[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Paquetes UDP a los puertos 135, 137, 138...

Pego un pedazito de la salida de tcpdump. Los paquetes de hecho tienen como destino todas las máquinas de una de nuestras redes (164.73.80.X). La mayoría de las computadoras que están conectadas a esta red son máquinas Windows, las máquinas Linux son pocas (unos servidores y máquinas personales).

Testa:~# tcpdump -i eth0 -n udp port 137
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
11:33:03.948533 IP 164.73.80.49.137 > 164.73.80.255.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
11:33:03.967416 IP 164.73.80.5.137 > 164.73.80.255.137: NBT UDP PACKET(137): REGISTRATION; REQUEST; BROADCAST
11:33:03.948586 IP 164.73.80.49.137 > 164.73.80.255.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
11:33:05.948481 IP 164.73.80.5.137 > 164.73.80.255.137: NBT UDP PACKET(137): REGISTRATION; REQUEST; BROADCAST
11:33:05.948693 IP 164.73.80.5.137 > 164.73.80.255.137: NBT UDP PACKET(137): REGISTRATION; REQUEST; BROADCAST
11:33:07.948918 IP 164.73.80.5.137 > 164.73.80.255.137: NBT UDP PACKET(137): REGISTRATION; REQUEST; BROADCAST
11:33:07.949234 IP 164.73.80.5.137 > 164.73.80.255.137: NBT UDP PACKET(137): REGISTRATION; REQUEST; BROADCAST
11:33:09.950379 IP 164.73.80.5.137 > 164.73.80.255.137: NBT UDP PACKET(137): REGISTRATION; REQUEST; BROADCAST
11:33:09.950584 IP 164.73.80.5.137 > 164.73.80.255.137: NBT UDP PACKET(137): REGISTRATION; REQUEST; BROADCAST
11:33:10.430930 IP 164.73.80.5.137 > 164.73.80.255.137: NBT UDP PACKET(137): REGISTRATION; REQUEST; BROADCAST
11:33:15.523301 IP 164.73.80.55.137 > 164.73.80.255.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST

11 packets captured
11 packets received by filter
0 packets dropped by kernel

Pero lo que no me cierra es porque recibo en mis másquinas paquetes que vengan de, por ejemplo, 192.168.142.1 y 78.173.19.186. De acuerdo con la página de Iana (http://www.iana.org/assignments/ipv4-address-space) la red 78.X.X.X está reservada desde septiembre de 81 y la red 192.168.X.X es una de las redes "privadas".

Puede ser que alguna máquina conectada a la red y que no tenga IP válida (164.73.80.X) esté mandando paquetes para las otras computadadoras?

Gracias nuevamente,

Miguel D.


On Wed, 16 Nov 2005 09:28:34 -0300
"Jose Julian Buda" <jbuda@noticiasargentinas.com> wrote:

> X-Tecnica NA-MailScanner: Limipio
> X-Tecnica NA-MailScanner-From: jbuda@noticiasargentinas.com
> 
> Esos paquetes son de netbios para resolver los nombres de maquinas en lugar
> de usar DNS y otras cosas.
> Por ejemplo pueden ser maquinas windows que se comunican que no son tuyas.
> Eso me paso una vez cuando mi provvedor me conecto en un switch mal
> configurado donde yo veia los paquetes
> tanto entre maquinas como de broadcast de otros clientes.
> Fijate bien la direccion de destino de los paquetes seguro que terminan en
> 255.
> Si tienen otro ultimo octeto preciso entonces tenes un serio problema de
> seguridad creo, ya que asi como vos ves otras comunicaciones(que no
> deberias) te pueden ver a vos con solo colocar en modo promiscuo la placa.
> 
> Julian
> 
> 
> 
> 
> ----- Original Message -----
> From: "Miguel Da Silva" <cibonato@fcien.edu.uy>
> To: <debian-user-spanish@lists.debian.org>
> Sent: Wednesday, November 16, 2005 10:15 AM
> Subject: Re: Paquetes UDP a los puertos 135, 137, 138...
> 
> 
> Hice el firewall justamente pensando en esos tipos de ataques y por
> curiosidade incluí reglas para loguear la llegada de esos paquetes. A
> principio pensé que no pasaría nada y que no recibiría paquetes así, pero
> resulta que estoy ricibiendo unos cuantos paquetes provenientes de IPs
> privadas.
> 
> Actualmente el firewall (iptables) bloquea todo lo que no sea de nuestra red
> (164.73.80.X y 164.73.81.X) y además, si los paquetes recibidos se encuadran
> en la lista de paquetes malos (IPs reservadas, IPs privadas, etc...), se
> hace un registro en el log.
> 
> Estuve mirando en Internet y vi que los paquetes al puerto 137 tiene que ver
> con el DNS y usando tcpdump veo que las máquinas de nuestras redes hacen
> broadcast a toda la red usando como puerto de destino el 137. A veces veo
> cosas llegando al puerto 138.
> 
> Pero lo que me llama la atención es el hecho de que vengan paquetes de redes
> privadas...
> 
> Buenos, gracias.
> 
> Saludos.
> 
> Miguel D.
> 
> On Tue, 15 Nov 2005 22:28:21 +0100
> Xavier Reina <reivir@gmail.com> wrote:
> 
> > El mar, 15-11-2005 a las 10:05 -0300, cibonato@fcien.edu.uy escribió:
> > > Señores, instalé el iptraf en 2 máquinas del trabajo y conjuntamente con
> eso
> > > hice una reglas de iptables para agarrar cualquier paquete que
> venga/vaya
> > > desde/para alguna de las direcciones reservadas por la IANA
> > > (http://www.iana.org/assignments/ipv4-address-space).
> > >
> > > Pues resulta que sí están apareciendo paquetes que vienen desde
> direcciones como
> > > 192.168.142.1 y otras por el estilo. Lo que me llama la atención es que
> nuestro
> > > rango de IP es 164.73.80.X, 164.73.81.X, 164.73.82.X y 164.73.83.X.
> > >
> > > Bueno, algura sugerencia sobre qué puede ser esos paquetes?
> >
> > Si te refieres a que te vienen de la red externa (Internet), creo
> > recordar que hay algunos tipos de ataques que usan ip privadas para
> > saltarse cortafuegos mal configurados (del tipo «no pongo reglas de
> > 192.168.*, 10.*» porqué no me llegaran paquetes de ese tipo).
> >
> > Si los tienes a la red interna será cuestión de averiguar quien usa esas
> > ip.
> >
> > Más no se me ocurre.
> >
> > Suerte!
> >
Reply to: