[MASOCH-L] Pacotes TCP estranhos
Lucas Willian Bocchi
lucas.bocchi at gmail.com
Wed Dec 11 11:15:41 -03 2013
Tem um software muito bom chamado CPORTS que pode te mostrar quê
programa está gerando este tráfego.
Em 11 de dezembro de 2013 11:11, Leandro Carlos Rodrigues
<leandro at allchemistry.com.br> escreveu:
> Isso mesmo, são Windows. Inclusive, acabei de verificar e não existe
> software da Apple instalado nestas máquinas. Cara, está começando a ficar
> muito estranho isso. Estou levando mais informações.
>
>
> *Leandro Carlos Rodrigues
> TI - All Chemistry do Brasil Ltda.
> (11) 3014-7100*
> Em 11/12/2013 11:03, André Emilio Biliati escreveu:
>
>> Ambas maquinas são WINDOWS ? ou outro sistema?
>>
>> *Att,*
>>
>> *André Emilio Biliati*
>> *Tel&Com S/A*
>> *TEL: 011-4788-1333 ou 011-4788-1254*
>> *CEL: 011-99955-2976*
>> Rua José Mari, 80
>> CEP: 06754-908 Taboão da Serra - SP
>> andre at telecomvpn.com.br
>> www.telecomvpn.com.br
>>
>>
>> Em 11 de dezembro de 2013 10:49, Leandro Carlos Rodrigues <
>> leandro at allchemistry.com.br> escreveu:
>>
>>> André. O estranho é que as duas máquinas em questão fazem esta tentativa
>>> de conexão exatamente na inicialização do SO. Veja a sequencia de pacotes
>>> de uma destas tentativas:
>>>
>>> No. Time Source Destination Protocol Length Info
>>> 1 0.000000 192.168.1.143 192.168.1.1 TCP
>>> 66
>>> 49157 > vslmp [SYN] Seq=0 Win=8192 Len=0 MSS=1460 WS=4
>>> SACK_PERM=1
>>> 2 0.000089 192.168.1.1 192.168.1.143 TCP 54
>>> vslmp > 49157 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
>>> 3 0.497814 192.168.1.143 192.168.1.1 TCP
>>> 66
>>> [TCP Retransmission] 49157 > vslmp [SYN] Seq=0 Win=8192 Len=0
>>> MSS=1460 WS=4 SACK_PERM=1
>>> 4 0.497918 192.168.1.1 192.168.1.143 TCP 54
>>> vslmp > 49157 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
>>> 5 0.997018 192.168.1.143 192.168.1.1 TCP
>>> 62
>>> [TCP Retransmission] 49157 > vslmp [SYN] Seq=0 Win=8192 Len=0
>>> MSS=1460 SACK_PERM=1
>>> 6 0.997116 192.168.1.1 192.168.1.143 TCP 54
>>> vslmp > 49157 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
>>>
>>> Isso ocorre na inicialização, depois, silêncio total até o fim do
>>> expediente. Como descobrir qual processo está relacionado a estes
>>> pacotes?
>>>
>>>
>>> *Leandro Carlos Rodrigues
>>> TI - All Chemistry do Brasil Ltda.
>>> (11) 3014-7100*
>>> Em 11/12/2013 10:39, André Emilio Biliati escreveu:
>>>
>>>> Acho que esta porta também pode ser usada para acesso MAC OS
>>>>
>>>> *312* TCP Administração Xsan - vslmp Xsan Admin (OS X Mountain Lion
>>>> v10.8
>>>>
>>>> e posterior)
>>>> Sim é um buraco na segurança da rede
>>>>
>>>> *Att,*
>>>>
>>>> *André Emilio Biliati*
>>>> *Tel&Com S/A*
>>>> *TEL: 011-4788-1333 ou 011-4788-1254*
>>>> *CEL: 011-99955-2976*
>>>>
>>>> Rua José Mari, 80
>>>> CEP: 06754-908 Taboão da Serra - SP
>>>> andre at telecomvpn.com.br
>>>> www.telecomvpn.com.br
>>>>
>>>>
>>>> Em 11 de dezembro de 2013 10:34, Leandro Carlos Rodrigues <
>>>> leandro at allchemistry.com.br> escreveu:
>>>>
>>>> Pessoal. Estive analisando os logs do firewall e fiquei intrigado com
>>>> um
>>>>>
>>>>> caso. Somente duas máquinas (Windows) na rede tentam se conectar com o
>>>>> gateway através da porta 312/TCP. Tentei pesquisar some esta porta e
>>>>> percebi que o serviço geralmente associado a ela é o VSLMP. Não
>>>>> consegui
>>>>> encontrar informações consistentes sobre esta porta ou sobre este
>>>>> serviço.
>>>>> Alguém poderia me esclarecer o que é e para serve? Além disto, porque
>>>>> somente suas máquinas na rede tentam fazer conexão com este serviço e
>>>>> as
>>>>> outras não? Existe risco de segurança?
>>>>>
>>>>> Atenciosamente,
>>>>>
>>>>> *Leandro Carlos Rodrigues
>>>>> TI - All Chemistry do Brasil Ltda.
>>>>> (11) 3014-7100*
>>>>> __
>>>>> masoch-l list
>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>
>>>>> __
>>>>
>>>> masoch-l list
>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>
>>> __
>>> masoch-l list
>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
More information about the masoch-l
mailing list