe90d527a0b737044/8/web-gallery/v2/favicon.ico"
>>> type="image/vnd.microsoft.icon" />
>>>    <link rel="alternate" type="application/rss+xml" title="Habbo US ~
>>> RSS" href="http://www.habbo.com/articles/rss.xml" />
>>> <script 
>>> src="http://images.habbohotel.com/habboweb/32_b68c6e81935491efe90d527a0b737044/8/web-gallery/static/js/landing.js"
>>> type="text/java
>>> Connection closed by foreign host.
>>>
>>> notem que a conexao se encerrou subitamente
>>> o que da a impressao que ? alguma restricao, etc, correto?
>>>
>>> mas se eu troco o DNS e coloco um outro, e faco igual, tudo
>>> subitamente funciona! tanto navegadores quanto na mao via telnet
>>>
>>> testei com um DNS open relay aberto por ai, e funciona; com opendns
>>> tambem funciona, so com o meu que n?o! :(
>>>
>>> Atualizei o BIND para a ultima versao, ja minimizei a configuracao
>>> para apenas recursivo+cache, ja removi bind e coloquei
>>> tinydbs+dnscache e nada! nao funciona, simplesmente...
>>>
>>> fatos relevantes: o CIDR ? meu, e eu ainda n?o estou na base do ALTDB
>>> ou RADB ou outros alternativos, minha rede ? 01. e n?o 187, 189 que
>>> eram reservadas pela IANA alguns anos atras; eu troco trafego com
>>> apenas 1 peer (global crossing)
>>>
>>> o problema pra mim esta tao critico que tive que deixar forwarders {}
>>> no meu dns apontando para um provedor parceiro que abriu recursao pro
>>> meu CIDR temporariamente ate eu resolver, para que meus usarios nao
>>> sintam o tamanho do problema e sim, fazer forward pro parceiro tudo
>>> funciona
>>>
>>> fica claro que parece ser alguma restricao associada aos meus DNS ou
>>> IPs, mas tambem nao consegui diagnosticar, tente assim:
>>>
>>> ativei querylog no bind e comecei olhar de um unico IP, IP meu, com
>>> Windows XP, firefox 3 e google chrome, tipico usuario convencional
>>>
>>> todas as queries DNS logadas nesse IP resolvem e funcional, se vejo
>>> uma entrada tipo mages.habbohotel.com, disney.go.com, etc, nos logs do
>>> dns server e faco nslookup no windows, funciona, mas o que nao
>>> funciona aparentemente eu nem recebo os logs no bind, tem algum outro
>>> tipo de log que voces sugerem que eu ative?
>>>
>>> alguma forma boa de restrear isso? alguma flag magica no dig, alguma
>>> ferramenta, etc
>>>
>>> e o principal alguem teve algo similar ja? ou tem ideia do que possa 
>>> ser?
>>>
>>> eu honestamente cheguei no limite do que eu possa testar e sei que
>>> quando isso acontece as chances sao que seja algo tao bobo que a gente
>>> nao ve (ou tao serio que chega a ser estranho, torco pelo primeiro)
>>>
>>> sei que o email ficou longo mas nao pude resumir melhor
>>>
>>> agradeco a todos
>
>
> ------------------------------
>
> Message: 2
> Date: Thu, 23 Apr 2009 11:39:24 -0300
> From: Joao H L M Silva <jhlmsilva at gmail.com>
> Subject: Re: [GTER] RES: Problema com DNS de - ajuda no diagnostico.
> To: Grupo de Trabalho de Engenharia e Operacao de Redes
> <gter at eng.registro.br>
> Message-ID:
> <672545930904230739n512271a5n93dd2fa3ce047c2e at mail.gmail.com>
> Content-Type: text/plain; charset=ISO-8859-1
>
> 2009/4/22 Toledo, Luis Carlos <lscrlstld at gmail.com>:
>> Os root name servers est?o atualizados? A partir de seus Ips vc consegue
>> chegar a eles?
>
> estao atualizados sim, durante minhas tentativas baixei o named.root
> de ftp.internic.net e na verdade estava atualizada antes
>
> sim chego nos root-ns, em todos
>
>>
>>> Joao,
>>>
>>> O seu DNS e os DNS externos est?o resolvendo estes nomes para
>>> os mesmos endere?os IP?
