[bglug] traffico udp sospetto (ed eccessivo) in rete winxp
|void|
marcy.xxx@gmail.com
Ven 20 Ott 2006 01:19:15 CEST
Da dove venivano i pacchetti?Dalla rete interna?
Quelle effettivamente sono le porte del netbios, quindi dovrebbe
avere in linea di massima a che fare con lo share di Windows..
Anzi, a me ricorda qualcosa del genere: http://insecure.org/sploits/
wins.udp.flood.DOS.html
Altri particolari rilevanti?
Buona serata
> ciao a tutti e scusatemi se forse sono un po' OT, pero' il problema e'
> davvero strano (non ho mnai avuto esperienze in tal senso).
> Qualche ora fa (19:00), all'interno di una rete di cui amministro
> alcune
> cose, tra cui il gateway internet (debian minimale con kernel 2.6.12),
> sono cominciati a comparire centinaia di migliaia di pacchetti udp
> broadcast sulle porte 137 e 138. Vi dico solo che in 5 minuti, con 4
> host accesi, ho catturato qualcosa come 900.000 pacchetti UDP (mai
> successo prima!).
> In pratica, i suddetti host (ma temo a questo punto anche altri nella
> rete), una volta accesi, hanno cominciato a flooddare la rete
> rendendola
> pressoche' inutilizzabile.
> l'analisi del traffico e' stata svolta da remoto utilizzando ntop e
> iptraf.
> ora (22:35), la situazione sembra essere tornata alla normalita',
> anche
> se il traffico udp broadcast e' decisamente sopra la norma (un pc
> appena
> acceso ha totalizzato la bellezza di 40MB di traffico UDP in 5
> minuti).
> Vi viene in mente qualcosa?
> Mi sono dimenticato qualche dettaglio importante?
> Tale traffico e' assolutamente normale e sono io che non me n'ero mai
> accorto?
>
> grazie mille
>
> --
> Sito BgLUG: http://www.bglug.it
> Mailing list: http://www.bglug.it/list/bglug
> BgLUG-biz!: http://www.bglug.it/list/bglug-biz
--
Roses are #FF0000 violets are #0000FF all my base are belong to you
-----BEGIN PGP SIGNATURE-----
iD8DBQFEB7D373YH/t/Ank8RAkYMAJ4za3bGPtlQkyLPBdLBGi9uc7UzfQCePSL4
71XUSety2E3VKMAwbFCAmaM=
=240E
-----END PGP SIGNATURE-----
|void|
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: http://lists.linux.it/pipermail/bglug/attachments/20061020/cd755021/attachment-0001.htm
Maggiori informazioni sulla lista
bglug