[GTER] Trafego estranho - Portas de origem e destino = 0
Délsio Cabá
delsio at gmail.com
Sun Jul 9 16:43:52 -03 2017
O site qrator vai lhe ajudar a entender questoes de seguranca
Renan Menezes <renanitmanager at gmail.com> escreveu em dom, 9/07/2017 às
15:01 :
> Verifique os filtros de saída seus para os seus upstream, se você for
> trânsito de algum outro AS informe para que eles também o façam(filtros
> antispoof).
>
> Se mesmo na blackhole eles estão ainda continuando quer dizer que a origem
> não é bem a que é relatada.
>
> Estou configurando o NFSEN aqui no provedor para inclusive conseguir
> realizar respostas mais rápidas e ágeis a este tipo de ataques.
>
> Verifique também se não há muitas portas 22 em seu provedor aberta, se não
> há DNS com recursividade.
>
> É muito tenso esta batalha da segurança, aqui meus maiores problemas são
> Boot para SSH, Telnet e uns protocolos de VPN tentando fechar com
> roteadores que nem ativado VPN possuem.
>
> Tente usar um contabilizador para que você possa analisar o que está
> chegando pra vocês.
>
> Ótima Semana a todos!
>
> Em 8 de julho de 2017 20:47, Paulo Henrique <paulohenriquef at gmail.com>
> escreveu:
>
> > Boa noite senhores, já faz alguns dias que nos deparamos em nossa rede
> com
> > tráfego bastante suspeito, os flows mostram portas de origem e destino 0
> > (zero) e o tráfego sempre tem destino a rede de uma operadora Indiana
> (IDEA
> > CELLULAR - AS45271).
> > Abaixo segue um trecho dos flows capturados usando flow-tools.
> >
> > Start End Sif
> SrcIPaddress
> > SrcP DIf DstIPaddress DstP P Fl Pkts Octets
> > 0708.20:29:56.000 0708.20:29:56.000 39 xxx.yyy.123.139 0 1
> > 1.187.194.123 0 13 0 1 1414
> > 0708.20:30:01.000 0708.20:30:01.000 39 xxx.yyy.121.120 0 1
> > 1.187.202.17 0 57 0 1 1414
> > 0708.20:29:56.000 0708.20:29:56.000 39 xxx.yyy.114.74 0 1
> > 1.187.246.113 0 16 0 1 1426
> > 0708.20:29:57.000 0708.20:29:57.000 39 xxx.yyy.123.86 0 1
> > 1.187.15.61 0 57 0 1 1414
> > 0708.20:29:57.000 0708.20:29:57.000 39 xxx.yyy.123.169 0 1
> > 1.187.193.206 0 13 0 1 1414
> > 0708.20:29:57.000 0708.20:29:57.000 39 xxx.yyy.123.151 0 1
> > 1.187.193.200 0 13 0 1 123
> > 0708.20:29:57.000 0708.20:29:57.000 39 xxx.yyy.114.250 0 1
> > 1.187.24.152 0 13 0 1 1426
> >
> > Os endereços na coluna SrcIPaddress são de nossa rede, utilizados por
> > clientes conectados via PPPoE.
> >
> > Além das portas de origem e destino 0, notem os protocolos 13, 16 e 57
> > (argus, chaos e skip).
> >
> > Coloquei o prefixo 1.187.0.0/16 em blackhole já faz mais de uma semana e
> > até agora não apareceram reclamações, mas o tráfego persiste.
> > Suspeito que esteja diante de atividade maliciosa, por isso gostaria de
> > "ouvir" os colegas que por ventura já tenham se deparado com algo
> > semelhante ou que possam me indicar como proceder neste cenário.
> >
> > Att.
> >
> >
> > --
> > Paulo Henrique Fonseca
> > paulohenriquef at gmail.com
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list