[GTER] Trafego estranho - Portas de origem e destino = 0
Rubens Kuhl
rubensk at gmail.com
Mon Jul 17 13:50:11 -03 2017
2017-07-08 20:47 GMT-03:00 Paulo Henrique <paulohenriquef at gmail.com>:
> Boa noite senhores, já faz alguns dias que nos deparamos em nossa rede com
> tráfego bastante suspeito, os flows mostram portas de origem e destino 0
> (zero) e o tráfego sempre tem destino a rede de uma operadora Indiana (IDEA
> CELLULAR - AS45271).
> Abaixo segue um trecho dos flows capturados usando flow-tools.
>
> Start End Sif SrcIPaddress
> SrcP DIf DstIPaddress DstP P Fl Pkts Octets
> 0708.20:29:56.000 0708.20:29:56.000 39 xxx.yyy.123.139 0 1
> 1.187.194.123 0 13 0 1 1414
> 0708.20:30:01.000 0708.20:30:01.000 39 xxx.yyy.121.120 0 1
> 1.187.202.17 0 57 0 1 1414
> 0708.20:29:56.000 0708.20:29:56.000 39 xxx.yyy.114.74 0 1
> 1.187.246.113 0 16 0 1 1426
> 0708.20:29:57.000 0708.20:29:57.000 39 xxx.yyy.123.86 0 1
> 1.187.15.61 0 57 0 1 1414
> 0708.20:29:57.000 0708.20:29:57.000 39 xxx.yyy.123.169 0 1
> 1.187.193.206 0 13 0 1 1414
> 0708.20:29:57.000 0708.20:29:57.000 39 xxx.yyy.123.151 0 1
> 1.187.193.200 0 13 0 1 123
> 0708.20:29:57.000 0708.20:29:57.000 39 xxx.yyy.114.250 0 1
> 1.187.24.152 0 13 0 1 1426
>
> Os endereços na coluna SrcIPaddress são de nossa rede, utilizados por
> clientes conectados via PPPoE.
>
> Além das portas de origem e destino 0, notem os protocolos 13, 16 e 57
> (argus, chaos e skip).
Protocolos que não TCP(6) e UDP(17) não tem definido o conceito de porta em
camada 4, então é esperável que a porta venha 0.
Além disso, fragmentos de pacotes TCP/UDP que não o primeiro pacote também
não tem informação de porta, e aí a porta vem 0.
Rubens
More information about the gter
mailing list