[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Recibiendo paquetes UDP de direcciones "raras".

Señores, en el trabajo tenemos 2 máquinas con Sarge, una es un servidor de
impresora y archivos (para uso interno de "Informática") y la otra es un
"quiosco"; la gente la usa para chequear unas páginas Web internas, nada más
que eso. Ambas máquinas tienen Iptables bloqueando todo acceso para afuera de
"nuestras redes".

Compilé el Kernel habilitando el log de Iptables y con un script voy sacando lo
que me interesa. Resulta que estoy viendo cosas en el log como lo que sigue:

Oct 22 02:57:50 localhost kernel: IPTABLES IN=eth0 OUT=
MAC=00:40:c7:29:8b:45:00:48:54:66:c3:b2:08:00 SRC=120.10.89.154
DST=164.73.80.13 LEN=389 TOS=0x00 PREC=0x00 TTL=45 ID=14280 PROTO=UDP SPT=3472
DPT=1025 LEN=369
Oct 22 02:57:50 localhost kernel: IPTABLES IN=eth0 OUT=
MAC=00:40:c7:29:8b:45:00:48:54:66:c3:b2:08:00 SRC=120.10.89.154
DST=164.73.80.13 LEN=389 TOS=0x00 PREC=0x00 TTL=45 ID=14281 PROTO=UDP SPT=3472
DPT=1026 LEN=369

Oct 22 02:56:25 Kiosko kernel: IPTABLES IN=eth0 OUT=
MAC=00:04:e2:18:af:a3:00:48:54:66:c3:b2:08:00 SRC=120.10.89.154
DST=164.73.80.14 LEN=389 TOS=0x00 PREC=0x00 TTL=45 ID=7223 PROTO=UDP SPT=3472
DPT=1025 LEN=369
Oct 22 02:56:25 Kiosko kernel: IPTABLES IN=eth0 OUT=
MAC=00:04:e2:18:af:a3:00:48:54:66:c3:b2:08:00 SRC=120.10.89.154
DST=164.73.80.14 LEN=389 TOS=0x00 PREC=0x00 TTL=45 ID=7224 PROTO=UDP SPT=3472
DPT=1026 LEN=369

El primer bloque es del servidor de impresora/archivos y el segundo es del
quiosco. Lo que me llama la atención es que, según la página de Iana
(www.iana.org) las direcciones de 120.0.0.0/8 están reservadas. Separé esos dos
bloques porque aparecieron en las dos máquinas y con muy poca diferencia de
hora.

Fijense que los paquetes son todos del mismo tamaño y siempre son paquetes UDP.
La cantidad de entradas en los logs varia por dia, algunos dias tengo 10 y en
otros 3 o 4. Los logs están separados por dia. Lo que realmente me llama la
atención es que los paquetes vienen siempre de direcciones reservadas por Iana,
son todos del mismo tamaño (sin importar de que IP vienen) y son todos UDP. En
los logs hay otros; direcciones de 7.0.0.0/8, 74.0.0.0/8, etc.

Alguna idea de qué puede ser eso?

Saludos,

Miguel D.

----------------------------------------------------------------
This message was sent using IMP, the Internet Messaging Program.
Reply to: