#  > Geral >  > Segurança >  >  Ataque

## alanperes

Olá,

Gostaria que algéum me auxiliasse na interpretação destes resultados do tcpdump na minha eht1, que é a conexão com o AP de minha wlan,

6904 arp who-has 192.168.30.16 tell 192.168.0.1
10:20:18.974785 arp who-has 192.168.0.1 tell 192.168.2.25
10:20:18.974821 arp reply 192.168.0.1 is-at 0:8:54:1:3f:97
10:20:18.976879 arp who-has 192.168.103.77 tell 192.168.0.1
10:20:18.976884 arp who-has 192.168.205.188 tell 192.168.0.1
10:20:18.986876 arp who-has 192.168.174.129 tell 192.168.0.1
10:20:18.993812 arp who-has 192.168.189.167 tell 192.168.0.1
10:20:19.014729 arp who-has 192.168.2.27 tell 192.168.0.20
10:20:19.015862 arp who-has 192.168.191.155 tell 192.168.0.1
10:20:19.026898 arp who-has 192.168.91.215 tell 192.168.0.1
10:20:19.026908 arp who-has 192.168.137.65 tell 192.168.0.1
10:20:19.042252 arp who-has 192.168.132.161 tell 192.168.0.1
10:20:19.106899 arp who-has 192.168.154.193 tell 192.168.0.1
10:20:19.116877 arp who-has 192.168.138.2 tell 192.168.0.1
10:20:19.194793 arp who-has 192.168.218.144 tell 192.168.0.1
10:20:19.196877 arp who-has 192.168.154.42 tell 192.168.0.1
10:20:19.206876 arp who-has 192.168.62.138 tell 192.168.0.1
10:20:19.244296 arp who-has 192.168.28.35 tell 192.168.0.1 

O servidor está varrendo a rede? Como evitar isso?

[]s
Caps

----------


## lss

isso nao eh ataque , no caso o 192.168.0.1 que deve ser o gateway de sua rede esta mandando pacotes arp para verificar se os ips liberados por vc estao conectados a ele ou nao .

----------


## alanperes

> isso nao eh ataque , no caso o 192.168.0.1 que deve ser o gateway de sua rede esta mandando pacotes arp para verificar se os ips liberados por vc estao conectados a ele ou nao .


Minha tabela arp fica da seginte forma,

(192.168.3.150) em <incompleto> em eth1
? (192.168.90.121) em <incompleto> em eth1
? (192.168.227.63) em <incompleto> em eth1
? (192.168.179.2) em <incompleto> em eth1
? (192.168.120.164) em <incompleto> em eth1
? (192.168.74.178) em <incompleto> em eth1
? (192.168.253.179) em <incompleto> em eth1
? (192.168.115.25) em <incompleto> em eth1
? (192.168.18.49) em <incompleto> em eth1
? (192.168.104.75) em <incompleto> em eth1
? (192.168.228.142) em <incompleto> em eth1
? (192.168.138.86) em <incompleto> em eth1
? (192.168.184.100) em <incompleto> em eth1
? (192.168.231.169) em <incompleto> em eth1
? (169.254.178.60) em <incompleto> em eth1

A tabela ip_conntrack atinge seu limite máximo, a mensagem,

"Neighbour table overflow" repete-se na tela e a rede fica lenta. O que eu acho estranho é que isto começou a acontecer recentemente.

[]s
Alan

----------


## Bruno_Freitas

arp who-has 192.168.154.193 tell 192.168.0.1 

traduzindo:

arp quem-tem 192.168.154.193 disse 192.168.0.1 

Nunca vi algo parecido, mas tá parecendo ataque de IP-Spoofing. Uma máquina tentando forjar o IP.

