Port 512 conexiones icmp

aanitaa · #1 (**permalink**) 11/05/2010, 04:42

Hola a todos,

Tengo una duda sobre la configuración de un servidor. El SO es Windows server 2003 R2 y se ha detectado que el servidor está intentando conexiones constantemente (cada segundo prácticamente) hacia una dirección IP 1.0.0.1 (supongo que hay algo por defecto...) por el puerto 512, que este puerto he mirado en wikipedia y es de Unix. Nuestro firewall está bloqueando estos intentos de conexión, pero no se a que se deben....porque la funcion del servidor funciona bien, pero nose porque intenta conectarse cada segundo a 1.0.0.1...

Alguien me puede ayudar???

Gracias

Alfon · #2 (**permalink**) 11/05/2010, 04:57

Si no me equivoco, lo digo de memoria, creo que 1.0.0.1 es una dirección de subred clase A. Posiblemente tenga que ver con el router. Mira la configuración de este porque es posible que está configurada dicha dirección.

De todas formas, y para más detalles, sería interesante realizar una captura de los paquetes de dicha conexión para así estudiarlo mejor.

aanitaa · #3 (**permalink**) 11/05/2010, 05:07

Si es de clase A, pero ya he mirado la configuración y no veo nada...seguro que se me pasa algo por alto. La captura de paquetes como la hago? Porque yo miro las alertas desde la consola del firewall, ahí es donde me he dado cuenta de lo que hace.

Alfon · #4 (**permalink**) 11/05/2010, 05:27

La captura la puedes hacer con Windump o Wireshark. Hay otros sniffers pero estos dos son los más sencillos y usados para Windows. Si no los has usado nunca no establezcas ningún filtro, simplemente capturas. Pasado unos minutos puedes usar el filtro ip.addr==1.0.0.1. Con estos visualizarás solo el trafico desde y hacia dicha dirección. Por último, salva en formato .pcap la captura y ya nos cuentas. Si no sabes como interpretar los datos, puedo ayudarte.

Si quieres investigar por tu cuenta, en mi blog tengo abundante material sobre como usar, capturar, aplicar filtros, etc, etc, con Windump, Tshark y Wireshark desde 0 hasta los más avanzado. Con este tipo de programas (sniffers) podrás solucionar muchas incidencias de la red, problemas de seguridad, rendimiento.....:

http://seguridadyredes.nireblog.com/...reshark-tshark
http://seguridadyredes.nireblog.com/cat/windump-tcpdump

aanitaa · #5 (**permalink**) 12/05/2010, 02:45

pero esto que información me puede dar? porque yo el desde y hacia ya lo se... es desde un servidor que tengo hacia la 1.0.0.1 y con protocolo icmp. Esto que tipo de información me puede dar adicional a la que ya se?

gracias!

aanitaa · #6 (**permalink**) 12/05/2010, 03:26

Alfon, tu que sabes de seguridad de redes, tengo otra cuestión:

El tema es que tenemos un usuario esta haciendo conexiones p2p, con algun programa e-donkey o algo asi, continuamente. Esto hace que el tráfico se vea augmentado mucho. El firewall tiene capados los puertos de este tipo de aplicaciones y conexiones, pero lo raro es que lo hace por el puerto 80!! Pasa por http-tunnel nose como puedo saber que pasa por aqui?? puedo saber que maquina es la causante de esto?

gracias

Alfon · #7 (**permalink**) 12/05/2010, 03:58

Cita:

Iniciado por aanitaa

pero esto que información me puede dar? porque yo el desde y hacia ya lo se... es desde un servidor que tengo hacia la 1.0.0.1 y con protocolo icmp. Esto que tipo de información me puede dar adicional a la que ya se?

gracias!

Aanitaa, lo del protocolo icmp no lo sabía. Es una información me das ahora. Es por ello lo de la captura de paquetes. ¿ Te aseguraste que solo usa icmp ?.

Sobre el tema del P2P, ahí si te puede ser de mucha ayuda un capturador de paquetes. Los programas P2P dejan, en ocasiones, huellas o firmas en las trazas que los hacen identificables respecto al tráfico legítimo. Además, tienes las estadísticas de uso por protocolos. Aquí dejé hace tiempo una guía dereferencia de como identificar este tipo de tráfico:

http://seguridadyredes.nireblog.com/...en-nuestra-red

Alfon · #8 (**permalink**) 12/05/2010, 04:02

Cita:

Iniciado por aanitaa Ver Mensaje
pero esto que información me puede dar? porque yo el desde y hacia ya lo se... es desde un servidor que tengo hacia la 1.0.0.1 y con protocolo icmp. Esto que tipo de información me puede dar adicional a la que ya se?

gracias!

