[MASOCH-L] Pacotes TCP estranhos

Leandro Carlos Rodrigues leandro at allchemistry.com.br
Wed Dec 11 11:37:20 BRST 2013 

Valeu pelas duas dicas. Acho que o maior problema é conseguir rodar 
estas soluções antes que o processo desconhecido faça as tentativas na 
inicialização. Vou tentar aqui e mando um feedback.

*Leandro Carlos Rodrigues
TI - All Chemistry do Brasil Ltda.
(11) 3014-7100*
Em 11/12/2013 11:24, nelson at pangeia.com.br escreveu:
> On Wed, Dec 11, 2013 at 11:15:41AM -0200, Lucas Willian Bocchi wrote:
>> Tem um software muito bom chamado CPORTS que pode te mostrar quê
>> programa está gerando este tráfego.
> Tem tambem o velho e bom TCPView:
> http://technet.microsoft.com/en-us/sysinternals/bb897437
>
>> Em 11 de dezembro de 2013 11:11, Leandro Carlos Rodrigues
>> <leandro at allchemistry.com.br> escreveu:
>>> Isso mesmo, são Windows. Inclusive, acabei de verificar e não existe
>>> software da Apple instalado nestas máquinas. Cara, está começando a ficar
>>> muito estranho isso. Estou levando mais informações.
>>>
>>>
>>> *Leandro Carlos Rodrigues
>>> TI - All Chemistry do Brasil Ltda.
>>> (11) 3014-7100*
>>> Em 11/12/2013 11:03, André Emilio Biliati escreveu:
>>>
>>>> Ambas maquinas são WINDOWS ? ou outro sistema?
>>>>
>>>> *Att,*
>>>>
>>>> *André Emilio Biliati*
>>>> *Tel&Com S/A*
>>>> *TEL: 011-4788-1333 ou 011-4788-1254*
>>>> *CEL: 011-99955-2976*
>>>> Rua José Mari, 80
>>>> CEP: 06754-908 Taboão da Serra - SP
>>>> andre at telecomvpn.com.br
>>>> www.telecomvpn.com.br
>>>>
>>>>
>>>> Em 11 de dezembro de 2013 10:49, Leandro Carlos Rodrigues <
>>>> leandro at allchemistry.com.br> escreveu:
>>>>
>>>>> André. O estranho é que as duas máquinas em questão fazem esta tentativa
>>>>> de conexão exatamente na inicialização do SO. Veja a sequencia de pacotes
>>>>> de uma destas tentativas:
>>>>>
>>>>>      No.     Time        Source Destination           Protocol Length Info
>>>>>             1 0.000000    192.168.1.143 192.168.1.1           TCP
>>>>> 66
>>>>>       49157 > vslmp [SYN] Seq=0 Win=8192 Len=0 MSS=1460 WS=4
>>>>>      SACK_PERM=1
>>>>>             2 0.000089    192.168.1.1 192.168.1.143         TCP        54
>>>>>     vslmp > 49157 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
>>>>>             3 0.497814    192.168.1.143 192.168.1.1           TCP
>>>>> 66
>>>>>       [TCP Retransmission] 49157 > vslmp [SYN] Seq=0 Win=8192 Len=0
>>>>>      MSS=1460 WS=4 SACK_PERM=1
>>>>>             4 0.497918    192.168.1.1 192.168.1.143         TCP        54
>>>>>     vslmp > 49157 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
>>>>>             5 0.997018    192.168.1.143 192.168.1.1           TCP
>>>>> 62
>>>>>       [TCP Retransmission] 49157 > vslmp [SYN] Seq=0 Win=8192 Len=0
>>>>>      MSS=1460 SACK_PERM=1
>>>>>             6 0.997116    192.168.1.1 192.168.1.143         TCP        54
>>>>>     vslmp > 49157 [RST, ACK] Seq=1 Ack=1 Win=0 Len=0
>>>>>
>>>>> Isso ocorre na inicialização, depois, silêncio total até o fim do
>>>>> expediente. Como descobrir qual processo está relacionado a estes
>>>>> pacotes?
>>>>>
>>>>>
>>>>> *Leandro Carlos Rodrigues
>>>>> TI - All Chemistry do Brasil Ltda.
>>>>> (11) 3014-7100*
>>>>> Em 11/12/2013 10:39, André Emilio Biliati escreveu:
>>>>>
>>>>>> Acho que esta porta também pode ser usada para acesso MAC OS
>>>>>>
>>>>>>     *312* TCP Administração Xsan - vslmp Xsan Admin (OS X Mountain Lion
>>>>>> v10.8
>>>>>>
>>>>>> e posterior)
>>>>>> Sim é um buraco na segurança da rede
>>>>>>
>>>>>> *Att,*
>>>>>>
>>>>>> *André Emilio Biliati*
>>>>>> *Tel&Com S/A*
>>>>>> *TEL: 011-4788-1333 ou 011-4788-1254*
>>>>>> *CEL: 011-99955-2976*
>>>>>>
>>>>>> Rua José Mari, 80
>>>>>> CEP: 06754-908 Taboão da Serra - SP
>>>>>> andre at telecomvpn.com.br
>>>>>> www.telecomvpn.com.br
>>>>>>
>>>>>>
>>>>>> Em 11 de dezembro de 2013 10:34, Leandro Carlos Rodrigues <
>>>>>> leandro at allchemistry.com.br> escreveu:
>>>>>>
>>>>>>    Pessoal. Estive analisando os logs do firewall e fiquei intrigado com
>>>>>> um
>>>>>>> caso. Somente duas máquinas (Windows) na rede tentam se conectar com o
>>>>>>> gateway através da porta 312/TCP. Tentei pesquisar some esta porta e
>>>>>>> percebi que o serviço geralmente associado a ela é o VSLMP. Não
>>>>>>> consegui
>>>>>>> encontrar informações consistentes sobre esta porta ou sobre este
>>>>>>> serviço.
>>>>>>> Alguém poderia me esclarecer o que é e para serve? Além disto, porque
>>>>>>> somente suas máquinas na rede tentam fazer conexão com este serviço e
>>>>>>> as
>>>>>>> outras não? Existe risco de segurança?
>>>>>>>
>>>>>>> Atenciosamente,
>>>>>>>
>>>>>>> *Leandro Carlos Rodrigues
>>>>>>> TI - All Chemistry do Brasil Ltda.
>>>>>>> (11) 3014-7100*
>>>>>>> __
>>>>>>> masoch-l list
>>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>>>
>>>>>>>    __
>>>>>> masoch-l list
>>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>>
>>>>> __
>>>>> masoch-l list
>>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>>
>>>> __
>>>> masoch-l list
>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>
>>> __
>>> masoch-l list
>>> https://eng.registro.br/mailman/listinfo/masoch-l
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l

More information about the masoch-l mailing list