----------


## demiurgo

> arp who-has 192.168.154.193 tell 192.168.0.1 
> 
> traduzindo:
> 
> arp quem-tinha 192.168.154.193 dissel 192.168.0.1 
> 
> Nunca vi algo parecido, mas tá parecendo ataque de IP-Spoofing. Uma máquina tentando forjar o IP.


correcao bruno:

who has = quem tem (has presente do verbo have)

isso eh uma pesquisa q a camada d enlace do modelo OSI faz para atulizar a tabela ARP d enlace

naum eh um ataque

----------


## sergio

hehehehehehe... garanto proce que eh virus em algum(s) cliente(s) seu... jah aconteceu aqui e tive que fechar a conexao do camarada ateh ele rancar o bicho da maquina dele...
faz o seguinte:
#iptraf -l ethX ( X = GW do wireless) e ve quem eh o fdp do MAC que tah gerando esse trafego... ou ainda rode o iptraf e escolha <IP Traffic Monitor> escolha em seguida a ethX (GW do wireless) e veja o ip do engracadinho... eh Porta 445 ou 135 que tah sendo explorada... manda ver ae e posta o resultado aqui  :Big Grin: 

pode ainda rodar:
#tcpdump -ni ethX (GW wireless) | grep "445" > arquivo.log ou
#tcpdump -ni ethX | grep "135" > arquivo.log

----------


## Bruno_Freitas

q mancada... vlw velhinho!

*EDITED*




> Postado originalmente por Bruno_Freitas
> 
> arp who-has 192.168.154.193 tell 192.168.0.1 
> 
> traduzindo:
> 
> arp quem-tinha 192.168.154.193 dissel 192.168.0.1 
> 
> Nunca vi algo parecido, mas tá parecendo ataque de IP-Spoofing. Uma máquina tentando forjar o IP.
> ...

----------


## demiurgo

po, tranquilo bruno  :Wink: 

[]'s

----------


## mistymst

arp flood  :Smile:  eh interessante fazer em switches.

a sua rede fica lenta porque ele nao consegue mais saber para qual MAC enviar e tem q ficar limpando e colocando na tabela de arp.

bom como se repete varias voce tem que achar o engracadinho que esta ferrando voce. o jeito eh dar um olho muito "lindo" no tcpdump, usando -w para gravar no logfile e depois abrir no ethereal para ver mais facil.


grave uma media de 1h de log e depois me envie, eh legal para estudo essas coisas  :Smile:

----------


## alanperes

> hehehehehehe... garanto proce que eh virus em algum(s) cliente(s) seu... jah aconteceu aqui e tive que fechar a conexao do camarada ateh ele rancar o bicho da maquina dele...
> faz o seguinte:
> #iptraf -l ethX ( X = GW do wireless) e ve quem eh o fdp do MAC que tah gerando esse trafego... ou ainda rode o iptraf e escolha <IP Traffic Monitor> escolha em seguida a ethX (GW do wireless) e veja o ip do engracadinho... eh Porta 445 ou 135 que tah sendo explorada... manda ver ae e posta o resultado aqui 
> 
> pode ainda rodar:
> #tcpdump -ni ethX (GW wireless) | grep "445" > arquivo.log ou
> #tcpdump -ni ethX | grep "135" > arquivo.log


Olá,

00:21:20.986646 192.168.2.233.3974 > 65.75.149.10.http: . ack 580 win 63662 (DF)
00:21:20.987318 192.168.2.233.3974 > 65.75.149.10.http: F 381:381(0) ack 580 win 63662 (DF)
00:21:21.096427 192.168.2.37.3678 > 200.188.191.54.http: . ack 16061 win 17520 (DF)
00:21:21.100534 192.168.2.37.3681 > 200.188.191.54.http: . ack 14601 win 17520 <nop,nop,sack sack 1 {16061:17521} > (DF)
00:21:21.166637 192.168.2.233.3975 > 206.190.38.65.http: S 1176271981:1176271981(0) win 64240 <mss 1460,nop,nop,sackOK> (DF)
00:21:21.240680 192.168.2.37.3683 > 200.188.191.54.http: . ack 11681 win 17520 <nop,nop,sack sack 1 {13141:16061} > (DF)
00:21:21.328590 192.168.2.37.3683 > 200.188.191.54.http: . ack 11681 win 17520 <nop,nop,sack sack 1 {13141:17521} > (DF)
00:21:21.342592 192.168.2.233.3975 > 206.190.38.65.http: . ack 2844271471 win 64240 (DF)
00:21:21.348823 192.168.2.233.3975 > 206.190.38.65.http: . 0:1460(1460) ack 1 win 64240 (DF)
00:21:21.348899 192.168.2.233.3975 > 206.190.38.65.http: P 1460:2349(889) ack 1 win 64240 (DF)
00:21:21.418216 192.168.2.37.3682 > 200.188.191.54.http: . ack 7301 win 17520 <nop,nop,sack sack 1 {8761:10221} > (DF)

