- Tráfego na minha rede
+ Responder ao Tópico
-
Tráfego na minha rede
Estou tendo esse tipo de tráfego na minha rede, alguem poderia analisar e me dizer o que significa.
Grato.
13:24:11.533136 IP 172.16.155.6.138 > 172.16.155.7.138: NBT UDP PACKET(138)
13:24:15.930536 IP 172.16.155.6.138 > 172.16.155.7.138: NBT UDP PACKET(138)
13:24:20.191873 IP 172.16.155.6.138 > 172.16.155.7.138: NBT UDP PACKET(138)
13:24:31.008746 IP 172.16.155.22.138 > 172.16.155.23.138: NBT UDP PACKET(138)
13:26:18.301274 IP 172.16.155.26.138 > 172.16.155.27.138: NBT UDP PACKET(138)
13:26:48.891999 IP 172.16.155.10.138 > 172.16.155.11.138: NBT UDP PACKET(138)
-
Tráfego na minha rede
Estou tendo tb, esse tipo de tráfego.
13:27:47.031820 IP 172.16.155.26.137 > 172.16.155.27.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
13:27:47.754066 IP 172.16.155.26.137 > 172.16.155.27.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
13:27:48.492897 IP 172.16.155.26.137 > 172.16.155.27.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
13:27:51.998133 IP 172.16.155.26.137 > 172.16.155.27.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
13:27:55.500254 IP 172.16.155.26.137 > 172.16.155.27.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
13:27:56.248189 IP 172.16.155.26.137 > 172.16.155.27.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
13:27:56.998230 IP 172.16.155.26.137 > 172.16.155.27.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
13:27:59.748428 IP 172.16.155.26.137 > 172.16.155.27.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
13:28:01.252695 IP 172.16.155.26.137 > 172.16.155.27.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
-
trafego
Amigao....
Esse trafego é caracteristo de virus, q exploram as portas 137 e 138, q sao usadas pelo Ruindows...
se vc usa linux
iptables -I INPUT -p udp -s 0/0 --sport 137:139 -j DROP
iptables -I INPUT -p udp -s 0/0 --dport 137:139 -j DROP
iptables -I FORWARD -p udp -s 0/0 --sport 137:139 -j DROP
iptables -I FORWARD -p udp -s 0/0 --dport 137:139 -j DROP
grande abraco
-
Tráfego na minha rede
Opa valeu pela dica de firewall, mas o que eu gostaria de saber era interpretar mesmo o trafego. Pq por exemplo, jah ouvi dizer que trafego na 138 UDP não é vírus, mas sim transferencia de arquivos.
Gostaria de saber o que significa as palavras: QUERY; REQUEST; BROADCAST.
As vezes aparece as palavras MULTCAST e por ai vai....era isso, se alguem puder me ajudar fico grato.
-
ping alto
Amigao....
Esse negocio de "ouvir falar" é meio complicado, eu estou afirmando a vc q a porta 138 é usada por virus, por ser a porta q o ruindows usa para trocas de arquivos via o protocolo netbios....sabe qd vc clicla no icone "meus locais de rede" ? entao...essa porta 138, 137 ta ai...
Outra coisa, um provedor q e preze nao deixa um cliente ver o outro na rede...
entao amigo, vc tem 2 problemas na sua rede, virus e clientes se enxergando .
QUERY, REQUEST, MULTICAST
sao Solicitacoes feitas por um host a rede ou a um outro host...
com certeza, vc encontrara tudo mastiganhinho em uma apostila de TCP/IP
grande abraco
-
Re: ping alto
FernandoBIG
Infelizmente você esta incorreto. Neste caso é uma comunicação de Netbios,sim! e existe somente uma rede!!Veja que é uma classe B e que os dois primeiros octetos reference a a rede e os dois ultimos a hots. Quanto a configuração do firewall ela é correta para troca de trafego de internet para a rede local.Somente isto!
flaviobatistela
Desabilite em todos os micros da sua rede o Netbios,e deixe somente comunicação TCP/IP.
Flavio sou Analista de Segurança a 13 anos,e estou terminando meu Doutorada na area de segurança na USP. Estes equivocos em Foruns é muito comun,logo experimente minhas dicas e depois de um retorno aqui!
Atenciosamente,
Charles
MSCE - CCNP - LPI-3
-
Tráfego na minha rede
Fernando agradeço muito sua dica.
Eu tenho no site do meu provedor um tutorial que explica como desabilitar o netbios - http://www.abcrede.com.br/canais/tutoriais/06/06.html
Mas o que eu gostaria que vc me explicasse, se fosse possível é claro, aqueles termos, MULTCAST, BROADCAST, QUERY, e gostaria de saber também, se toda vez que ver esse tipo de tráfego na rede, posso afirmar que é vírus.
Se vc perceber são requisições do IP do cliente para o Brodcast. O que significa?
Grato.