Netbios ou DHCP

**Kandango** · 27-10-2005, 23:26

Pessoal que tráfego é esse na minha rede.

23:21:37.148891 IP 169.254.52.134.netbios-ns > perdizes.netperdizes.com.br.domain: 174+ A? WORKGROUP.netperdizes.com.br. (53)
23:21:38.649024 IP 169.254.52.134.netbios-ns > perdizes.netperdizes.com.br.domain: 174+ A? WORKGROUP.netperdizes.com.br. (53)
23:21:40.148222 IP 169.254.52.134.netbios-ns > perdizes.netperdizes.com.br.domain: 174+ A? WORKGROUP.netperdizes.com.br. (53)
23:21:41.646874 IP 169.254.52.134.netbios-ns > webserver.netperdizes.com.br.domain: 174+ A? WORKGROUP.netperdizes.com.br. (53)
23:21:43.147786 IP 169.254.52.134.netbios-ns > webserver.netperdizes.com.br.domain: 174+ A? WORKGROUP.netperdizes.com.br. (53)
23:21:44.647471 IP 169.254.52.134.netbios-ns > webserver.netperdizes.com.br.domain: 174+ A? WORKGROUP.netperdizes.com.br. (53)
23:21:46.146524 IP 169.254.52.134.netbios-ns > perdizes.netperdizes.com.br.domain: 174+ A? WORKGROUP.com.br. (41)
23:21:47.646886 IP 169.254.52.134.netbios-ns > perdizes.netperdizes.com.br.domain: 174+ A? WORKGROUP.com.br. (41)
23:21:48.050059 IP 169.254.52.134.netbios-ns > perdizes.netperdizes.com.br.domain: 176+ A? BTTHOST.COM. (34)
23:21:49.156245 IP 169.254.52.134.netbios-ns > perdizes.netperdizes.com.br.domain: 174+ A? WORKGROUP.com.br. (41)
23:21:49.546497 IP 169.254.52.134.netbios-ns > perdizes.netperdizes.com.br.domain: 176+ A? BTTHOST.COM. (34)
23:21:50.645882 IP 169.254.52.134.netbios-ns > webserver.netperdizes.com.br.domain: 174+ A? WORKGROUP.com.br. (41)
23:21:51.044987 IP 169.254.52.134.netbios-ns > perdizes.netperdizes.com.br.domain: 176+ A? BTTHOST.COM. (34)
23:21:52.145417 IP 169.254.52.134.netbios-ns > webserver.netperdizes.com.br.domain: 174+ A? WORKGROUP.com.br. (41)
23:21:52.545634 IP 169.254.52.134.netbios-ns > webserver.netperdizes.com.br.domain: 176+ A? BTTHOST.COM. (34)
23:21:53.654690 IP 169.254.52.134.netbios-ns > webserver.netperdizes.com.br.domain: 174+ A? WORKGROUP.com.br. (41)
23:21:54.055315 IP 169.254.52.134.netbios-ns > webserver.netperdizes.com.br.domain: 176+ A? BTTHOST.COM. (34)
23:21:55.544587 IP 169.254.52.134.netbios-ns > webserver.netperdizes.com.br.domain: 176+ A? BTTHOST.COM. (34)
23:21:57.044503 IP 169.254.52.134.netbios-ns > perdizes.netperdizes.com.br.domain: 176+ A? BTTHOST.COM.netperdizes.com.br. (53)
23:21:58.549314 IP 169.254.52.134.netbios-ns > perdizes.netperdizes.com.br.domain: 176+ A? BTTHOST.COM.netperdizes.com.br. (53)
23:22:00.043758 IP 169.254.52.134.netbios-ns > perdizes.netperdizes.com.br.domain: 176+ A? BTTHOST.COM.netperdizes.com.br. (53)
23:22:01.543876 IP 169.254.52.134.netbios-ns > webserver.netperdizes.com.br.domain: 176+ A? BTTHOST.COM.netperdizes.com.br. (53)
23:22:03.061925 IP 169.254.52.134.netbios-ns > webserver.netperdizes.com.br.domain: 176+ A? BTTHOST.COM.netperdizes.com.br. (53)
23:22:04.542851 IP 169.254.52.134.netbios-ns > webserver.netperdizes.com.br.domain: 176+ A? BTTHOST.COM.netperdizes.com.br. (53)
23:22:06.045145 IP 169.254.52.134.netbios-ns > perdizes.netperdizes.com.br.domain: 176+ A? BTTHOST.COM.com.br. (41)
23:22:07.543296 IP 169.254.52.134.netbios-ns > perdizes.netperdizes.com.br.domain: 176+ A? BTTHOST.COM.com.br. (41)
23:22:09.041225 IP 169.254.52.134.netbios-ns > perdizes.netperdizes.com.br.domain: 176+ A? BTTHOST.COM.com.br. (41)
23:22:10.541601 IP 169.254.52.134.netbios-ns > webserver.netperdizes.com.br.domain: 176+ A? BTTHOST.COM.com.br. (41)
23:22:12.042974 IP 169.254.52.134.netbios-ns > webserver.netperdizes.com.br.domain: 176+ A? BTTHOST.COM.com.br. (41)
23:22:13.541510 IP 169.254.52.134.netbios-ns > webserver.netperdizes.com.br.domain: 176+ A? BTTHOST.COM.com.br. (41)

Já foi bloqueado Netbios (135,137,138,139,445) e tb esse ip que parece de um DHCP Automático 169.254.52.134.

O que pode ser?

Avenger · 28-10-2005, 00:16

Talvez esse netbios-ns não seja o netbios-ssn que você bloqueou, então ele esteja aparecendo.

Essa porta 'domain' é a '53'. A 'netbios-ns' é 137. Isso de acordo com o /etc/services do slackware.

O que está acontecendo é que algum doido está abrindo uma conexão (consulta DNS provavelmente) usando, do lado dele, essa porta 137. Geralmente consultas NS vêm a partir de portas >= 1024 e talvez padronizadas prá 1053. Imagino que seja seguro você filtrar
qquercoisa:<1024 para webserver:53.

Engraçado esse IP (169.254.52.134) ser de um DHCP automático... Provavelmente se ele tá chegando na sua máquina, ele está passando por pontos onde não tem proteção anti-spoof -- provavelmente dentro do seu provedor, pelo fato de os backbones quase sempre terem proteção de spoof.

Se for de dentro da rede, você pode analisar de que placa de rede tá entrando o pacote com esse IP e ir andando máquina por máquina, desde que os pontos ainda estejam dentro do seu ISP, até chegar na que é ligado diretamente na máquina (onde o ARP desse cara vai aparecer na tabela de MACs do 'arp -n'). O estranho, se ele tá dentro da sua rede, é ele ter configurado um IP desses e ter achado gateway prá sair até chegar ao seu servidor. Outra possibilidade seria mesmo alguém spoofando o IP de fora -- sem nenhum ônus, uma vez que ele nunca vai obter resposta do seu servidor, se se quando você manda pacotes pela internet para esse IP, ele cai num 'buraco-negro' (vide whois 169.254.0.0/16). Então, toda vez que esse IP manda a consulta NS, seu servidor responde pelo gateway padrão, e manda a resposta lá prá aquele buraco negro.

Esse é o jeito predileto de neguinho atacar provedor, quando mandam milhares de pacotes spoofados assim prá parar o provedor. Mas como o seu caso não parece ser volume considerável, deve ser algum acidentezinho interno (nao pode ser ninguém tentando portscan ou achar vulnerabilidade pois qualquer pacote que vai prá sua máquina não volta prá quem o enviou -- dessa forma ele não recebe 'icmp-port unreachable' nem nada quando manda pacote!)

Netbios ou DHCP

Ferramentas de Tópicos

Netbios ou DHCP

Netbios ou DHCP