Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1
    Administrador Avatar de Fernando
    Ingresso
    Jul 2001
    Localização
    Campinas Area
    Posts
    4.996
    Posts de Blog
    4

    Padrão pacotes na rede?

    Bom amigos, tenho aqui uma rede com mais ou menos 200 clientes, com 3 diferentes subnets e todos com IPs válidos.

    Possuo um servidor dhcp que cuida de uma subnet, e outro que gerencia as outras duas, ambos sao FreeBSD 4.8, conectados a um pr1000 da Cyclades.

    O que acontece na realidade é que tenho tido muitas reclamacoes de clientes e seus respectivos firewalls pessoais de *tentativas de invasao*, logados como portscan pelos mesmos, vindo de outros clientes.
    Certo, enviando o suporte tecnico e eu mesmo a casa dos clientes supostos atacantes, nao ha nada de errado, nenhum software ou virus que poderia estar causando esse tumulto.

    Alguém sabe me dizer o que poderia estar gerando a falsa acusacao de portscan numa rede tao extensa? Algum software, game, p2p, rl, etc?
    Ou pelo menos algum software ou dica pra tentar isolar a origem dos queries?

    Venho monitorando a tempos com o tcpdump a rede e realmente nao achei nada anormal a nao ser uns blaster ou outro por ai em maquinas de clientes, mas nada que causem a acusacao.

    Somebody gimme sombody to help? :]

  2. #2

    Padrão pacotes na rede?

    Hehe Psy pena que eu não possa te ajudar !!! Mas moçada o PSY tenta ajudar a todos, e esta na hora de ajudar ele. Que milagre uhauhauha <IMG SRC="images/forum/icons/icon_biggrin.gif">

  3. #3
    Administrador Avatar de Fernando
    Ingresso
    Jul 2001
    Localização
    Campinas Area
    Posts
    4.996
    Posts de Blog
    4

    Padrão pacotes na rede?

    Nao eh assim tb, eu ajudo o pouco que eu posso =))
    O problema é que tao me deixando loco ja com essa cobranca de quererem achar o *hacker* que tá tentando invadir eles, daqui a pouco eu vo mandar todos os clientes pra fazer curso de jardinagem na indonesia =D heheheh

  4. #4

    Padrão pacotes na rede?

    Cara, que programas eles usam que loga essa tentativa de ataque? e de qual ip vem qdo chega na maquina deles? (ainda sim eh da sua rede interna?) qual o alerta gerado?
    se for um firewall homosexulamente configurado que 2 portas em 1s ai vai dar varios falso-alarmes...

    veja EXATAMENTE o software que o client usa e peca para ele guardar a tela no momento, guarda o log, fazer algo.

  5. #5
    Administrador Avatar de Fernando
    Ingresso
    Jul 2001
    Localização
    Campinas Area
    Posts
    4.996
    Posts de Blog
    4

    Padrão pacotes na rede?

    Entao, eu tenho os logs, soh nao fuco na configuracao do firewall pq eu nao faco esse servico, meu negocio eh o provedor, mas os *firewalls* sao aquela tosquera da Symanec, Norton seilah o que e o Zonealarm

  6. #6

    Padrão pacotes na rede?

    zone alarm reclama ate do kernel32.dll tentando se conectar na internet, ele da muito alarme falso, ele loga tudo muito, tem que ver a configuracao dele, e afinal de contas um portscanner nao eh um hacker, qualquer um pode fazer um portscanner, teve ter um nivel de seguranca pre-setado no zonelarm (nunca usei esta bosta entao nao sei direito), e ele deve estar no maximo entao essa parada apita para tudo... qualquer conexao originada ou destinada ao host ele faz "pee pee"

  7. #7
    Administrador Avatar de Fernando
    Ingresso
    Jul 2001
    Localização
    Campinas Area
    Posts
    4.996
    Posts de Blog
    4

    Padrão pacotes na rede?

    Eh, eu tb nunca usei, meu negocio eh ipfw/chains/tables, nunca foi diferente disso heheh

    Bom, mas se ele acusa portscan, e o maldito nao ta dando portscan, tem algo q faca isso? Eu preciso explicar porque antes de falar que o firewall do cara eh fulero

    (obs, sao sim, todas as tentativas de portscan sao de outros clientes da mesma subnet)

  8. #8

    Padrão pacotes na rede?