93 packets received by filter
0 packets dropped by kernel
[[email protected] root]# tcpdump -ni eth1 dst port 445
tcpdump: listening on eth1
00:22:28.621784 192.168.1.165.4468 > 211.50.101.168.microsoft-ds: R 2454042708:2454042708(0) win 0

1 packets received by filter
0 packets dropped by kernel
[size=18px][/size]

rodei com dst 445, e aparece este ip. Depois ele parou de aparecer.

[]s
Alan

----------


## alanperes

[quote="alanperes"]


> hehehehehehe... garanto proce que eh virus em algum(s) cliente(s) seu... jah aconteceu aqui e tive que fechar a conexao do camarada ateh ele rancar o bicho da maquina dele...
> faz o seguinte:
> #iptraf -l ethX ( X = GW do wireless) e ve quem eh o fdp do MAC que tah gerando esse trafego... ou ainda rode o iptraf e escolha <IP Traffic Monitor> escolha em seguida a ethX (GW do wireless) e veja o ip do engracadinho... eh Porta 445 ou 135 que tah sendo explorada... manda ver ae e posta o resultado aqui 
> 
> pode ainda rodar:
> #tcpdump -ni ethX (GW wireless) | grep "445" > arquivo.log ou
> #tcpdump -ni ethX | grep "135" > arquivo.log


Desculpe-me este é o correto,
00:20:26.331795 192.168.1.165.3188 > 218.19.71.52.microsoft-ds: R 3203755528:3203755528(0) win 0
00:20:26.362076 192.168.1.165.4430 > 82.254.231.47.microsoft-ds: S 3247985173:3247985173(0) win 16384 <mss 1460,nop,nop,sackOK> (DF)
00:20:26.363122 192.168.1.165.4477 > 61.228.81.147.microsoft-ds: S 3246221083:3246221083(0) win 16384 <mss 1460,nop,nop,sackOK> (DF)
00:20:26.363983 192.168.1.165.4475 > 61.228.187.74.microsoft-ds: S 3246181187:3246181187(0) win 16384 <mss 1460,nop,nop,sackOK> (DF)
00:20:26.364615 192.168.1.165.3178 > 218.19.86.46.microsoft-ds: . ack 4031485087 win 16944 (DF)
00:20:26.462886 192.168.1.165.4800 > 83.30.150.104.microsoft-ds: S 3248259247:3248259247(0) win 16384 <mss 1460,nop,nop,sackOK> (DF)
00:20:26.562903 192.168.1.165.4593 > 218.14.66.157.microsoft-ds: S 3246677665:3246677665(0) win 16384 <mss 1460,nop,nop,sackOK> (DF)
00:20:26.662947 192.168.1.165.4195 > 218.23.150.193.microsoft-ds: S 3247463064:3247463064(0) win 16384 <mss 1460,nop,nop,sackOK> (DF)
00:20:26.866485 192.168.1.165.4197 > 201.135.146.16.microsoft-ds: S 3247175405:3247175405(0) win 16384 <mss 1460,nop,nop,sackOK> (DF)
00:20:26.867132 192.168.1.165.3782 > 81.42.208.216.microsoft-ds: . ack 2848590994 win 17520 (DF)
00:20:27.064591 192.168.1.165.4430 > 82.254.231.47.microsoft-ds: S 3247985173:3247985173(0) win 16384 <mss 1460,nop,nop,sackOK> (DF)
00:20:27.065206 192.168.1.165.4519 > 61.223.163.108.microsoft-ds: S 3243073783:3243073783(0) win 16384 <mss 1460,nop,nop,sackOK> (DF)
00:20:27.065849 192.168.1.165.4233 > 39.75.55.221.microsoft-ds: S 3243128089:3243128089(0) win 16384 <mss 1460,nop,nop,sackOK> (DF)
00:20:27.066648 192.168.1.165.4237 > 186.87.93.210.microsoft-ds: S 3243170924:3243170924(0) win 16384 <mss 1460,nop,nop,sackOK> (DF)


