- pacotes na rede?
+ Responder ao Tópico
-
pacotes na rede?
Bom amigos, tenho aqui uma rede com mais ou menos 200 clientes, com 3 diferentes subnets e todos com IPs válidos.
Possuo um servidor dhcp que cuida de uma subnet, e outro que gerencia as outras duas, ambos sao FreeBSD 4.8, conectados a um pr1000 da Cyclades.
O que acontece na realidade é que tenho tido muitas reclamacoes de clientes e seus respectivos firewalls pessoais de *tentativas de invasao*, logados como portscan pelos mesmos, vindo de outros clientes.
Certo, enviando o suporte tecnico e eu mesmo a casa dos clientes supostos atacantes, nao ha nada de errado, nenhum software ou virus que poderia estar causando esse tumulto.
Alguém sabe me dizer o que poderia estar gerando a falsa acusacao de portscan numa rede tao extensa? Algum software, game, p2p, rl, etc?
Ou pelo menos algum software ou dica pra tentar isolar a origem dos queries?
Venho monitorando a tempos com o tcpdump a rede e realmente nao achei nada anormal a nao ser uns blaster ou outro por ai em maquinas de clientes, mas nada que causem a acusacao.
Somebody gimme sombody to help? :]
-
pacotes na rede?
Hehe Psy pena que eu não possa te ajudar !!! Mas moçada o PSY tenta ajudar a todos, e esta na hora de ajudar ele. Que milagre uhauhauha <IMG SRC="images/forum/icons/icon_biggrin.gif">
-
pacotes na rede?
Nao eh assim tb, eu ajudo o pouco que eu posso =))
O problema é que tao me deixando loco ja com essa cobranca de quererem achar o *hacker* que tá tentando invadir eles, daqui a pouco eu vo mandar todos os clientes pra fazer curso de jardinagem na indonesia =D heheheh
-
pacotes na rede?
Cara, que programas eles usam que loga essa tentativa de ataque? e de qual ip vem qdo chega na maquina deles? (ainda sim eh da sua rede interna?) qual o alerta gerado?
se for um firewall homosexulamente configurado que 2 portas em 1s ai vai dar varios falso-alarmes...
veja EXATAMENTE o software que o client usa e peca para ele guardar a tela no momento, guarda o log, fazer algo.
-
pacotes na rede?
Entao, eu tenho os logs, soh nao fuco na configuracao do firewall pq eu nao faco esse servico, meu negocio eh o provedor, mas os *firewalls* sao aquela tosquera da Symanec, Norton seilah o que e o Zonealarm
-
pacotes na rede?
zone alarm reclama ate do kernel32.dll tentando se conectar na internet, ele da muito alarme falso, ele loga tudo muito, tem que ver a configuracao dele, e afinal de contas um portscanner nao eh um hacker, qualquer um pode fazer um portscanner, teve ter um nivel de seguranca pre-setado no zonelarm (nunca usei esta bosta entao nao sei direito), e ele deve estar no maximo entao essa parada apita para tudo... qualquer conexao originada ou destinada ao host ele faz "pee pee"
-
pacotes na rede?
Eh, eu tb nunca usei, meu negocio eh ipfw/chains/tables, nunca foi diferente disso heheh
Bom, mas se ele acusa portscan, e o maldito nao ta dando portscan, tem algo q faca isso? Eu preciso explicar porque antes de falar que o firewall do cara eh fulero
(obs, sao sim, todas as tentativas de portscan sao de outros clientes da mesma subnet)
-
pacotes na rede?
Vixi se é o Zonealarme nem de bola pois ele pega até java script ........... é muito ruin aquele firewall , pega tudo mas não bloqueia nada !!!! <IMG SRC="images/forum/icons/icon_biggrin.gif"> Tenta verificar nos logs se é ip interno ou externo se é interno na rede o legal seria colocar um firewall no servidor principal onde o usuario tera acesso somente para fora (iptables mesmo ).................
Valeu
-
pacotes na rede?
Bom, no ultimo caso agora verifiquei que o suposto atacante usa Windows XP, e estou matutando aqui se nao tem alguma coisa que ele possa ter feito que deu um query na rede e acusou o falso alarme...
-
pacotes na rede?
oap é zone alarm ............. desculpem ! <IMG SRC="images/forum/icons/icon_cool.gif">
-
pacotes na rede?
Verifque se suas maquinas sao windows tambem.. windows adoram mandar requisicoes na porta do samba... netbios.. etc etc... eh broadcast direto...
verifique as configs do zonealarm.. eh o unico jeito. monitora o viadim do cliente no host dele (se ele diz q isso e constantes)
ah o fw n eh taum furelo assim... pode (deve) estar mal configurado como o de normal...
-
pacotes na rede?
Como eu disse sao IPs externos, validos, mas fazem parte da mesma subnet, nao sei se o broadcast pode causar algo assim, nao sei, to meio perdido quanto a isso =)
-
pacotes na rede?
Eh, quanto ao zonealarm tenho uma pista pra ir atraz, e ao Norton-Personal-seilah-que-diabo-eh-aquela-porra?
-
pacotes na rede?
Verifique, sao maquinas windows, voce nao pode confiar.
-
pacotes na rede?
Sim, eu sei, mas ignore agora os ´firewalls´ dos clientes e pensa em pacotes de rede, existe alguma coisa q faca broadcast direto de X pra Y na mesma subnet que possa fazer um efeito de portscan?
Como um query ao netbios ou seilah? 139?
-
pacotes na rede?
Sim, talvez, dependendo da config de firewall do sujeito, quem sabe um query em
137 e outro logo depois em 139 esteja gerando o portscanner? ngm sabe. voce tem que verificar.
-
pacotes na rede?
roger, isso eu ja sabia neh uhehueuheuhe
Pelo menos vc pensa igual eu, já sao 2 opinioes iguais... =)
-
pacotes na rede?
psy , beleza?
Os alertas estao acontecendo em varios clientes ao mesmo tempo? ou tem hora um, tem hora outro?
-
AndrewAmorimdaSilva
Visitante
pacotes na rede?
Ei psy,
Tive o mesmo problema usando o norton internet security!
VEja se nos processos do windows tem um tal de khooker.exe.
Nenhum antivirus pegou, e ele zuou muitas maquinas gerando o mesmo problema.
Use o programa... adware....ele remove..
http://lavasoft.element5.com/portugu...tware/adaware/
Faça o teste.
Falow!
-
pacotes na rede?
Kra eu tenho alguns clientes com um tal de Thin Firewall da Seaget
que dispara a toda hora, mesmo isolando a máquina , ele indica port scan, sozinho, uma piração mesmo. Entrando em contato com o fabricante, o mesmo informou, que alguns serviços do windows que estejam estartados podem gerar falsos alarmes.