[GTER] Campanha Bloqueio Porta 0 - Faria Sentido?

Douglas Fischer fischerdouglas at gmail.com
Mon Jul 4 16:30:59 -03 2022


Concordo contigo Victor...
Mas temos que lembrar que há cenários em que a própria pode vir a querer
usar a porta 0 como origem.
Eu não saberia citar um exemplo, mas temos que considerar essa
possibilidade.

A pergunta é:
Será que hoje, se todos os ASNs bloqueassem tudo que é SRC ou DST com porta
0, tanto no IN quanto no OUT, isso seria bom?

Eu acho que sim!

Mas quais seriam métodos viáveis e válidos de analisar isso?

Pensei em analisar NetFlow ou similares.
Mas nas semanas recentes isso tá tão zoado que as amostras que tenho acesso
estão todas comprometidas.
Teria que ser uma análise de escala mundial.

Alguém podia pedir pro Doug Madory Fazer essa análise né?
"Histórico de tráfego de porta 0 e comparativo com ataques de negação de
serviço."

Em seg., 4 de jul. de 2022 às 14:06, Victor Sartori <victor at sartori.eti.br>
escreveu:

>  O comportamento é o mesmo do nc.
> Usei esse codigo aqui:
>
> #include <sys/socket.h>
> #include <arpa/inet.h>
> #include <unistd.h>
> #define PORT 0
> int main(int argc, char *argv[])
> {
>   int fd = 0;
>   struct sockaddr_in server;
>   fd = socket(AF_INET, SOCK_STREAM, 0);
>   server.sin_family = AF_INET;
>   server.sin_addr.s_addr = htonl(INADDR_ANY);
>   server.sin_port = htons(PORT);
>   bind(fd, (struct sockaddr*)&server, sizeof(server));
>   listen(fd, 10);
>   while(1)
>   {
>     sleep(999);
>   }
> }
>
> Só se existir algo bem diferente por ai, mas parece que dá pra bloquear
> tranquilo a porta 0...
> Ahh, não testei pro windows, até tentei compilar, mas não estava a fim de
> descobrir com que a api winsock2 funciona :)
>
> On Mon, Jul 4, 2022 at 11:40 AM Victor Sartori <victor at sartori.eti.br>
> wrote:
>
>> Oi Douglas, fiquei bem curioso com esse lance da porta 0.
>> Resolvi fazer um teste simples aqui.... e até onde encontrei a porta 0 é
>> um "random port binder"
>>
>> Fiz os testes utilizando meu desktop com linux + o netcat. (Mas acho que
>> vale tentar escrever app simplão em C e criar um socket e ver o
>> comportamento na raça)
>>
>> Olha que interessante:
>>
>> sudo nc -l 0
>> ss -tnlp |grep nc
>> LISTEN    0         1                  0.0.0.0:41379            0.0.0.0:*
>>        users:(("nc",pid=2691286,fd=3))
>>
>>
>> Se eu recriar o processo do nc,
>> tcp     LISTEN   0        1
>> 0.0.0.0:35695               0.0.0.0:*
>> users:(("nc",pid=2692605,fd=3))
>> A porta mudou, e a app não fez bind na porta 0.
>>
>> O mesmo acontece para UDP.
>>
>> Não sei o comportamento no windows ou em outro SO, mas acredito que esse
>> recurso é da pilha ip local.
>>
>> Na hora que sobrar um tempinho aqui, vou tentar fazer um teste, criando
>> um socket na mão e vendo o que acontece. Depois te conto o que aconteceu.
>>
>> []'s
>>
>> Victor
>>
>>
>> On Mon, Jul 4, 2022 at 10:43 AM Douglas Fischer via gter <
>> gter at eng.registro.br> wrote:
>>
>>> Quem anda pelo mundo operação de redes Internet há mais de uns 10 anos
>>> deve
>>> lembrar o quanto foi controversa, dolorosa, e PRODUTIVA campanha de
>>> bloqueio da Porta 25 para anti-spam.
>>>
>>> Foram muitos tickets de suporte com isso...
>>> Era um BANDO DE TOBÓ que usava porta 25 para cliente final de e-mail.
>>> Tinha até uns serviços de hospedagem de e-mail que mesmo depois de 1 ano
>>> e
>>> meio com isso avisado não tinham implementado a mudança para 587.
>>> (Apanharam um pouco, mas resolveram.)
>>>
>>> Mas com TODA A CERTEZA, a entrada do bloqueio de comunicações pela porta
>>> 25
>>> foi algo que praticamente tornou-se um DEFINIDOR das redes de acesso que
>>> implementam ou não as boas práticas de segurança.
>>>
>>> Inspirado nisso, com a onda de "pancadaria" que está vindo com ataques
>>> usando a porta 0, pergunto:
>>>
>>> Não seria uma boa oportunidade, uma boa ideia, de se implementar o
>>> bloqueio
>>> geral à comunicações usando porta zero?
>>>
>>> Acho que só existe um único uso legítimo de porta 0, que se não me engano
>>> trata-se segundas fatias de pacotes UDP fragmentados.
>>> E se não me engano, nenhum dos sistemas operacionais recentes ainda usa
>>> esse método.
>>>
>>> Quais seriam os impactos negativos de se tornar hoje uma prática
>>> recomendável o bloqueio de qualquer pacotes com src-port ou dst-port,
>>> tanto
>>> para UDP quanto para TCP nas comunicações entre redes de sistema
>>> autônomos
>>> distintos?
>>>
>>> --
>>> Douglas Fernando Fischer
>>> Engº de Controle e Automação
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>
>>

-- 
Douglas Fernando Fischer
Engº de Controle e Automação


More information about the gter mailing list