>>>
>>> Abs,
>>> Ricardo
>>>
>>> 2009/4/17 Joao H L M Silva <jhlmsilva at gmail.com>:
>>> > prezados
>>> >
>>> > tenho um problema estranh?o de dns
>>> >
>>> > ao utilizar o meu dns para resolver alguns sites como
>>> www.disney.com,
>>> > www.prodemge.gov.br, www.habbo.com eu consigo as resolucoes
>>> iniciais,
>>> > mas depois nao consigo acessar o servico web desses sites, no
>>> > navegador fica tentando para sempre (nao eh cache, ma configuracao,
>>> > nem navegador, testado em 3 e maquinas distintas todas com mesmo
>>> > comportamento)
>>> >
>>> > se faco manualnente,com telnet, observem a sessao:
>>
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
>
>
> ------------------------------
>
> Message: 3
> Date: Thu, 23 Apr 2009 11:06:36 -0300
> From: "Filipe Thompson" <listas.fthompson at live.com>
> Subject: [GTER] RES:  RES: Bloco /20 - Milhares de tentativas de
> conex?o porta 445 (smb)
> To: "'Grupo de Trabalho de Engenharia e Operacao de Redes'"
> <gter at eng.registro.br>
> Message-ID: <BLU0-SMTP2079973F8CE58C64F25A6CE7750 at phx.gbl>
> Content-Type: text/plain; charset="iso-8859-1"
>
> Sim, voc? tem raz?o, a quest?o era saber se, como os pacotes n?o v?o 
> chegar
> ao destino, o n?mero de tentativas pode cair gradativamente. J? passei por
> problemas similares, e essa alternativa, que a princ?pio n?o resolve o
> problema, fez com que meu atacante desistisse. S? que, no caso do amigo, 
> n?o
> sabemos se ? um atacante, se s?o v?rios e se de fato haveria queda de
> tentativas em raz?o dos erros. Mas ? uma op??o.
>
> Ent?o Maicon, o problema persiste? S? para garantir: voc? est? com regras 
> de
> firewall bem definidas e um bem configurado IDS rodando, correto? N?o
> descuide.
>
> --
> Filipe Thompson
> fthompson at live.com
>
> -----Mensagem original-----
> De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em
> nome de Edv
> Enviada em: quinta-feira, 23 de abril de 2009 10:59
> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> Assunto: Re: [GTER] RES: Bloco /20 - Milhares de tentativas de conex?o 
> porta
> 445 (smb)
>
> Dependendo da origem, bloquear no destino pode simplesmente n?o funcionar,
> pq afinal o recurso (link) j? vai ter sido consumido, quando vc dropar o
> pacote indesejado no seu roteador/firewall.
>
> Acho que o mais correto seria usar as communities de black-hole da sua
> operadora...
>
> Julio Arruda, o que vc acha?
>
> at? mais!
>
> Edv
>
>
> 2009/4/23 Filipe Thompson <listas.fthompson at live.com>
>
>> Maicon,
>>
>> Certifique-se de que somente a porta 445 est? recebendo essas
> "tentativas".
>> Fa?a uma an?lise criteriosa dos seus logs, pois se consome tanta banda,
> n?o
>> pode ser coisa boa. Caso seja somente a 445/SMB, acho que voc? pode
>> considerar bloque?-la, dropando todo o tr?fego destinado a ela. E 
>> continue
>> monitorando, veja se o n?mero de tentativas cai.
>>
>> --
>> Filipe Thompson
>> fthompson at live.com
>>
>> -----Mensagem original-----
>> De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em
>> nome de Adailton Silva
>> Enviada em: quarta-feira, 22 de abril de 2009 23:46
>> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
>> Assunto: Re: [GTER] Bloco /20 - Milhares de tentativas de conex?o porta
> 445
>> (smb)
>>
>> Eu me preocuparia, j? que se trata de um Port Scan em todos os IPs do seu
>> bloco. Porta 445/TCP ? o protocolo Microsoft SMB sobre TCP, usado pelo
>> Windows para compartilhamento de rede. Ou seja, m?quinas que t?m porta
>> 445/TCP abertas para a Internet t?m alta probabilidade de serem Windows,
>> tem
>> boas chances de estarem vulner?veis e podem ser exploradas, etc, etc.
>>
>> Abs,
>> Adailton
>>
>>
>> 2009/4/22 Antonio Carlos Pina <antoniocarlospina at gmail.com>
>>
>> > Infelizmente pode ser normal sim.
>> >
>> > Existe um "ru?do de fundo" na Internet devido a Scans, bots, etc que
>> parece
>> > muito com isso que voc? cita.
