[GTER] Trafego estranho - Portas de origem e destino = 0

Paulo Henrique paulohenriquef at gmail.com
Sat Jul 8 20:47:26 -03 2017


Boa noite senhores, já faz alguns dias que nos deparamos em nossa rede com
tráfego bastante suspeito, os flows mostram portas de origem e destino 0
(zero) e o tráfego sempre tem destino a rede de uma operadora Indiana (IDEA
CELLULAR - AS45271).
Abaixo segue um trecho dos flows capturados usando flow-tools.

Start                        End                         Sif   SrcIPaddress
   SrcP  DIf   DstIPaddress    DstP    P Fl Pkts       Octets
0708.20:29:56.000 0708.20:29:56.000 39    xxx.yyy.123.139 0     1
1.187.194.123   0     13  0  1          1414
0708.20:30:01.000 0708.20:30:01.000 39    xxx.yyy.121.120 0     1
1.187.202.17    0     57  0  1          1414
0708.20:29:56.000 0708.20:29:56.000 39    xxx.yyy.114.74  0     1
1.187.246.113   0     16  0  1          1426
0708.20:29:57.000 0708.20:29:57.000 39    xxx.yyy.123.86  0     1
1.187.15.61     0     57  0  1          1414
0708.20:29:57.000 0708.20:29:57.000 39    xxx.yyy.123.169 0     1
1.187.193.206   0     13  0  1          1414
0708.20:29:57.000 0708.20:29:57.000 39    xxx.yyy.123.151 0     1
1.187.193.200   0     13  0  1          123
0708.20:29:57.000 0708.20:29:57.000 39    xxx.yyy.114.250 0     1
1.187.24.152    0     13  0  1          1426

Os endereços na coluna SrcIPaddress são de nossa rede, utilizados por
clientes conectados via PPPoE.

Além das portas de origem e destino 0, notem os protocolos 13, 16 e 57
(argus, chaos e skip).

Coloquei o prefixo 1.187.0.0/16 em blackhole já faz mais de uma semana e
até agora não apareceram reclamações, mas o tráfego persiste.
Suspeito que esteja diante de atividade maliciosa, por isso gostaria de
"ouvir" os colegas que por ventura já tenham se deparado com algo
semelhante ou que possam me indicar como proceder neste cenário.

Att.


-- 
Paulo Henrique Fonseca
paulohenriquef at gmail.com



More information about the gter mailing list