+ Responder ao Tópico



  1. #1

    Padrão Ataque

    Olá,

    Gostaria que algéum me auxiliasse na interpretação destes resultados do tcpdump na minha eht1, que é a conexão com o AP de minha wlan,

    6904 arp who-has 192.168.30.16 tell 192.168.0.1
    10:20:18.974785 arp who-has 192.168.0.1 tell 192.168.2.25
    10:20:18.974821 arp reply 192.168.0.1 is-at 0:8:54:1:3f:97
    10:20:18.976879 arp who-has 192.168.103.77 tell 192.168.0.1
    10:20:18.976884 arp who-has 192.168.205.188 tell 192.168.0.1
    10:20:18.986876 arp who-has 192.168.174.129 tell 192.168.0.1
    10:20:18.993812 arp who-has 192.168.189.167 tell 192.168.0.1
    10:20:19.014729 arp who-has 192.168.2.27 tell 192.168.0.20
    10:20:19.015862 arp who-has 192.168.191.155 tell 192.168.0.1
    10:20:19.026898 arp who-has 192.168.91.215 tell 192.168.0.1
    10:20:19.026908 arp who-has 192.168.137.65 tell 192.168.0.1
    10:20:19.042252 arp who-has 192.168.132.161 tell 192.168.0.1
    10:20:19.106899 arp who-has 192.168.154.193 tell 192.168.0.1
    10:20:19.116877 arp who-has 192.168.138.2 tell 192.168.0.1
    10:20:19.194793 arp who-has 192.168.218.144 tell 192.168.0.1
    10:20:19.196877 arp who-has 192.168.154.42 tell 192.168.0.1
    10:20:19.206876 arp who-has 192.168.62.138 tell 192.168.0.1
    10:20:19.244296 arp who-has 192.168.28.35 tell 192.168.0.1

    O servidor está varrendo a rede? Como evitar isso?

    []s
    Caps

  2. #2
    lss
    Visitante

    Padrão Ataque

    isso nao eh ataque , no caso o 192.168.0.1 que deve ser o gateway de sua rede esta mandando pacotes arp para verificar se os ips liberados por vc estao conectados a ele ou nao .

  3. #3

    Padrão Ataque

    Citação Postado originalmente por lss
    isso nao eh ataque , no caso o 192.168.0.1 que deve ser o gateway de sua rede esta mandando pacotes arp para verificar se os ips liberados por vc estao conectados a ele ou nao .
    Minha tabela arp fica da seginte forma,

    (192.168.3.150) em <incompleto> em eth1
    ? (192.168.90.121) em <incompleto> em eth1
    ? (192.168.227.63) em <incompleto> em eth1
    ? (192.168.179.2) em <incompleto> em eth1
    ? (192.168.120.164) em <incompleto> em eth1
    ? (192.168.74.178) em <incompleto> em eth1
    ? (192.168.253.179) em <incompleto> em eth1
    ? (192.168.115.25) em <incompleto> em eth1
    ? (192.168.18.49) em <incompleto> em eth1
    ? (192.168.104.75) em <incompleto> em eth1
    ? (192.168.228.142) em <incompleto> em eth1
    ? (192.168.138.86) em <incompleto> em eth1
    ? (192.168.184.100) em <incompleto> em eth1
    ? (192.168.231.169) em <incompleto> em eth1
    ? (169.254.178.60) em <incompleto> em eth1

    A tabela ip_conntrack atinge seu limite máximo, a mensagem,

    "Neighbour table overflow" repete-se na tela e a rede fica lenta. O que eu acho estranho é que isto começou a acontecer recentemente.

    []s
    Alan

  4. #4
    Bruno_Freitas
    Visitante

    Padrão Ataque

    arp who-has 192.168.154.193 tell 192.168.0.1

    traduzindo:

    arp quem-tem 192.168.154.193 disse 192.168.0.1

    Nunca vi algo parecido, mas tá parecendo ataque de IP-Spoofing. Uma máquina tentando forjar o IP.