>> >
>> > N?o se preocupe que muito provavelmente n?o ? nenhum "concorrente" ou
>> > "invasor" querendo "destruir" seu neg?cio, mas sim o resultado da
>> > multiplica??o dos "n" zumbis scaneando (com duplo sentido!) outros "n"
>> > servidores.
>> >
>> > Abs
>> >
>> > 2009/4/22 Maicon Vinicius Nunes <nunesvn at gmail.com>
>> >
>> > > Boa noite, lista.
>> > >
>> > > Solicitamos o AS aqui na empresa (um pequeno, mas crescente ISP), fiz
>> as
>> > > configura??es de BGP com a operadora, recebi as rotas, anunciei a
> nossa
>> e
>> > > est? tudo funcionando normalmente. O problema ? o seguinte:
>> > >
>> > > Temos um bloco de IPS /20. Neste bloco h? apenas um IP utilizado, o 
>> > > do
>> > > roteador. Percebi que o tr?fego estava alto (em m?dia 200kbps,
> chegando
>> a
>> > > 1Mbps), mesmo sem nada conectado, e analisando, percebi que eram
>> > tentativas
>> > > de acesso ? porta 445 (smb). At? a? tudo bem, v?rus, port scan e
> coisas
>> > do
>> > > g?nero s?o normais. Ocorre que as tentativas se destinam a
> praticamente
>> > > todos os 4096 endere?os do bloco, e s?o incessantes. Criei regras
>> (usamos
>> > > Mikrotik) para capturar todas as tentativas de acesso a qualquer IP 
>> > > da
>> > rede
>> > > (menos ao roteador) e inserir o IP de origem em uma blacklist, para
>>  que
>> > > aquele IP n?o incomode mais, ao menos por um tempo. Entretanto, fiz
>> isso
>> > > hoje ? tarde (por volta das 16hs), e agora, 21:40, a blacklist j? tem
>> > 48797
>> > > endere?os.
>> > >
>> > > N?o estamos acostumados a monitorar uma faixa de IPs t?o grande 
>> > > quanto
>> um
>> > > /20, portanto eu pergunto aos senhores: ? normal esse n?vel de
>> atividade?
>> > > Percebi que dois /25 que temos aqui n?o tem nenhum acesso desse
> g?nero.
>> > > Nosso link instalado at? agora ? de 4MBps, e ? meio preocupante 
>> > > perder
>> > 10%
>> > > do link em lixo.
>> > >
>> > > Algu?m tem alguma dica sobre o assunto?
>> > >
>> > > Um abra?o!
>> > >
>> > > --
>> > > Maicon Vinicius Nunes
>> > > (51) 9355-1734
>> > >
>> > > --
>> > > gter list    https://eng.registro.br/mailman/listinfo/gter
>> > >
>> > --
>> > gter list    https://eng.registro.br/mailman/listinfo/gter
>> >
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>
>
>
> ------------------------------
>
> Message: 4
> Date: Thu, 23 Apr 2009 13:39:26 -0300
> From: Sergio Guimar?es Faulhaber <serfau at acessa.com>
> Subject: Re: [GTER] Montagem provedor via cabo
> To: Grupo de Trabalho de Engenharia e Operacao de Redes
> <gter at eng.registro.br>
> Message-ID: <49F099BE.6000202 at acessa.com>
> Content-Type: text/plain; charset=ISO-8859-1; format=flowed
>
> Oi todos,
>
> estou pesquisando tb solu??es para a ?ltima milha .
>
> Basicamente verifiquei as seguintes solu??es :
>
> 1) usar DOCSIS (cable da NET)
>      n?o tenho informa??es
>
> 2) usar dslam adsl+ 22 mb/s
>     conversei com quem esta usando e disse estar aprovando. Entretanto
> a velocidade para upload ? muito pequena.
>     o normal ? 1 mb/s e o m?ximo 3 mb/s
>
> 3) hpna3 da cianet
>      conversamos com o pessoal da Cianet e tb fizemos o curso deles.
>      ? uma solu??o que tem velocidade de 128 mbytes/s ( tive
> informa??es de usu?rios de conseguiram 40 mbytes/s real)
>      ? baseada em cabo coaxial e tem um switch que aceita fibra e feito
> para ser instalado em poste.
>      Ainda n?o tem homologa??o ANATEL
>
> 4) GPON (furukawa)
>     de longe a melhor , mas tb muito mais cara.
>     Pelos calculos feitos , h? um custo de +- R$ 2500,00 por cliente.
>     Tecnologia ? propriet?ria, apesar da PLANET j? estar lan?ando sua
> linha.