[]s
Alan

----------


## sergio

intaum homi... esse microsoft-ds eh nossa amiga 445... pra parar esse sacanagem:
#iptables -A FORWARD -p udp --dport 445 -j DROP
ou o melhor:
#iptables -A FORWARD -p all -s 192.168.1.165 -j DROP
#iptables -A INPUT-p all -s 192.168.1.165 -j DROP
#iptables -A OUTPUT -p all -s 192.168.1.165 -j DROP
(hehehehe vai trancar o ip safado que tah fazendo isso.. seu cliente nao vai gostar :twisted: :twisted: :twisted: )

Depois do cliente ligar proce reclamando... fala pra ele rancar o virus da maquina dele... manda atualizar o win pra corrigir a falha do RPC e boa... se nao me engano eh o Sasser (virus).

----------


## alanperes

Olá,

Era isso mesmo o ip é o 192.168.1.165 e o 1.69. 

[]s
Alan

----------


## alanperes

> intaum homi... esse microsoft-ds eh nossa amiga 445... pra parar esse sacanagem:
> #iptables -A FORWARD -p udp --dport 445 -j DROP
> ou o melhor:
> #iptables -A FORWARD -p all -s 192.168.1.165 -j DROP
> #iptables -A INPUT-p all -s 192.168.1.165 -j DROP
> #iptables -A OUTPUT -p all -s 192.168.1.165 -j DROP
> (hehehehe vai trancar o ip safado que tah fazendo isso.. seu cliente nao vai gostar :twisted: :twisted: :twisted: )
> 
> Depois do cliente ligar proce reclamando... fala pra ele rancar o virus da maquina dele... manda atualizar o win pra corrigir a falha do RPC e boa... se nao me engano eh o Sasser (virus).


Olá,

Logo que descobri fiz um bloqueio, só que estava liberado hoje pela manhã. Fiz a inclusão das suas linhas de códigos e parei o camarada. Vou bloquear o MAC no AP. Tentei fazer isto com o script mas não funcionou. Sem querer ser incômodo, segue o meu script para uma rápida análise.



#!/bin/sh
MACIPEND=/etc/macipend

/sbin/modprobe ip_tables
/sbin/modprobe iptable_filter
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_conntrack hashsize=1023
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ipt_unclean
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_state
/sbin/modprobe ipt_REJECT
/sbin/modprobe ipt_mac

/sbin/iptables -F
/sbin/iptables -Z
/sbin/iptables -X


#while read linha; do
# set $linha
# mac=$1;endip=$2
# /sbin/iptables -A INPUT -m mac --mac-source $mac -s ! $endip -j DROP
#done <$MACIPEND
#/sbin/iptables -A INPUT -m mac --mac-source 00:50:eb:05:37:51 -s ! 192.168.34.5 -j DROP
/sbin/iptables -A INPUT -i eth1 -m mac --mac-source 00:30:4F:30:AE:74 -j DROP
#/sbin/iptables -A INPUT -s 192.168.1.69 -j DROP
##
/sbin/iptables -t nat -F
# Bloqueando o 1.165
/sbin/iptables -A FORWARD -p all -s 192.168.1.165 -j DROP
/sbin/iptables -A INPUT -p all -s 192.168.1.165 -j DROP
/sbin/iptables -A OUTPUT -p all -s 192.168.1.165 -j DROP 

#Protecao contra syn flood
/sbin/iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
# Port scanners oculto

