iGW - přístupy z náhodných IP.AD.RE.S:445 (M$-ds)?

Printable View

09.09.2004, 15:20
KUBA

iGW - přístupy z náhodných IP.AD.RE.S:445 (M$-ds)?

Ahoj, mám malý problémek, nebo spíš brouka v hlavě. Mám síť s asi 60 PC, používám v ní privátní adresaci v rozsahu 10.112.0.0/16. Je tam několik subnetů, 10.112.1.0/24, 10.112.20.0/24 atd... Internetová brána NATuje síť do internetové přípojky.
Na bráně jede Linux, brána má rozhraní eth0 a eth1, eth0 je privátní síť, eth1 je přípojka do internetu. Když pustím tcpdump (je jedno na které rozhraní), tak tam jsou podivné pakety lítající sem a tam a to na portu 445, což je microsoft-ds (info tady).

Vypadá to takhle:

Kód:

17:17:37.651626 IP 10.112.50.109.2303 > 10.112.120.254.microsoft-ds: S 1242644909:1242644909(0) win 16384 <mss 1460,nop,nop,sackOK>

Tohle to vyhazuje při tcpdumpt -i eth0 (teda na privátním rozhraní). Adresa 10.112.50.109 v síti fyzicky existuje a vím kdo to je, adresa 10.112.120.254 v síti neexistuje ani subnet 10.112.120.x neexistuje.

A z druhé strany:

Kód:

17:22:48.612948 IP 12.13.14.15.37469 > 10.112.61.103.microsoft-ds: S 1762161872:1762161872(0) win 16384 <mss 1460,nop,nop,sackOK>

Tady tcpdump -i eth1 (internetové rozhraní routeru - 12.13.14.15 je veřejná IP adresa). Adresa 10.112.61.103 v privátní síti neexistuje a ani subnet 10.112.61.103 neexistuje.

Nejprv jsem myslel, že někdo v síti si nějak mění adresy a snaží se dělat bordel, ale tohle se děje už hodně dlouhou dobu a pořád nevím, čím to je :? . Máte nějakej nápad, o co jde??
09.09.2004, 18:55
spy

google najde pomerne dost odkazu na ruzny mailing listy kde lidi resi stejny problem (pokud sem dobre koukal), taxe tim dystak zkus probrat, treba to k necemu bude
09.09.2004, 20:20
Rainbow

Nebude to virus/cerv alebo nejake podobne svinstvo, co nahodne generuje IPcky?
09.09.2004, 20:33
mISHA

sice je to takovy kvak do vetru, ale 445 je tusim lsass tudiz sasser.
09.09.2004, 20:38
Maxik

uz sem to psal Kubovi na icq at se porozhlidne po vnitrni siti po zdrojovejch IP kery budou nejspis zavirovany sasserem/blasterem. Ja mel doma podobnej "problem" u sebe sem ho odstranil a zvenci zablokoval port 445 :)
10.09.2004, 10:14
Jezevec

jj, jinak je to taky bordel u tech, kdoz jsou pripojeni. Privatni IP by se nemela na vnejsim rozhrani vubec objevit = odfiltruj ve FORWARD vsechno co ma zdrojovou privatni IP a leze to ven ze site + klido vsechno s cilem na privatni sit.

Jinak si muzes otestit, traceroute na neexistujici privatni IP kam az to doleze. Me asi pres 5 hoopu, to je tim, ze tam ISP ma default routu a zadnej filtr.
10.09.2004, 19:13
silenec

jo tak neco podobneho,mozna stejneho jsem mel taky,delal to nejaky virus/cerv ktery napadl aston.exe a pak delal takovy bordel, screen tady...
26.09.2004, 11:31
KUBA

Rozhodl jsem se, že tedy tyto přenosy v celé síti zakážu, předpokládám, že krom MS sdílení a podobných blbostí to žádné jiné služby neomezí, že?

Jo a pak jak to udělat, mám to na routerech zakázat už v PREROUTINGu nebo až na FORWARDu? Myslím si, že PREROUTING bude vhodnější, ale radši bych to měl potvrzeno :-) .