+ Responder ao Tópico



  1. #1
    hanaga
    Colegas,

    Alguns dias ja' tenho notado que IP's estranhos tem aparecido na tabela "arp" do meu servidor.

    Rodo o snort aqui ele nao registra nada de anormal....me parece que algum espertinho esta rodando algo tipo um scan na rede toda...

    Quando eu rodo o comando "arp"...aparece o seguinte:

    10.0.178.159 (incomplete) eth1
    10.0.178.96 (incomplete) eth1
    10.0.178.68 (incomplete) eth1
    10.0.178.41 (incomplete) eth1
    10.0.177.241 (incomplete) eth1
    10.0.177.213 (incomplete) eth1
    10.0.177.184 (incomplete) eth1
    10.0.177.156 (incomplete) eth1
    10.0.177.99 (incomplete) eth1
    10.0.177.71 (incomplete) eth1
    10.0.177.42 (incomplete) eth1
    10.0.176.240 (incomplete) eth1
    10.0.176.212 (incomplete) eth1
    10.0.176.185 (incomplete) eth1
    10.0.176.157 (incomplete) eth1
    10.0.176.98 (incomplete) eth1
    10.0.176.70 (incomplete) eth1

    Este e' um exemplo...porque sao ip's que na verdade nao pertecem a minha rede...

    Alguem tem alguma dica de como posso descobrir de onde vem esses IPs ??

    Obrigado pela ajuda,

    Abracos,

    Tiago

  2. #2
    pilantrox
    fera,, mas esses ips são ips inválidos ,,mascarados ,,, provavelmente deve ser da sua rede interna ,,,,,,,,,,,se sua rede for wireless talvez algum
    espertinho tentando scaniar seu server.
    eth1 é sua rede interna ou eh a placa ligada a internet????

    Citação Postado originalmente por hanaga
    Colegas,

    Alguns dias ja' tenho notado que IP's estranhos tem aparecido na tabela "arp" do meu servidor.

    Rodo o snort aqui ele nao registra nada de anormal....me parece que algum espertinho esta rodando algo tipo um scan na rede toda...

    Quando eu rodo o comando "arp"...aparece o seguinte:

    10.0.178.159 (incomplete) eth1
    10.0.178.96 (incomplete) eth1
    10.0.178.68 (incomplete) eth1
    10.0.178.41 (incomplete) eth1
    10.0.177.241 (incomplete) eth1
    10.0.177.213 (incomplete) eth1
    10.0.177.184 (incomplete) eth1
    10.0.177.156 (incomplete) eth1
    10.0.177.99 (incomplete) eth1
    10.0.177.71 (incomplete) eth1
    10.0.177.42 (incomplete) eth1
    10.0.176.240 (incomplete) eth1
    10.0.176.212 (incomplete) eth1
    10.0.176.185 (incomplete) eth1
    10.0.176.157 (incomplete) eth1
    10.0.176.98 (incomplete) eth1
    10.0.176.70 (incomplete) eth1

    Este e' um exemplo...porque sao ip's que na verdade nao pertecem a minha rede...

    Alguem tem alguma dica de como posso descobrir de onde vem esses IPs ??

    Obrigado pela ajuda,

    Abracos,

    Tiago



  3. #3
    sadirj
    Citação Postado originalmente por pilantrox
    fera,, mas esses ips são ips inválidos ,,mascarados ,,, provavelmente deve ser da sua rede interna ,,,,,,,,,,,se sua rede for wireless talvez algum
    espertinho tentando scaniar seu server.
    eth1 é sua rede interna ou eh a placa ligada a internet????

    Citação Postado originalmente por hanaga
    Colegas,

    Alguns dias ja' tenho notado que IP's estranhos tem aparecido na tabela "arp" do meu servidor.

    Rodo o snort aqui ele nao registra nada de anormal....me parece que algum espertinho esta rodando algo tipo um scan na rede toda...

    Quando eu rodo o comando "arp"...aparece o seguinte:

    10.0.178.159 (incomplete) eth1
    10.0.178.96 (incomplete) eth1
    10.0.178.68 (incomplete) eth1
    10.0.178.41 (incomplete) eth1
    10.0.177.241 (incomplete) eth1
    10.0.177.213 (incomplete) eth1
    10.0.177.184 (incomplete) eth1
    10.0.177.156 (incomplete) eth1
    10.0.177.99 (incomplete) eth1
    10.0.177.71 (incomplete) eth1
    10.0.177.42 (incomplete) eth1
    10.0.176.240 (incomplete) eth1
    10.0.176.212 (incomplete) eth1
    10.0.176.185 (incomplete) eth1
    10.0.176.157 (incomplete) eth1
    10.0.176.98 (incomplete) eth1
    10.0.176.70 (incomplete) eth1

    Este e' um exemplo...porque sao ip's que na verdade nao pertecem a minha rede...

    Alguem tem alguma dica de como posso descobrir de onde vem esses IPs ??

    Obrigado pela ajuda,

    Abracos,

    Tiago
    Cara, isso acontece dirteto aqui no provedor... Fatalmente é alguma máquina da sua rede interna (algum cliente) que está infectada com algum trojam e está fazendo isso. Para vc descobrir qual máquina está originando e se o snort não está ajudando muito, tire um tempo para monitorar o tráfego visualmente, com algum software tipo o iptraf e veja quem está fazendo o ataque. Se for uma máquina de cliente seu, ela aparecerá com um monte de SYN. Ajuda de vez em sempre monitorar a rede visualmente... eu acho. :?

    Abraços.

  4. #4
    haas
    o PPPoE faz isso...






Tópicos Similares

  1. tabela arp
    Por smvda no fórum Servidores de Rede
    Respostas: 1
    Último Post: 06-04-2006, 10:04
  2. Tabela ARP - Red Hat
    Por panther no fórum Servidores de Rede
    Respostas: 1
    Último Post: 05-04-2006, 15:44
  3. IPxMac Somente Tabela ARP
    Por Fabiano Jean Silva no fórum Redes
    Respostas: 2
    Último Post: 18-02-2006, 10:54
  4. Limpar a tabela arp
    Por doliveira no fórum Servidores de Rede
    Respostas: 2
    Último Post: 18-11-2005, 13:58
  5. Nomes na tabela ARP ao invés dos IPs
    Por flaviobatistela no fórum Servidores de Rede
    Respostas: 7
    Último Post: 25-10-2005, 22:37

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L