/sbin/iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m --limit 1/s -j ACCEPT
# Ping da morte
/sbin/iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
# Bloqueando traceroute
/sbin/iptables -A INPUT -p udp -s 0/0 -i eth0 --dport 33435:33525 -j DROP
/sbin/iptables -A INPUT -p udp -s 0/0 -i eth1 --dport 33435:33525 -j DROP

# Protecao contra ip spoofing
/sbin/iptables -A INPUT -s 10.0.0.0/8 -i eth0 -j DROP
/sbin/iptables -A INPUT -s 172.16.0.0/16 -i eth0 -j DROP
/sbin/iptables -A INPUT -s 10.0.0.0/8 -i eth1 -j DROP
/sbin/iptables -A INPUT -s 172.16.0.0/16 -i eth1 -j DROP


#/sbin/iptables -A FORWARD -p udp -s 0.0.0.0 --dport 53 -j ACCEPT
/sbin/iptables -A FORWARD -p tcp -s 192.168.0.0/16 --dport 25 -j ACCEPT
/sbin/iptables -A FORWARD -p tcp -s 192.168.0.0/16 --dport 110 -j ACCEPT


# Redireciona para a porta 3128
#/sbin/iptables -t nat -A PREROUTING -s 192.168.0.0/16 -p tcp --destination-port 80 -j REDIRECT --to-ports 3128
/sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o eth0 -j SNAT --to-source 200.164.225.89
/sbin/iptables -t nat -A POSTROUTING -j MASQUERADE
/bin/echo "1" > /proc/sys/net/ipv4/ip_forward
#/sbin/service iptables save


Quando rodo aparece isto,
iptables v1.2.7a: Couldn't load match `--limit':/lib/iptables/libipt_--limit.so: cannot open shared object file: No such file or directory

[]s
Alan

----------


## sergio

Alan, o que parece o modulo "limit" do iptables nao tah instalado... pra acabar com essas encrencas instale o patch-o-matic do iptables... olha esse artigo meu aqui (mamao com acucar  :Big Grin:   :Big Grin:   :Big Grin:  ):
https://under-linux.org/modules.php?...icle&artid=286

----------


## andrequiri

Ae galera eu usei esse comando do tcpdump e realmente eu axei um dos meus cliente q tava com um monte de ds-microsoft... naum teria como blokear somente as portas desse virus? Se acaso um outro cliente meu pegasse um virus tb e começasse de novo.

----------


## sergio

> Ae galera eu usei esse comando do tcpdump e realmente eu axei um dos meus cliente q tava com um monte de ds-microsoft... naum teria como blokear somente as portas desse virus? Se acaso um outro cliente meu pegasse um virus tb e começasse de novo.


Jeito tem... mas as vezes nao resolve eqto nao bloqueia o IP do camarada...de qq forma tae:
iptables -A FORWARD -p tcp --dport 445 -i ethX -j REJECT
iptables -A FORWARD -p tcp --sport 445 -i ethX -j REJECT
iptables -A FORWARD -p udp --dport 445 -i ethX -j REJECT
iptables -A FORWARD -p udp --sport 445 -i ethX -j REJECT

pode fazer isso ae pra qq porta.

----------


## andrequiri

Hum... Qual virus q eh esse q faz isso eim??? Cara vc sabe quais portas mais esses virus atacam pra mim blokear tudo...!! Ou eh soh essa porta msm? 8O

----------


## nafre

> hehehehehehe... garanto proce que eh virus em algum(s) cliente(s) seu... jah aconteceu aqui e tive que fechar a conexao do camarada ateh ele rancar o bicho da maquina dele...


opa amiguinho que certexa é essa?

Posta pra gente ver o nome do virus e se possivel algum relatorio de um fabricante de antivirus.

----------


## andrequiri

Ae galera to tendo outro problema, agora tah fudendo tudo, vira e mexe eu olho no iptraf e tem clientes fazendo 3000 kbps de upload, msm com essas regras aplicadas, ae meu AP naum aguenta o tráfico e trava e o meu servidor nem pinga pq usa toda a banda... Será outro virus ou podera ser o msm???

----------

