Ataque de um ip para fora [RESOLVIDO]

1. Ataque de um ip para fora [RESOLVIDO]

jamesbondi
(usa Outra)

Enviado em 13/04/2012 - 12:00h

Bom dia estou com o seguinte problema identifiquei que existe um ip da nossa rede interna disparando para as portas

.56917
.57151

desconfio que possa ser um ataque devido a lentidão que esta gerando na rede e pelo tcpdump verifiquei que esta com muitos acessos nessa porta em curto espaço de tempo:

12:02:02.604017 IP 192.168.93.115.56917 > mail.empresa.ssh: Flags [.], ack 2258940, win 16213, length 0
12:02:02.604055 IP 192.168.93.115.56917 > mail.empresa.ssh: Flags [.], ack 2259396, win 16099, length 0
12:02:02.604205 IP 192.168.93.115.56917 > mail.empresa.ssh: Flags [.], ack 2259756, win 16425, length 0
12:02:02.604245 IP 192.168.93.115.56917 > mail.empresa.ssh: Flags [.], ack 2260452, win 16251, length 0
12:02:02.604275 IP 192.168.93.115.56917 > mail.empresa.ssh: Flags [.], ack 2260812, win 16161, length 0
12:02:02.604315 IP 192.168.93.115.56917 > mail.empresa.ssh: Flags [.], ack 2261172, win 16071, length 0
12:02:02.604365 IP 192.168.93.115.56917 > mail.empresa.ssh: Flags [.], ack 2261644, win 16425, length 0
12:02:02.604751 IP 192.168.93.115.56917 > mail.empresa.ssh: Flags [.], ack 2262004, win 16335, length 0
12:02:02.604813 IP 192.168.93.115.56917 > mail.empresa.ssh: Flags [.], ack 2262364, win 16245, length 0

o log esta bemmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmm mais extenso que isso mas coloquei somente uma parte aqui para verem

gostaria de bloquear este ip no firewall para sair por estas duas portas que eu informei 56917 e 57151. ate descobrir o que ocorre com essa maquina

como seria a regra que devo fazer no firewall???

0 0

Quote

2. MELHOR RESPOSTA

renato_pacheco
(usa Debian)

Enviado em 13/04/2012 - 13:00h

Bloqueie no próprio servidor. Insira essa regra ae e veja se dá certo:



iptables -A INPUT -p udp -s 192.168.93.115 -j DROP

0 0

Quote

3. Re: Ataque de um ip para fora [RESOLVIDO]

jamesbondi
(usa Outra)

Enviado em 17/04/2012 - 16:49h

tem como eu bloquear a porta especifica somente 49447

tipo a mesmo regra porem ao inves do protocolo udp inteiro bloquear somente a porta para meu ip?

0 0

Quote

4. Re: Ataque de um ip para fora [RESOLVIDO]

renato_pacheco
(usa Debian)

Enviado em 17/04/2012 - 16:52h

Tem, uai!



iptables -A INPUT -p udp --dport 49447 -s 192.168.93.115 -j DROP

Olhe o manual do iptables q tem várias opções!



man iptables

0 0

Quote

Patrocínio

Site hospedado pelo provedor RedeHost.

Top 10 do mês

Xerxes
1° lugar - 87.375 pts
Clodoaldo Santos
2° lugar - 54.421 pts
Fábio Berbert de Paula
3° lugar - 54.471 pts
Sidnei Serra
4° lugar - 34.359 pts
Mauricio Ferrari
5° lugar - 19.856 pts
Daniel Lara Souza
6° lugar - 18.657 pts
Alberto Federman Neto.
7° lugar - 16.284 pts
Diego Mendes Rodrigues
8° lugar - 15.858 pts
edps
9° lugar - 13.837 pts
Buckminster
10° lugar - 13.045 pts

Scripts

[Outros] Teste de hardware e outros

[Shell Script] Script para habilitar um pendrive a dar boot no VirtualBox

[Shell Script] Script para verificar o Status da bateria

[Python] Peer-to-peer nós para processamento em multipontos

[Shell Script] Instalador de Lutris com winehq-staging para rodar Origin em Debian Bullseye (Kernel 5.10.0-23) - 64

Ataque de um ip para fora [RESOLVIDO]

1. Ataque de um ip para fora [RESOLVIDO]

2. MELHOR RESPOSTA

3. Re: Ataque de um ip para fora [RESOLVIDO]

4. Re: Ataque de um ip para fora [RESOLVIDO]

Patrocínio

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts