[bglug] traffico udp sospetto (ed eccessivo) in rete winxp

il_manuel il_manuel@inventati.org
Ven 20 Ott 2006 10:19:28 CEST


|void| ha scritto:
> Da dove venivano i pacchetti?Dalla rete interna?
> Quelle effettivamente sono le porte del netbios, quindi dovrebbe avere
> in linea di massima a che fare con lo share di Windows..
> Anzi, a me ricorda qualcosa del genere:
> http://insecure.org/sploits/wins.udp.flood.DOS.html
> Altri particolari rilevanti?
> Buona serata
> 

dunque, i pacchetti provengono da alcune delle macchine della rete
interna e sono diretti al broadcast. fin qui nulla di strano.
La cosa davvero sospetta e' l'impressionante numero di pacchetti udp
generati: considerato che un pacchetto udp non ha carico, che in 10
minuti di monitoraggio il traffico udp passante si aggirava circa sui
400MB (calcola il numero di pacchetti!!), mi sono particolarmente
insospettito;
le mie attuali ipotesi sono:
- infezione di una o piu' macchine win che fanno probing sulle altre
macchine di rete (per altre condivisioni\vulnerabilita')
- malfunzionamento di uno o piu' componenti sw delle macchine xp
- installazione da parte di qualche utente di sw "di tweaking" che in
qualche modo va a determinare il malfunzionamento.

escludo connessioni a server wins (per adesso)

ciao e grazie


Maggiori informazioni sulla lista bglug