  5. #5

    Padrão Ataque

    Citação Postado originalmente por Bruno_Freitas
    arp who-has 192.168.154.193 tell 192.168.0.1

    traduzindo:

    arp quem-tinha 192.168.154.193 dissel 192.168.0.1

    Nunca vi algo parecido, mas tá parecendo ataque de IP-Spoofing. Uma máquina tentando forjar o IP.
    correcao bruno:

    who has = quem tem (has presente do verbo have)

    isso eh uma pesquisa q a camada d enlace do modelo OSI faz para atulizar a tabela ARP d enlace

    naum eh um ataque

  6. #6
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão Ataque

    hehehehehehe... garanto proce que eh virus em algum(s) cliente(s) seu... jah aconteceu aqui e tive que fechar a conexao do camarada ateh ele rancar o bicho da maquina dele...
    faz o seguinte:
    #iptraf -l ethX ( X = GW do wireless) e ve quem eh o fdp do MAC que tah gerando esse trafego... ou ainda rode o iptraf e escolha <IP Traffic Monitor> escolha em seguida a ethX (GW do wireless) e veja o ip do engracadinho... eh Porta 445 ou 135 que tah sendo explorada... manda ver ae e posta o resultado aqui

    pode ainda rodar:
    #tcpdump -ni ethX (GW wireless) | grep "445" > arquivo.log ou
    #tcpdump -ni ethX | grep "135" > arquivo.log

  7. #7
    Bruno_Freitas
    Visitante

    Padrão Ataque

    q mancada... vlw velhinho!

    *EDITED*

    Citação Postado originalmente por demiurgo
    Citação Postado originalmente por Bruno_Freitas
    arp who-has 192.168.154.193 tell 192.168.0.1

    traduzindo:

    arp quem-tinha 192.168.154.193 dissel 192.168.0.1

    Nunca vi algo parecido, mas tá parecendo ataque de IP-Spoofing. Uma máquina tentando forjar o IP.
    correcao bruno:

    who has = quem tem (has presente do verbo have)

    isso eh uma pesquisa q a camada d enlace do modelo OSI faz para atulizar a tabela ARP d enlace

    naum eh um ataque

  8. #8

  9. #9

    Padrão Ataque

    arp flood eh interessante fazer em switches.

    a sua rede fica lenta porque ele nao consegue mais saber para qual MAC enviar e tem q ficar limpando e colocando na tabela de arp.

    bom como se repete varias voce tem que achar o engracadinho que esta ferrando voce. o jeito eh dar um olho muito "lindo" no tcpdump, usando -w para gravar no logfile e depois abrir no ethereal para ver mais facil.


    grave uma media de 1h de log e depois me envie, eh legal para estudo essas coisas

  10. #10

    Padrão Ataque

    Citação Postado originalmente por SerAntSou
    hehehehehehe... garanto proce que eh virus em algum(s) cliente(s) seu... jah aconteceu aqui e tive que fechar a conexao do camarada ateh ele rancar o bicho da maquina dele...
    faz o seguinte:
    #iptraf -l ethX ( X = GW do wireless) e ve quem eh o fdp do MAC que tah gerando esse trafego... ou ainda rode o iptraf e escolha <IP Traffic Monitor> escolha em seguida a ethX (GW do wireless) e veja o ip do engracadinho... eh Porta 445 ou 135 que tah sendo explorada... manda ver ae e posta o resultado aqui

    pode ainda rodar:
    #tcpdump -ni ethX (GW wireless) | grep "445" > arquivo.log ou
    #tcpdump -ni ethX | grep "135" > arquivo.log
    Olá,

    00:21:20.986646 192.168.2.233.3974 > 65.75.149.10.http: . ack 580 win 63662 (DF)
    00:21:20.987318 192.168.2.233.3974 > 65.75.149.10.http: F 381:381(0) ack 580 win 63662 (DF)
    00:21:21.096427 192.168.2.37.3678 > 200.188.191.54.http: . ack 16061 win 17520 (DF)
    00:21:21.100534 192.168.2.37.3681 > 200.188.191.54.http: . ack 14601 win 17520 <nop,nop,sack sack 1 {16061:17521} > (DF)
    00:21:21.166637 192.168.2.233.3975 > 206.190.38.65.http: S 1176271981:1176271981(0) win 64240 <mss 1460,nop,nop,sackOK> (DF)
    00:21:21.240680 192.168.2.37.3683 > 200.188.191.54.http: . ack 11681 win 17520 <nop,nop,sack sack 1 {13141:16061} > (DF)
    00:21:21.328590 192.168.2.37.3683 > 200.188.191.54.http: . ack 11681 win 17520 <nop,nop,sack sack 1 {13141:17521} > (DF)
    00:21:21.342592 192.168.2.233.3975 > 206.190.38.65.http: . ack 2844271471 win 64240 (DF)
    00:21:21.348823 192.168.2.233.3975 > 206.190.38.65.http: . 0:1460(1460) ack 1 win 64240 (DF)
    00:21:21.348899 192.168.2.233.3975 > 206.190.38.65.http: P 1460:2349(889) ack 1 win 64240 (DF)
    00:21:21.418216 192.168.2.37.3682 > 200.188.191.54.http: . ack 7301 win 17520 <nop,nop,sack sack 1 {8761:10221} > (DF)