>
> Se algu?m tem mais alguma informa??o , por favor nos informe .
> A prop?sito ,  alguem tem informa??es sobre a utiliza??o das caixas
> de passagens das telefonicas para entrada nos condom?nios ?
>
> Obrigado
>
>
> Ilicilho Netto escreveu:
>> Rossini.
>>
>> Tbm tenho trabalhado com varios DsLAN e documenta??o de cabeamento. Se
>> precisar, me contate em PVT.
>>
>> Abra?o
>>
>> .'.Ilicilho
>>
>> 2009/4/22 Emiliano Martins <emiliano.martins at ik1.com.br>
>>
>>> Rossini,
>>> Se voc? quer saber mais a respeito de xDSL, entre em contato comigo em 
>>> pvt.
>>>
>>> Att
>>>
>>> 2009/4/22 Rossini Carlos <rossisolrac at hotmail.com>
>>>
>>>> J? pesquisei a respeito de DSL, mas tamb?m falta material t?cnico. 
>>>> Estou
>>>> comparando as tecnologias.
>>>>
>>>>> Date: Wed, 22 Apr 2009 10:44:55 -0300
>>>>> From: itamar at ispbrasil.com.br
>>>>> To: gter at eng.registro.br
>>>>> Subject: Re: [GTER] Montagem provedor via cabo
>>>>>
>>>>> por que n?o utiliza xDSL ?
>>>>>
>>>>>
>>>>>
>>>>>
>>>>> 2009/4/21 Rossini Carlos <rossisolrac at hotmail.com>:
>>>>>> Ol? caros, gostaria de informa??es do pessoal mais especializado
>>> sobre
>>>> equipamentos para montagem de um provedor via cabo (tecnologia HFC).
>>>>>> S? a parte de equipamentos mesmo, aluguel de poste ? outra coisa.
>>>>>>
>>>>>> Quais fabricantes e pre?os m?dios de CMTS e se al?m deles e do cable
>>>> modem no cliente precisa de mais algum equipamento, ou ainda alguma
>>> leitura
>>>> t?cnica sobre o assunto.
>>>>>> Grato
>>>>>>
>>>>>> _________________________________________________________________
>>>>>> Fa?a j? uma busa e ganhe um wink do Messenger. Est? esperando o que?
>>> ?
>>>> gr?tis!
>>>>>> http://www.ibud.com.br/
>>>>>> --
>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>>
>>>>>
>>>>>
>>>>> --
>>>>> ------------
>>>>>
>>>>> Itamar Reis Peixoto
>>>>>
>>>>> e-mail/msn: itamar at ispbrasil.com.br
>>>>> sip: itamar at ispbrasil.com.br
>>>>> skype: itamarjp
>>>>> icq: 81053601
>>>>> +55 11 4063 5033
>>>>> +55 34 3221 8599
>>>>> --
>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>> _________________________________________________________________
>>>> Emoticons e Winks super diferentes para o Messenger. Baixe agora, ?
>>> gr?tis!
>>>> http://specials.br.msn.com/ilovemessenger/pacotes.aspx
>>>> --
>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>
>>>
>>>
>>> --
>>> Emiliano Martins
>>> iK1 Tecnologia Ltda
>>>  --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>
>>
>>
>>
>
>
> -- 
> --------------------------------------------------------------------
> Sergio G. Faulhaber                    serfau at acessa.com
> ACESSA.com                             w w w . a c e s s a . c o m
> MAIS COMUNICA??O                       Telefax:(32)2101-2000
> voz . internet . dados                 Av. Rio Branco, 2384
> ---------------------------------------------------------------------
> *Esta mensagem pode conter informa??es confidenciais e/ou privilegiadas.
> Se voc? n?o for o destinat?rio ou a pessoa autorizada a receb?-la, n?o
> pode usar, copiar ou divulgar as informa??es nela contidas ou tomar
> qualquer a??o baseada nelas. Se voc? recebeu esta mensagem por engano,
> por favor, avise imediatamente o remetente, e em seguida, apague-a.
> Comunica??es pela Internet n?o podem ser garantidas quanto ? seguran?a
> ou inexist?ncia de erros ou de v?rus. O remetente, por esta raz?o, n?o
> aceita responsabilidade por qualquer erro ou omiss?o no contexto da
> mensagem decorrente da transmiss?o via Internet.
>
> This E-mail is confidential. It may also be legally privileged. If you
> are not the addressee you may not copy, forward, disclose or use any
> part of it. If you have received this message in error, please delete it
> and all copies from your system and notify the sender immediately by
> return E-mail.
