[MASOCH-L] Pacotes TCP estranhos

nelson at pangeia.com.br nelson at pangeia.com.br
Wed Dec 11 11:24:58 -03 2013 

On Wed, Dec 11, 2013 at 11:15:41AM -0200, Lucas Willian Bocchi wrote:
> Tem um software muito bom chamado CPORTS que pode te mostrar quê
> programa está gerando este tráfego.

Tem tambem o velho e bom TCPView: 
http://technet.microsoft.com/en-us/sysinternals/bb897437

> 
> Em 11 de dezembro de 2013 11:11, Leandro Carlos Rodrigues
> <leandro at allchemistry.com.br> escreveu:
> > Isso mesmo, são Windows. Inclusive, acabei de verificar e não existe
> > software da Apple instalado nestas máquinas. Cara, está começando a ficar
> > muito estranho isso. Estou levando mais informações.
> >
> >
> > *Leandro Carlos Rodrigues
> > TI - All Chemistry do Brasil Ltda.
> > (11) 3014-7100*
> > Em 11/12/2013 11:03, André Emilio Biliati escreveu:
> >
> >> Ambas maquinas são WINDOWS ? ou outro sistema?
> >>
> >> *Att,*
> >>
> >> *André Emilio Biliati*
> >> *Tel&Com S/A*
> >> *TEL: 011-4788-1333 ou 011-4788-1254*
> >> *CEL: 011-99955-2976*
> >> Rua José Mari, 80
> >> CEP: 06754-908 Taboão da Serra - SP
> >> andre at telecomvpn.com.br
> >> www.telecomvpn.com.br
> >>
> >>
> >> Em 11 de dezembro de 2013 10:49, Leandro Carlos Rodrigues <
> >> leandro at allchemistry.com.br> escreveu:
> >>
> >>> André. O estranho é que as duas máquinas em questão fazem esta tentativa
> >>> de conexão exatamente na inicialização do SO. Veja a sequencia de pacotes
> >>> de uma destas tentativas:
> >>>
> >>>     No.     Time        Source Destination           Protocol Length Info
> >>>            1 0.000000    192.168.1.143 192.168.1.1           TCP
> >>> 66
> >>>      49157 > vslmp [SYN] Seq=0 Win=8192 Len=0 MSS=1460 WS=4
> >>>     SACK_PERM=1
> >>>            2 0.000089    192.168.1.1 192.168.1.143         TCP        54
> >>>    vslmp > 49157 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
> >>>            3 0.497814    192.168.1.143 192.168.1.1           TCP
> >>> 66
> >>>      [TCP Retransmission] 49157 > vslmp [SYN] Seq=0 Win=8192 Len=0
> >>>     MSS=1460 WS=4 SACK_PERM=1
> >>>            4 0.497918    192.168.1.1 192.168.1.143         TCP        54
> >>>    vslmp > 49157 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
> >>>            5 0.997018    192.168.1.143 192.168.1.1           TCP
> >>> 62
> >>>      [TCP Retransmission] 49157 > vslmp [SYN] Seq=0 Win=8192 Len=0
> >>>     MSS=1460 SACK_PERM=1
> >>>            6 0.997116    192.168.1.1 192.168.1.143         TCP        54
> >>>    vslmp > 49157 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
> >>>
> >>> Isso ocorre na inicialização, depois, silêncio total até o fim do
> >>> expediente. Como descobrir qual processo está relacionado a estes
> >>> pacotes?
> >>>
> >>>
> >>> *Leandro Carlos Rodrigues
> >>> TI - All Chemistry do Brasil Ltda.
> >>> (11) 3014-7100*
> >>> Em 11/12/2013 10:39, André Emilio Biliati escreveu:
> >>>
> >>>> Acho que esta porta também pode ser usada para acesso MAC OS
> >>>>
> >>>>    *312* TCP Administração Xsan - vslmp Xsan Admin (OS X Mountain Lion
> >>>> v10.8
> >>>>
> >>>> e posterior)
> >>>> Sim é um buraco na segurança da rede
> >>>>
> >>>> *Att,*
> >>>>
> >>>> *André Emilio Biliati*
> >>>> *Tel&Com S/A*
> >>>> *TEL: 011-4788-1333 ou 011-4788-1254*
> >>>> *CEL: 011-99955-2976*
> >>>>
> >>>> Rua José Mari, 80
> >>>> CEP: 06754-908 Taboão da Serra - SP
> >>>> andre at telecomvpn.com.br
> >>>> www.telecomvpn.com.br
> >>>>
> >>>>
> >>>> Em 11 de dezembro de 2013 10:34, Leandro Carlos Rodrigues <
> >>>> leandro at allchemistry.com.br> escreveu:
> >>>>
> >>>>   Pessoal. Estive analisando os logs do firewall e fiquei intrigado com
> >>>> um
> >>>>>
> >>>>> caso. Somente duas máquinas (Windows) na rede tentam se conectar com o
> >>>>> gateway através da porta 312/TCP. Tentei pesquisar some esta porta e
> >>>>> percebi que o serviço geralmente associado a ela é o VSLMP. Não
> >>>>> consegui
> >>>>> encontrar informações consistentes sobre esta porta ou sobre este
> >>>>> serviço.
> >>>>> Alguém poderia me esclarecer o que é e para serve? Além disto, porque
> >>>>> somente suas máquinas na rede tentam fazer conexão com este serviço e
> >>>>> as
> >>>>> outras não? Existe risco de segurança?
> >>>>>
> >>>>> Atenciosamente,
> >>>>>
> >>>>> *Leandro Carlos Rodrigues
> >>>>> TI - All Chemistry do Brasil Ltda.
> >>>>> (11) 3014-7100*
> >>>>> __
> >>>>> masoch-l list
> >>>>> https://eng.registro.br/mailman/listinfo/masoch-l
> >>>>>
> >>>>>   __
> >>>>
> >>>> masoch-l list
> >>>> https://eng.registro.br/mailman/listinfo/masoch-l
> >>>>
> >>> __
> >>> masoch-l list
> >>> https://eng.registro.br/mailman/listinfo/masoch-l
> >>>
> >> __
> >> masoch-l list
> >> https://eng.registro.br/mailman/listinfo/masoch-l
> >
> >
> > __
> > masoch-l list
> > https://eng.registro.br/mailman/listinfo/masoch-l
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l

More information about the masoch-l mailing list