    93 packets received by filter
    0 packets dropped by kernel
    [root@pts root]# tcpdump -ni eth1 dst port 445
    tcpdump: listening on eth1
    00:22:28.621784 192.168.1.165.4468 > 211.50.101.168.microsoft-ds: R 2454042708:2454042708(0) win 0

    1 packets received by filter
    0 packets dropped by kernel
    [size=18px][/size]

    rodei com dst 445, e aparece este ip. Depois ele parou de aparecer.

    []s
    Alan

  11. #11

    Padrão Ataque

    [quote="alanperes"]
    Citação Postado originalmente por SerAntSou
    hehehehehehe... garanto proce que eh virus em algum(s) cliente(s) seu... jah aconteceu aqui e tive que fechar a conexao do camarada ateh ele rancar o bicho da maquina dele...
    faz o seguinte:
    #iptraf -l ethX ( X = GW do wireless) e ve quem eh o fdp do MAC que tah gerando esse trafego... ou ainda rode o iptraf e escolha <IP Traffic Monitor> escolha em seguida a ethX (GW do wireless) e veja o ip do engracadinho... eh Porta 445 ou 135 que tah sendo explorada... manda ver ae e posta o resultado aqui

    pode ainda rodar:
    #tcpdump -ni ethX (GW wireless) | grep "445" > arquivo.log ou
    #tcpdump -ni ethX | grep "135" > arquivo.log
    Desculpe-me este é o correto,
    00:20:26.331795 192.168.1.165.3188 > 218.19.71.52.microsoft-ds: R 3203755528:3203755528(0) win 0
    00:20:26.362076 192.168.1.165.4430 > 82.254.231.47.microsoft-ds: S 3247985173:3247985173(0) win 16384 <mss 1460,nop,nop,sackOK> (DF)
    00:20:26.363122 192.168.1.165.4477 > 61.228.81.147.microsoft-ds: S 3246221083:3246221083(0) win 16384 <mss 1460,nop,nop,sackOK> (DF)
    00:20:26.363983 192.168.1.165.4475 > 61.228.187.74.microsoft-ds: S 3246181187:3246181187(0) win 16384 <mss 1460,nop,nop,sackOK> (DF)
    00:20:26.364615 192.168.1.165.3178 > 218.19.86.46.microsoft-ds: . ack 4031485087 win 16944 (DF)
    00:20:26.462886 192.168.1.165.4800 > 83.30.150.104.microsoft-ds: S 3248259247:3248259247(0) win 16384 <mss 1460,nop,nop,sackOK> (DF)
    00:20:26.562903 192.168.1.165.4593 > 218.14.66.157.microsoft-ds: S 3246677665:3246677665(0) win 16384 <mss 1460,nop,nop,sackOK> (DF)
    00:20:26.662947 192.168.1.165.4195 > 218.23.150.193.microsoft-ds: S 3247463064:3247463064(0) win 16384 <mss 1460,nop,nop,sackOK> (DF)
    00:20:26.866485 192.168.1.165.4197 > 201.135.146.16.microsoft-ds: S 3247175405:3247175405(0) win 16384 <mss 1460,nop,nop,sackOK> (DF)
    00:20:26.867132 192.168.1.165.3782 > 81.42.208.216.microsoft-ds: . ack 2848590994 win 17520 (DF)
    00:20:27.064591 192.168.1.165.4430 > 82.254.231.47.microsoft-ds: S 3247985173:3247985173(0) win 16384 <mss 1460,nop,nop,sackOK> (DF)
    00:20:27.065206 192.168.1.165.4519 > 61.223.163.108.microsoft-ds: S 3243073783:3243073783(0) win 16384 <mss 1460,nop,nop,sackOK> (DF)
    00:20:27.065849 192.168.1.165.4233 > 39.75.55.221.microsoft-ds: S 3243128089:3243128089(0) win 16384 <mss 1460,nop,nop,sackOK> (DF)
    00:20:27.066648 192.168.1.165.4237 > 186.87.93.210.microsoft-ds: S 3243170924:3243170924(0) win 16384 <mss 1460,nop,nop,sackOK> (DF)


