[GTER] Trafego estranho - Portas de origem e destino = 0
Paulo Henrique
paulohenriquef at gmail.com
Sat Jul 8 20:47:26 -03 2017
Boa noite senhores, já faz alguns dias que nos deparamos em nossa rede com
tráfego bastante suspeito, os flows mostram portas de origem e destino 0
(zero) e o tráfego sempre tem destino a rede de uma operadora Indiana (IDEA
CELLULAR - AS45271).
Abaixo segue um trecho dos flows capturados usando flow-tools.
Start End Sif SrcIPaddress
SrcP DIf DstIPaddress DstP P Fl Pkts Octets
0708.20:29:56.000 0708.20:29:56.000 39 xxx.yyy.123.139 0 1
1.187.194.123 0 13 0 1 1414
0708.20:30:01.000 0708.20:30:01.000 39 xxx.yyy.121.120 0 1
1.187.202.17 0 57 0 1 1414
0708.20:29:56.000 0708.20:29:56.000 39 xxx.yyy.114.74 0 1
1.187.246.113 0 16 0 1 1426
0708.20:29:57.000 0708.20:29:57.000 39 xxx.yyy.123.86 0 1
1.187.15.61 0 57 0 1 1414
0708.20:29:57.000 0708.20:29:57.000 39 xxx.yyy.123.169 0 1
1.187.193.206 0 13 0 1 1414
0708.20:29:57.000 0708.20:29:57.000 39 xxx.yyy.123.151 0 1
1.187.193.200 0 13 0 1 123
0708.20:29:57.000 0708.20:29:57.000 39 xxx.yyy.114.250 0 1
1.187.24.152 0 13 0 1 1426
Os endereços na coluna SrcIPaddress são de nossa rede, utilizados por
clientes conectados via PPPoE.
Além das portas de origem e destino 0, notem os protocolos 13, 16 e 57
(argus, chaos e skip).
Coloquei o prefixo 1.187.0.0/16 em blackhole já faz mais de uma semana e
até agora não apareceram reclamações, mas o tráfego persiste.
Suspeito que esteja diante de atividade maliciosa, por isso gostaria de
"ouvir" os colegas que por ventura já tenham se deparado com algo
semelhante ou que possam me indicar como proceder neste cenário.
Att.
--
Paulo Henrique Fonseca
paulohenriquef at gmail.com
More information about the gter
mailing list