> Internet communications cannot be guaranteed to be timely, secure, error
> or virus-free. The sender does not accept liability for any errors or
> omissions.*
>
>
>
> ------------------------------
>
> Message: 5
> Date: Thu, 23 Apr 2009 14:00:59 -0300
> From: Kill ABC <killabc at gmail.com>
> Subject: Re: [GTER] RES: RES: Bloco /20 - Milhares de tentativas de
> conex?o porta 445 (smb)
> To: Grupo de Trabalho de Engenharia e Operacao de Redes
> <gter at eng.registro.br>
> Message-ID:
> <d4441350904231000j2c07282k650f6eb97225cdfc at mail.gmail.com>
> Content-Type: text/plain; charset=ISO-8859-1
>
> Boa Trade Todos
>
> Eu hoje tenho uma serie de portas bloqueadas para evitar envio ou
> recebimento de porcarias (445,3127,3128,135,139, s?o no total 34 portas
> bloqueadas), queria saber quem mais utiliza esss bloqueios e quais portas
> estao bloqueando, pois faz tempo que nao atualizo minha lista de bloqueios 
> e
> queria saber se alguma porta nova que esteja sendo utilizada por scans e
> trojans.
>
> Pois existem portas como a 445 tenho quase que constantemente requisi??es
> nela, ai ja bloqueio direto no router evitando de esses pacotes chegarem 
> aos
> seus destinos.
>
> Como regra tamb?m tenho a porta 25 fechada, deixando liberada somente as
> minhas portas e tamb?m as portas de smtps que clientes utilizam.
>
> -- 
> T+_+ Kill ABC
> ICQ 36741022 - MAC OS X Leopard 10.5.6
> "O futuro tem varios nomes: para os fracos, ele ? inating?vel; para os
> temerosos, ele ? desconhecido; para os corajosos, ele ? a chance..."
>
> 2009/4/23 Filipe Thompson <listas.fthompson at live.com>
>
>> Sim, voc? tem raz?o, a quest?o era saber se, como os pacotes n?o v?o 
>> chegar
>> ao destino, o n?mero de tentativas pode cair gradativamente. J? passei 
>> por
>> problemas similares, e essa alternativa, que a princ?pio n?o resolve o
>> problema, fez com que meu atacante desistisse. S? que, no caso do amigo,
>> n?o
>> sabemos se ? um atacante, se s?o v?rios e se de fato haveria queda de
>> tentativas em raz?o dos erros. Mas ? uma op??o.
>>
>> Ent?o Maicon, o problema persiste? S? para garantir: voc? est? com regras
>> de
>> firewall bem definidas e um bem configurado IDS rodando, correto? N?o
>> descuide.
>>
>> --
>> Filipe Thompson
>> fthompson at live.com
>>
>> -----Mensagem original-----
>> De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em
>> nome de Edv
>> Enviada em: quinta-feira, 23 de abril de 2009 10:59
>> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
>> Assunto: Re: [GTER] RES: Bloco /20 - Milhares de tentativas de conex?o
>> porta
>> 445 (smb)
>>
>> Dependendo da origem, bloquear no destino pode simplesmente n?o 
>> funcionar,
>> pq afinal o recurso (link) j? vai ter sido consumido, quando vc dropar o
>> pacote indesejado no seu roteador/firewall.
>>
>> Acho que o mais correto seria usar as communities de black-hole da sua
>> operadora...
>>
>> Julio Arruda, o que vc acha?
>>
>> at? mais!
>>
>> Edv
>>
>>
>> 2009/4/23 Filipe Thompson <listas.fthompson at live.com>
>>
>> > Maicon,
>> >
>> > Certifique-se de que somente a porta 445 est? recebendo essas
>> "tentativas".
>> > Fa?a uma an?lise criteriosa dos seus logs, pois se consome tanta banda,
>> n?o
>> > pode ser coisa boa. Caso seja somente a 445/SMB, acho que voc? pode
>> > considerar bloque?-la, dropando todo o tr?fego destinado a ela. E
>> continue
>> > monitorando, veja se o n?mero de tentativas cai.