    []s
    Alan

  12. #12
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão Ataque

    intaum homi... esse microsoft-ds eh nossa amiga 445... pra parar esse sacanagem:
    #iptables -A FORWARD -p udp --dport 445 -j DROP
    ou o melhor:
    #iptables -A FORWARD -p all -s 192.168.1.165 -j DROP
    #iptables -A INPUT-p all -s 192.168.1.165 -j DROP
    #iptables -A OUTPUT -p all -s 192.168.1.165 -j DROP
    (hehehehe vai trancar o ip safado que tah fazendo isso.. seu cliente nao vai gostar :twisted: :twisted: :twisted: )

    Depois do cliente ligar proce reclamando... fala pra ele rancar o virus da maquina dele... manda atualizar o win pra corrigir a falha do RPC e boa... se nao me engano eh o Sasser (virus).

  13. #13

    Padrão Ataque

    Olá,

    Era isso mesmo o ip é o 192.168.1.165 e o 1.69.

    []s
    Alan

  14. #14

    Padrão Ataque

    Citação Postado originalmente por SerAntSou
    intaum homi... esse microsoft-ds eh nossa amiga 445... pra parar esse sacanagem:
    #iptables -A FORWARD -p udp --dport 445 -j DROP
    ou o melhor:
    #iptables -A FORWARD -p all -s 192.168.1.165 -j DROP
    #iptables -A INPUT-p all -s 192.168.1.165 -j DROP
    #iptables -A OUTPUT -p all -s 192.168.1.165 -j DROP
    (hehehehe vai trancar o ip safado que tah fazendo isso.. seu cliente nao vai gostar :twisted: :twisted: :twisted: )

    Depois do cliente ligar proce reclamando... fala pra ele rancar o virus da maquina dele... manda atualizar o win pra corrigir a falha do RPC e boa... se nao me engano eh o Sasser (virus).
    Olá,

    Logo que descobri fiz um bloqueio, só que estava liberado hoje pela manhã. Fiz a inclusão das suas linhas de códigos e parei o camarada. Vou bloquear o MAC no AP. Tentei fazer isto com o script mas não funcionou. Sem querer ser incômodo, segue o meu script para uma rápida análise.



    #!/bin/sh
    MACIPEND=/etc/macipend

    /sbin/modprobe ip_tables
    /sbin/modprobe iptable_filter
    /sbin/modprobe ip_conntrack
    /sbin/modprobe ip_conntrack_ftp
    /sbin/modprobe ip_conntrack hashsize=1023
    /sbin/modprobe iptable_nat
    /sbin/modprobe ip_nat_ftp
    /sbin/modprobe ipt_unclean
    /sbin/modprobe ipt_limit
    /sbin/modprobe ipt_LOG
    /sbin/modprobe ipt_state
    /sbin/modprobe ipt_REJECT
    /sbin/modprobe ipt_mac

    /sbin/iptables -F
    /sbin/iptables -Z
    /sbin/iptables -X


    #while read linha; do
    # set $linha
    # mac=$1;endip=$2
    # /sbin/iptables -A INPUT -m mac --mac-source $mac -s ! $endip -j DROP
    #done <$MACIPEND
    #/sbin/iptables -A INPUT -m mac --mac-source 00:50:eb:05:37:51 -s ! 192.168.34.5 -j DROP
    /sbin/iptables -A INPUT -i eth1 -m mac --mac-source 00:30:4F:30:AE:74 -j DROP
    #/sbin/iptables -A INPUT -s 192.168.1.69 -j DROP
    ##
    /sbin/iptables -t nat -F
    # Bloqueando o 1.165
    /sbin/iptables -A FORWARD -p all -s 192.168.1.165 -j DROP
    /sbin/iptables -A INPUT -p all -s 192.168.1.165 -j DROP
    /sbin/iptables -A OUTPUT -p all -s 192.168.1.165 -j DROP

    #Protecao contra syn flood
    /sbin/iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
    # Port scanners oculto

    /sbin/iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m --limit 1/s -j ACCEPT
    # Ping da morte
    /sbin/iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
    # Bloqueando traceroute
    /sbin/iptables -A INPUT -p udp -s 0/0 -i eth0 --dport 33435:33525 -j DROP
    /sbin/iptables -A INPUT -p udp -s 0/0 -i eth1 --dport 33435:33525 -j DROP

