[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Paquetes UDP a los puertos 135, 137, 138...

Hice el firewall justamente pensando en esos tipos de ataques y por curiosidade incluí reglas para loguear la llegada de esos paquetes. A principio pensé que no pasaría nada y que no recibiría paquetes así, pero resulta que estoy ricibiendo unos cuantos paquetes provenientes de IPs privadas.

Actualmente el firewall (iptables) bloquea todo lo que no sea de nuestra red (164.73.80.X y 164.73.81.X) y además, si los paquetes recibidos se encuadran en la lista de paquetes malos (IPs reservadas, IPs privadas, etc...), se hace un registro en el log.

Estuve mirando en Internet y vi que los paquetes al puerto 137 tiene que ver con el DNS y usando tcpdump veo que las máquinas de nuestras redes hacen broadcast a toda la red usando como puerto de destino el 137. A veces veo cosas llegando al puerto 138.

Pero lo que me llama la atención es el hecho de que vengan paquetes de redes privadas...

Buenos, gracias.

Saludos.

Miguel D.

On Tue, 15 Nov 2005 22:28:21 +0100
Xavier Reina <reivir@gmail.com> wrote:

> El mar, 15-11-2005 a las 10:05 -0300, cibonato@fcien.edu.uy escribió:
> > Señores, instalé el iptraf en 2 máquinas del trabajo y conjuntamente con eso
> > hice una reglas de iptables para agarrar cualquier paquete que venga/vaya
> > desde/para alguna de las direcciones reservadas por la IANA
> > (http://www.iana.org/assignments/ipv4-address-space).
> > 
> > Pues resulta que sí están apareciendo paquetes que vienen desde direcciones como
> > 192.168.142.1 y otras por el estilo. Lo que me llama la atención es que nuestro
> > rango de IP es 164.73.80.X, 164.73.81.X, 164.73.82.X y 164.73.83.X.
> > 
> > Bueno, algura sugerencia sobre qué puede ser esos paquetes?
> 
> Si te refieres a que te vienen de la red externa (Internet), creo
> recordar que hay algunos tipos de ataques que usan ip privadas para
> saltarse cortafuegos mal configurados (del tipo «no pongo reglas de
> 192.168.*, 10.*» porqué no me llegaran paquetes de ese tipo).
> 
> Si los tienes a la red interna será cuestión de averiguar quien usa esas
> ip.
> 
> Más no se me ocurre.
> 
> Suerte!
> 
> 
> -- 
> To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
>
Reply to: