[bglug] traffico udp sospetto (ed eccessivo) in rete winxp

il_manuel il_manuel@inventati.org
Gio 19 Ott 2006 22:40:05 CEST


ciao a tutti e scusatemi se forse sono un po' OT, pero' il problema e'
davvero strano (non ho mnai avuto esperienze in tal senso).
Qualche ora fa (19:00), all'interno di una rete di cui amministro alcune
cose, tra cui il gateway internet (debian minimale con kernel 2.6.12),
sono cominciati a comparire centinaia di migliaia di pacchetti udp
broadcast sulle porte 137 e 138. Vi dico solo che in 5 minuti, con 4
host accesi, ho catturato qualcosa come 900.000 pacchetti UDP (mai
successo prima!).
In pratica, i suddetti host (ma temo a questo punto anche altri nella
rete), una volta accesi, hanno cominciato a flooddare la rete rendendola
pressoche' inutilizzabile.
l'analisi del traffico e' stata svolta da remoto utilizzando ntop e iptraf.
ora (22:35), la situazione sembra essere tornata alla normalita', anche
se il traffico udp broadcast e' decisamente sopra la norma (un pc appena
acceso ha totalizzato la bellezza di 40MB di traffico UDP in 5 minuti).
Vi viene in mente qualcosa?
Mi sono dimenticato qualche dettaglio importante?
Tale traffico e' assolutamente normale e sono io che non me n'ero mai
accorto?

grazie mille


Maggiori informazioni sulla lista bglug