    # Protecao contra ip spoofing
    /sbin/iptables -A INPUT -s 10.0.0.0/8 -i eth0 -j DROP
    /sbin/iptables -A INPUT -s 172.16.0.0/16 -i eth0 -j DROP
    /sbin/iptables -A INPUT -s 10.0.0.0/8 -i eth1 -j DROP
    /sbin/iptables -A INPUT -s 172.16.0.0/16 -i eth1 -j DROP


    #/sbin/iptables -A FORWARD -p udp -s 0.0.0.0 --dport 53 -j ACCEPT
    /sbin/iptables -A FORWARD -p tcp -s 192.168.0.0/16 --dport 25 -j ACCEPT
    /sbin/iptables -A FORWARD -p tcp -s 192.168.0.0/16 --dport 110 -j ACCEPT


    # Redireciona para a porta 3128
    #/sbin/iptables -t nat -A PREROUTING -s 192.168.0.0/16 -p tcp --destination-port 80 -j REDIRECT --to-ports 3128
    /sbin/iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o eth0 -j SNAT --to-source 200.164.225.89
    /sbin/iptables -t nat -A POSTROUTING -j MASQUERADE
    /bin/echo "1" > /proc/sys/net/ipv4/ip_forward
    #/sbin/service iptables save


    Quando rodo aparece isto,
    iptables v1.2.7a: Couldn't load match `--limit':/lib/iptables/libipt_--limit.so: cannot open shared object file: No such file or directory

    []s
    Alan

  15. #15
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão Ataque

    Alan, o que parece o modulo "limit" do iptables nao tah instalado... pra acabar com essas encrencas instale o patch-o-matic do iptables... olha esse artigo meu aqui (mamao com acucar ):
    https://under-linux.org/modules.php?...icle&artid=286

  16. #16
    andrequiri
    Visitante

    Padrão Ataque

    Ae galera eu usei esse comando do tcpdump e realmente eu axei um dos meus cliente q tava com um monte de ds-microsoft... naum teria como blokear somente as portas desse virus? Se acaso um outro cliente meu pegasse um virus tb e começasse de novo.

  17. #17
    xargs -n 1 kill -9 Avatar de sergio
    Ingresso
    Jan 2004
    Localização
    Capital do Triângulo
    Posts
    5.201
    Posts de Blog
    9

    Padrão Ataque

    Citação Postado originalmente por andrequiri
    Ae galera eu usei esse comando do tcpdump e realmente eu axei um dos meus cliente q tava com um monte de ds-microsoft... naum teria como blokear somente as portas desse virus? Se acaso um outro cliente meu pegasse um virus tb e começasse de novo.
    Jeito tem... mas as vezes nao resolve eqto nao bloqueia o IP do camarada...de qq forma tae:
    iptables -A FORWARD -p tcp --dport 445 -i ethX -j REJECT
    iptables -A FORWARD -p tcp --sport 445 -i ethX -j REJECT
    iptables -A FORWARD -p udp --dport 445 -i ethX -j REJECT
    iptables -A FORWARD -p udp --sport 445 -i ethX -j REJECT

    pode fazer isso ae pra qq porta.

  18. #18
    andrequiri
    Visitante

    Padrão Ataque

    Hum... Qual virus q eh esse q faz isso eim??? Cara vc sabe quais portas mais esses virus atacam pra mim blokear tudo...!! Ou eh soh essa porta msm? 8O

  19. #19
    nafre
    Visitante

    Padrão Ataque

    Citação Postado originalmente por SerAntSou
    hehehehehehe... garanto proce que eh virus em algum(s) cliente(s) seu... jah aconteceu aqui e tive que fechar a conexao do camarada ateh ele rancar o bicho da maquina dele...
    opa amiguinho que certexa é essa?

    Posta pra gente ver o nome do virus e se possivel algum relatorio de um fabricante de antivirus.

  20. #20
    andrequiri
    Visitante

    Padrão Ataque

    Ae galera to tendo outro problema, agora tah fudendo tudo, vira e mexe eu olho no iptraf e tem clientes fazendo 3000 kbps de upload, msm com essas regras aplicadas, ae meu AP naum aguenta o tráfico e trava e o meu servidor nem pinga pq usa toda a banda... Será outro virus ou podera ser o msm???