[GTER] Trafego estranho - Portas de origem e destino = 0

Délsio Cabá delsio at gmail.com
Sun Jul 9 16:43:52 -03 2017 

O site qrator vai lhe ajudar a entender questoes de seguranca

Renan Menezes <renanitmanager at gmail.com> escreveu em dom, 9/07/2017 às
15:01 :

> Verifique os filtros de saída seus para os seus upstream, se você for
> trânsito de algum outro AS informe para que eles também o façam(filtros
> antispoof).
>
> Se mesmo na blackhole eles estão ainda continuando quer dizer que a origem
> não é bem a que é relatada.
>
> Estou configurando o NFSEN aqui no provedor para inclusive conseguir
> realizar respostas mais rápidas e ágeis a este tipo de ataques.
>
> Verifique também se não há muitas portas 22 em seu provedor aberta, se não
> há DNS com recursividade.
>
> É muito tenso esta batalha da segurança, aqui meus maiores problemas são
> Boot para SSH, Telnet e uns protocolos de VPN tentando fechar com
> roteadores que nem ativado VPN possuem.
>
> Tente usar um contabilizador para que você possa analisar o que está
> chegando pra vocês.
>
> Ótima Semana a todos!
>
> Em 8 de julho de 2017 20:47, Paulo Henrique <paulohenriquef at gmail.com>
> escreveu:
>
> > Boa noite senhores, já faz alguns dias que nos deparamos em nossa rede
> com
> > tráfego bastante suspeito, os flows mostram portas de origem e destino 0
> > (zero) e o tráfego sempre tem destino a rede de uma operadora Indiana
> (IDEA
> > CELLULAR - AS45271).
> > Abaixo segue um trecho dos flows capturados usando flow-tools.
> >
> > Start                        End                         Sif
>  SrcIPaddress
> >    SrcP  DIf   DstIPaddress    DstP    P Fl Pkts       Octets
> > 0708.20:29:56.000 0708.20:29:56.000 39    xxx.yyy.123.139 0     1
> > 1.187.194.123   0     13  0  1          1414
> > 0708.20:30:01.000 0708.20:30:01.000 39    xxx.yyy.121.120 0     1
> > 1.187.202.17    0     57  0  1          1414
> > 0708.20:29:56.000 0708.20:29:56.000 39    xxx.yyy.114.74  0     1
> > 1.187.246.113   0     16  0  1          1426
> > 0708.20:29:57.000 0708.20:29:57.000 39    xxx.yyy.123.86  0     1
> > 1.187.15.61     0     57  0  1          1414
> > 0708.20:29:57.000 0708.20:29:57.000 39    xxx.yyy.123.169 0     1
> > 1.187.193.206   0     13  0  1          1414
> > 0708.20:29:57.000 0708.20:29:57.000 39    xxx.yyy.123.151 0     1
> > 1.187.193.200   0     13  0  1          123
> > 0708.20:29:57.000 0708.20:29:57.000 39    xxx.yyy.114.250 0     1
> > 1.187.24.152    0     13  0  1          1426
> >
> > Os endereços na coluna SrcIPaddress são de nossa rede, utilizados por
> > clientes conectados via PPPoE.
> >
> > Além das portas de origem e destino 0, notem os protocolos 13, 16 e 57
> > (argus, chaos e skip).
> >
> > Coloquei o prefixo 1.187.0.0/16 em blackhole já faz mais de uma semana e
> > até agora não apareceram reclamações, mas o tráfego persiste.
> > Suspeito que esteja diante de atividade maliciosa, por isso gostaria de
> > "ouvir" os colegas que por ventura já tenham se deparado com algo
> > semelhante ou que possam me indicar como proceder neste cenário.
> >
> > Att.
> >
> >
> > --
> > Paulo Henrique Fonseca
> > paulohenriquef at gmail.com
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

More information about the gter mailing list