Re: Paquetes UDP a los puertos 135, 137, 138...
X-Tecnica NA-MailScanner: Limipio
X-Tecnica NA-MailScanner-From: jbuda@noticiasargentinas.com
Esos paquetes son de netbios para resolver los nombres de maquinas en lugar
de usar DNS y otras cosas.
Por ejemplo pueden ser maquinas windows que se comunican que no son tuyas.
Eso me paso una vez cuando mi provvedor me conecto en un switch mal
configurado donde yo veia los paquetes
tanto entre maquinas como de broadcast de otros clientes.
Fijate bien la direccion de destino de los paquetes seguro que terminan en
255.
Si tienen otro ultimo octeto preciso entonces tenes un serio problema de
seguridad creo, ya que asi como vos ves otras comunicaciones(que no
deberias) te pueden ver a vos con solo colocar en modo promiscuo la placa.
Julian
----- Original Message -----
From: "Miguel Da Silva" <cibonato@fcien.edu.uy>
To: <debian-user-spanish@lists.debian.org>
Sent: Wednesday, November 16, 2005 10:15 AM
Subject: Re: Paquetes UDP a los puertos 135, 137, 138...
Hice el firewall justamente pensando en esos tipos de ataques y por
curiosidade incluí reglas para loguear la llegada de esos paquetes. A
principio pensé que no pasaría nada y que no recibiría paquetes así, pero
resulta que estoy ricibiendo unos cuantos paquetes provenientes de IPs
privadas.
Actualmente el firewall (iptables) bloquea todo lo que no sea de nuestra red
(164.73.80.X y 164.73.81.X) y además, si los paquetes recibidos se encuadran
en la lista de paquetes malos (IPs reservadas, IPs privadas, etc...), se
hace un registro en el log.
Estuve mirando en Internet y vi que los paquetes al puerto 137 tiene que ver
con el DNS y usando tcpdump veo que las máquinas de nuestras redes hacen
broadcast a toda la red usando como puerto de destino el 137. A veces veo
cosas llegando al puerto 138.
Pero lo que me llama la atención es el hecho de que vengan paquetes de redes
privadas...
Buenos, gracias.
Saludos.
Miguel D.
On Tue, 15 Nov 2005 22:28:21 +0100
Xavier Reina <reivir@gmail.com> wrote:
> El mar, 15-11-2005 a las 10:05 -0300, cibonato@fcien.edu.uy escribió:
> > Señores, instalé el iptraf en 2 máquinas del trabajo y conjuntamente con
eso
> > hice una reglas de iptables para agarrar cualquier paquete que
venga/vaya
> > desde/para alguna de las direcciones reservadas por la IANA
> > (http://www.iana.org/assignments/ipv4-address-space).
> >
> > Pues resulta que sí están apareciendo paquetes que vienen desde
direcciones como
> > 192.168.142.1 y otras por el estilo. Lo que me llama la atención es que
nuestro
> > rango de IP es 164.73.80.X, 164.73.81.X, 164.73.82.X y 164.73.83.X.
> >
> > Bueno, algura sugerencia sobre qué puede ser esos paquetes?
>
> Si te refieres a que te vienen de la red externa (Internet), creo
> recordar que hay algunos tipos de ataques que usan ip privadas para
> saltarse cortafuegos mal configurados (del tipo «no pongo reglas de
> 192.168.*, 10.*» porqué no me llegaran paquetes de ese tipo).
>
> Si los tienes a la red interna será cuestión de averiguar quien usa esas
> ip.
>
> Más no se me ocurre.
>
> Suerte!
>
>
> --
> To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
listmaster@lists.debian.org
>
Reply to: