+ Responder ao Tópico



  1. #1

    Padrão Tráfego na minha rede

    Estou tendo esse tipo de tráfego na minha rede, alguem poderia analisar e me dizer o que significa.
    Grato.

    13:24:11.533136 IP 172.16.155.6.138 > 172.16.155.7.138: NBT UDP PACKET(138)
    13:24:15.930536 IP 172.16.155.6.138 > 172.16.155.7.138: NBT UDP PACKET(138)
    13:24:20.191873 IP 172.16.155.6.138 > 172.16.155.7.138: NBT UDP PACKET(138)
    13:24:31.008746 IP 172.16.155.22.138 > 172.16.155.23.138: NBT UDP PACKET(138)
    13:26:18.301274 IP 172.16.155.26.138 > 172.16.155.27.138: NBT UDP PACKET(138)
    13:26:48.891999 IP 172.16.155.10.138 > 172.16.155.11.138: NBT UDP PACKET(138)

  2. #2

    Padrão Tráfego na minha rede

    Estou tendo tb, esse tipo de tráfego.

    13:27:47.031820 IP 172.16.155.26.137 > 172.16.155.27.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
    13:27:47.754066 IP 172.16.155.26.137 > 172.16.155.27.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
    13:27:48.492897 IP 172.16.155.26.137 > 172.16.155.27.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
    13:27:51.998133 IP 172.16.155.26.137 > 172.16.155.27.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
    13:27:55.500254 IP 172.16.155.26.137 > 172.16.155.27.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
    13:27:56.248189 IP 172.16.155.26.137 > 172.16.155.27.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
    13:27:56.998230 IP 172.16.155.26.137 > 172.16.155.27.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
    13:27:59.748428 IP 172.16.155.26.137 > 172.16.155.27.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
    13:28:01.252695 IP 172.16.155.26.137 > 172.16.155.27.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST

  3. #3
    FernandoBIG
    Visitante

    Padrão trafego

    Amigao....
    Esse trafego é caracteristo de virus, q exploram as portas 137 e 138, q sao usadas pelo Ruindows...

    se vc usa linux

    iptables -I INPUT -p udp -s 0/0 --sport 137:139 -j DROP
    iptables -I INPUT -p udp -s 0/0 --dport 137:139 -j DROP
    iptables -I FORWARD -p udp -s 0/0 --sport 137:139 -j DROP
    iptables -I FORWARD -p udp -s 0/0 --dport 137:139 -j DROP


    grande abraco

  4. #4

    Padrão Tráfego na minha rede

    Opa valeu pela dica de firewall, mas o que eu gostaria de saber era interpretar mesmo o trafego. Pq por exemplo, jah ouvi dizer que trafego na 138 UDP não é vírus, mas sim transferencia de arquivos.
    Gostaria de saber o que significa as palavras: QUERY; REQUEST; BROADCAST.
    As vezes aparece as palavras MULTCAST e por ai vai....era isso, se alguem puder me ajudar fico grato.

  5. #5
    FernandoBIG
    Visitante

    Padrão ping alto

    Amigao....
    Esse negocio de "ouvir falar" é meio complicado, eu estou afirmando a vc q a porta 138 é usada por virus, por ser a porta q o ruindows usa para trocas de arquivos via o protocolo netbios....sabe qd vc clicla no icone "meus locais de rede" ? entao...essa porta 138, 137 ta ai...
    Outra coisa, um provedor q e preze nao deixa um cliente ver o outro na rede...

    entao amigo, vc tem 2 problemas na sua rede, virus e clientes se enxergando .

    QUERY, REQUEST, MULTICAST

    sao Solicitacoes feitas por um host a rede ou a um outro host...
    com certeza, vc encontrara tudo mastiganhinho em uma apostila de TCP/IP

    grande abraco

  6. #6
    Visitante

    Padrão Re: ping alto

    FernandoBIG

    Infelizmente você esta incorreto. Neste caso é uma comunicação de Netbios,sim! e existe somente uma rede!!Veja que é uma classe B e que os dois primeiros octetos reference a a rede e os dois ultimos a hots. Quanto a configuração do firewall ela é correta para troca de trafego de internet para a rede local.Somente isto!

    flaviobatistela

    Desabilite em todos os micros da sua rede o Netbios,e deixe somente comunicação TCP/IP.

    Flavio sou Analista de Segurança a 13 anos,e estou terminando meu Doutorada na area de segurança na USP. Estes equivocos em Foruns é muito comun,logo experimente minhas dicas e depois de um retorno aqui!

    Atenciosamente,

    Charles
    MSCE - CCNP - LPI-3

  7. #7

    Padrão Tráfego na minha rede

    Fernando agradeço muito sua dica.
    Eu tenho no site do meu provedor um tutorial que explica como desabilitar o netbios - http://www.abcrede.com.br/canais/tutoriais/06/06.html

    Mas o que eu gostaria que vc me explicasse, se fosse possível é claro, aqueles termos, MULTCAST, BROADCAST, QUERY, e gostaria de saber também, se toda vez que ver esse tipo de tráfego na rede, posso afirmar que é vírus.
    Se vc perceber são requisições do IP do cliente para o Brodcast. O que significa?
    Grato.