[GTER] Trafego estranho - Portas de origem e destino = 0

Renan Menezes renanitmanager at gmail.com
Sun Jul 9 00:33:16 -03 2017 

Verifique os filtros de saída seus para os seus upstream, se você for
trânsito de algum outro AS informe para que eles também o façam(filtros
antispoof).

Se mesmo na blackhole eles estão ainda continuando quer dizer que a origem
não é bem a que é relatada.

Estou configurando o NFSEN aqui no provedor para inclusive conseguir
realizar respostas mais rápidas e ágeis a este tipo de ataques.

Verifique também se não há muitas portas 22 em seu provedor aberta, se não
há DNS com recursividade.

É muito tenso esta batalha da segurança, aqui meus maiores problemas são
Boot para SSH, Telnet e uns protocolos de VPN tentando fechar com
roteadores que nem ativado VPN possuem.

Tente usar um contabilizador para que você possa analisar o que está
chegando pra vocês.

Ótima Semana a todos!

Em 8 de julho de 2017 20:47, Paulo Henrique <paulohenriquef at gmail.com>
escreveu:

> Boa noite senhores, já faz alguns dias que nos deparamos em nossa rede com
> tráfego bastante suspeito, os flows mostram portas de origem e destino 0
> (zero) e o tráfego sempre tem destino a rede de uma operadora Indiana (IDEA
> CELLULAR - AS45271).
> Abaixo segue um trecho dos flows capturados usando flow-tools.
>
> Start                        End                         Sif   SrcIPaddress
>    SrcP  DIf   DstIPaddress    DstP    P Fl Pkts       Octets
> 0708.20:29:56.000 0708.20:29:56.000 39    xxx.yyy.123.139 0     1
> 1.187.194.123   0     13  0  1          1414
> 0708.20:30:01.000 0708.20:30:01.000 39    xxx.yyy.121.120 0     1
> 1.187.202.17    0     57  0  1          1414
> 0708.20:29:56.000 0708.20:29:56.000 39    xxx.yyy.114.74  0     1
> 1.187.246.113   0     16  0  1          1426
> 0708.20:29:57.000 0708.20:29:57.000 39    xxx.yyy.123.86  0     1
> 1.187.15.61     0     57  0  1          1414
> 0708.20:29:57.000 0708.20:29:57.000 39    xxx.yyy.123.169 0     1
> 1.187.193.206   0     13  0  1          1414
> 0708.20:29:57.000 0708.20:29:57.000 39    xxx.yyy.123.151 0     1
> 1.187.193.200   0     13  0  1          123
> 0708.20:29:57.000 0708.20:29:57.000 39    xxx.yyy.114.250 0     1
> 1.187.24.152    0     13  0  1          1426
>
> Os endereços na coluna SrcIPaddress são de nossa rede, utilizados por
> clientes conectados via PPPoE.
>
> Além das portas de origem e destino 0, notem os protocolos 13, 16 e 57
> (argus, chaos e skip).
>
> Coloquei o prefixo 1.187.0.0/16 em blackhole já faz mais de uma semana e
> até agora não apareceram reclamações, mas o tráfego persiste.
> Suspeito que esteja diante de atividade maliciosa, por isso gostaria de
> "ouvir" os colegas que por ventura já tenham se deparado com algo
> semelhante ou que possam me indicar como proceder neste cenário.
>
> Att.
>
>
> --
> Paulo Henrique Fonseca
> paulohenriquef at gmail.com
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

More information about the gter mailing list