>> >
>> > --
>> > Filipe Thompson
>> > fthompson at live.com
>> >
>> > -----Mensagem original-----
>> > De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br]
>> Em
>> > nome de Adailton Silva
>> > Enviada em: quarta-feira, 22 de abril de 2009 23:46
>> > Para: Grupo de Trabalho de Engenharia e Operacao de Redes
>> > Assunto: Re: [GTER] Bloco /20 - Milhares de tentativas de conex?o porta
>> 445
>> > (smb)
>> >
>> > Eu me preocuparia, j? que se trata de um Port Scan em todos os IPs do 
>> > seu
>> > bloco. Porta 445/TCP ? o protocolo Microsoft SMB sobre TCP, usado pelo
>> > Windows para compartilhamento de rede. Ou seja, m?quinas que t?m porta
>> > 445/TCP abertas para a Internet t?m alta probabilidade de serem 
>> > Windows,
>> > tem
>> > boas chances de estarem vulner?veis e podem ser exploradas, etc, etc.
>> >
>> > Abs,
>> > Adailton
>> >
>> >
>> > 2009/4/22 Antonio Carlos Pina <antoniocarlospina at gmail.com>
>> >
>> > > Infelizmente pode ser normal sim.
>> > >
>> > > Existe um "ru?do de fundo" na Internet devido a Scans, bots, etc que
>> > parece
>> > > muito com isso que voc? cita.
>> > >
>> > > N?o se preocupe que muito provavelmente n?o ? nenhum "concorrente" ou
>> > > "invasor" querendo "destruir" seu neg?cio, mas sim o resultado da
>> > > multiplica??o dos "n" zumbis scaneando (com duplo sentido!) outros 
>> > > "n"
>> > > servidores.
>> > >
>> > > Abs
>> > >
>> > > 2009/4/22 Maicon Vinicius Nunes <nunesvn at gmail.com>
>> > >
>> > > > Boa noite, lista.
>> > > >
>> > > > Solicitamos o AS aqui na empresa (um pequeno, mas crescente ISP), 
>> > > > fiz
>> > as
>> > > > configura??es de BGP com a operadora, recebi as rotas, anunciei a
>> nossa
>> > e
>> > > > est? tudo funcionando normalmente. O problema ? o seguinte:
>> > > >
>> > > > Temos um bloco de IPS /20. Neste bloco h? apenas um IP utilizado, o
>> do
>> > > > roteador. Percebi que o tr?fego estava alto (em m?dia 200kbps,
>> chegando
>> > a
>> > > > 1Mbps), mesmo sem nada conectado, e analisando, percebi que eram
>> > > tentativas
>> > > > de acesso ? porta 445 (smb). At? a? tudo bem, v?rus, port scan e
>> coisas
>> > > do
>> > > > g?nero s?o normais. Ocorre que as tentativas se destinam a
>> praticamente
>> > > > todos os 4096 endere?os do bloco, e s?o incessantes. Criei regras
>> > (usamos
>> > > > Mikrotik) para capturar todas as tentativas de acesso a qualquer IP
>> da
>> > > rede
>> > > > (menos ao roteador) e inserir o IP de origem em uma blacklist, para
>> >  que
>> > > > aquele IP n?o incomode mais, ao menos por um tempo. Entretanto, fiz
>> > isso
>> > > > hoje ? tarde (por volta das 16hs), e agora, 21:40, a blacklist j? 
>> > > > tem
>> > > 48797
>> > > > endere?os.
>> > > >
>> > > > N?o estamos acostumados a monitorar uma faixa de IPs t?o grande
>> quanto
>> > um
>> > > > /20, portanto eu pergunto aos senhores: ? normal esse n?vel de
>> > atividade?
>> > > > Percebi que dois /25 que temos aqui n?o tem nenhum acesso desse
>> g?nero.
>> > > > Nosso link instalado at? agora ? de 4MBps, e ? meio preocupante
>> perder
>> > > 10%
>> > > > do link em lixo.
>> > > >
>> > > > Algu?m tem alguma dica sobre o assunto?
>> > > >
>> > > > Um abra?o!
>> > > >
>> > > > --
>> > > > Maicon Vinicius Nunes
>> > > > (51) 9355-1734
>> > > >
>> > > > --
>> > > > gter list    https://eng.registro.br/mailman/listinfo/gter
>> > > >
>> > > --
>> > > gter list    https://eng.registro.br/mailman/listinfo/gter
>> > >
>> > --
>> > gter list    https://eng.registro.br/mailman/listinfo/gter
>> >
>> > --
>> > gter list    https://eng.registro.br/mailman/listinfo/gter
>> >
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
>
>
> ------------------------------
>
> --
> gter digest list    https://eng.registro.br/mailman/listinfo/gter
>
> End of gter Digest, Vol 73, Issue 49
> ************************************ 




More information about the gter mailing list