    Vixi se é o Zonealarme nem de bola pois ele pega até java script ........... é muito ruin aquele firewall , pega tudo mas não bloqueia nada !!!! <IMG SRC="images/forum/icons/icon_biggrin.gif"> Tenta verificar nos logs se é ip interno ou externo se é interno na rede o legal seria colocar um firewall no servidor principal onde o usuario tera acesso somente para fora (iptables mesmo ).................


    Valeu

  9. #9
    Administrador Avatar de Fernando
    Ingresso
    Jul 2001
    Localização
    Campinas Area
    Posts
    4.996
    Posts de Blog
    4

    Padrão pacotes na rede?

    Bom, no ultimo caso agora verifiquei que o suposto atacante usa Windows XP, e estou matutando aqui se nao tem alguma coisa que ele possa ter feito que deu um query na rede e acusou o falso alarme...

  10. #10

    Padrão pacotes na rede?

    oap é zone alarm ............. desculpem ! <IMG SRC="images/forum/icons/icon_cool.gif">

  11. #11

    Padrão pacotes na rede?

    Verifque se suas maquinas sao windows tambem.. windows adoram mandar requisicoes na porta do samba... netbios.. etc etc... eh broadcast direto...

    verifique as configs do zonealarm.. eh o unico jeito. monitora o viadim do cliente no host dele (se ele diz q isso e constantes)

    ah o fw n eh taum furelo assim... pode (deve) estar mal configurado como o de normal...

  12. #12
    Administrador Avatar de Fernando
    Ingresso
    Jul 2001
    Localização
    Campinas Area
    Posts
    4.996
    Posts de Blog
    4

    Padrão pacotes na rede?

    Como eu disse sao IPs externos, validos, mas fazem parte da mesma subnet, nao sei se o broadcast pode causar algo assim, nao sei, to meio perdido quanto a isso =)

  13. #13
    Administrador Avatar de Fernando
    Ingresso
    Jul 2001
    Localização
    Campinas Area
    Posts
    4.996
    Posts de Blog
    4

    Padrão pacotes na rede?

    Eh, quanto ao zonealarm tenho uma pista pra ir atraz, e ao Norton-Personal-seilah-que-diabo-eh-aquela-porra?

  14. #14

    Padrão pacotes na rede?

    Verifique, sao maquinas windows, voce nao pode confiar.

  15. #15
    Administrador Avatar de Fernando
    Ingresso
    Jul 2001
    Localização
    Campinas Area
    Posts
    4.996
    Posts de Blog
    4

    Padrão pacotes na rede?

    Sim, eu sei, mas ignore agora os &acute;firewalls&acute; dos clientes e pensa em pacotes de rede, existe alguma coisa q faca broadcast direto de X pra Y na mesma subnet que possa fazer um efeito de portscan?

    Como um query ao netbios ou seilah? 139?

  16. #16

    Padrão pacotes na rede?

    Sim, talvez, dependendo da config de firewall do sujeito, quem sabe um query em

    137 e outro logo depois em 139 esteja gerando o portscanner? ngm sabe. voce tem que verificar.

  17. #17
    Administrador Avatar de Fernando
    Ingresso
    Jul 2001
    Localização
    Campinas Area
    Posts
    4.996
    Posts de Blog
    4

    Padrão pacotes na rede?

    roger, isso eu ja sabia neh uhehueuheuhe
    Pelo menos vc pensa igual eu, já sao 2 opinioes iguais... =)

  18. #18

    Padrão pacotes na rede?

    psy , beleza?

    Os alertas estao acontecendo em varios clientes ao mesmo tempo? ou tem hora um, tem hora outro?

  19. #19
    AndrewAmorimdaSilva
    Visitante

    Padrão pacotes na rede?

    Ei psy,
    Tive o mesmo problema usando o norton internet security!
    VEja se nos processos do windows tem um tal de khooker.exe.

    Nenhum antivirus pegou, e ele zuou muitas maquinas gerando o mesmo problema.

    Use o programa... adware....ele remove..

    http://lavasoft.element5.com/portugu...tware/adaware/

    Faça o teste.

    Falow!

  20. #20

    Padrão pacotes na rede?

    Kra eu tenho alguns clientes com um tal de Thin Firewall da Seaget
    que dispara a toda hora, mesmo isolando a máquina , ele indica port scan, sozinho, uma piração mesmo. Entrando em contato com o fabricante, o mesmo informou, que alguns serviços do windows que estejam estartados podem gerar falsos alarmes.