Aanitaa, lo del protocolo icmp no lo sabía. Es una información me das ahora. Es por ello lo de la captura de paquetes. ¿ Te aseguraste que solo usa icmp ?.

Sobre el tema del P2P, ahí si te puede ser de mucha ayuda un capturador de paquetes. Los programas P2P dejan, en ocasiones, huellas o firmas en las trazas que los hacen identificables respecto al tráfico legítimo. Además, tienes las estadísticas de uso por protocolos.

Es posible, también, que el usuario use gestores del tipo Jdownloader. Para ello tendrá que acceder a páginas donde se ubiquen los enlaces, además de los accesos a sitios tipo Megauploader, rapidshare, etc.

Aquí dejé hace tiempo una guía dereferencia de como identificar este tipo de tráfico:

http://seguridadyredes.nireblog.com/...en-nuestra-red

aanitaa · #9 (**permalink**) 12/05/2010, 04:12

Por un lado, solo usa icmp

y por otro se que es p2p porque nos han llegado unos numeros de trafico con las aplicaciones y una de ellas es e-donkey, es la segunda que utiliza mas ancho de banda de la linia!!

Alfon · #10 (**permalink**) 12/05/2010, 04:22

Por cierto, además de lo ya comentado. ¿ Tienen los usuarios privilegios para instalar software ?.

Respecto a como identificar el tráfico:

Código:

Hypertext Transfer Protocol
    GET /files/d54a85f0fa33a1a05635c00acb75ba6a/UPinTH.DCF.part01.rar HTTP/1.1\r\n
    Host: www356.megaupload.com\r\n
    User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)\r\n

El usuario que lo genera:

Código:

Internet Protocol, Src: 192.168.1.5 (192.168.1.5), Dst: 95.211.95.40 (95.211.95.40)

Para Edonkey y similares te puedes guiar, como dices, por el ancho de banda (estadísticas). Wireshark también te dirá quien lo gneera.

aanitaa · #11 (**permalink**) 12/05/2010, 04:27

Si pueden instalar lo que quieran, pero depende del protocolo esta capado y no pasa del firewall, como pasa con edonkey, pero lo raro esque este pase por el puerto 80... porque los usuales si estan capados.

he iniciado una captura con filtro al puerto 80 y de momento no sale nada del protocolo edonkey

aanitaa · #12 (**permalink**) 12/05/2010, 04:55

hay alguna manera de saber que pasa por http-tunnel?

Alfon · #13 (**permalink**) 12/05/2010, 05:04

Si los usuarios pueden instalar lo que quieran... entonces edonkey podrá salir al exterior de múltiples formas: encapsulado, tunelizado. También se puede configurar para usar el puerto 80 directamente. Una buena política sería restringir este privilegio.

Puedes también identificar el tráfico mediante par de conexiones de protocolo. Los programas P2P suelen usar TCP y UDP para un mismo destino. Si ves muchas conexiones de este tipo, ahí lo tendrás.

También puedes usar Edonkey de forma legítima para observar y estudiar el tráfico en busca de firmas o huellas en el payload o carga útil que detecten su uso. Por ejemplo, la cadena 0xe319010000 antes era identificativo de Endonkey2000. No sé si esto ha cambiado pero puede ser una pista. No tengo agora ningún Edonkey a mano para poder comprobar este extremo. (Si alguien fuera tan amable de capturar algunos paquetes en una sesión Edonkey... )

Otra cosa. Si no puedes "capar el puerto 80", es posible que tu firewall puedad establecer límites de consumo. Los programas P2P consumen, normalmente, mucho. Si no es necesario tanto consumo para el desarrolo de los trabajos por parte de los usuarios, puedes usar esta medida.

Alfon · #14 (**permalink**) 12/05/2010, 05:11

Son muchos los usuarios de tu red ?

Alfon · #15 (**permalink**) 12/05/2010, 05:28

Sobre el http-tunnel lo mejor, las estadísitcas de uso de ancho de banda / consumo. Una vez tengas algún sospechoso, puedes acceder de forma remota a los procesos del usuario.

aanitaa · #16 (**permalink**) 12/05/2010, 05:28

Si son muchos los usuarios. el problema en establecer limites es que quiza quien quiera ir o descargar algo util no podra porque alguien esta consumiendo todo. Por otro lado no puedo capar el puerto 80.....

Una pregunta, si no se la ip origen de la maquina en cuestion, el wireshark donde lo tengo que ejecutar , porque quiza dede mi maquina no vea nada...normal no?

lo de la cadena 0xe3....de edonkey, donde se tiene que visualizar?? en la captura?

gracias!

Alfon · #17 (**permalink**) 12/05/2010, 05:33

Si tienes una red conmutada (switches), solo veras tu tráfico, el tráfico Broadcast y poco más. pero si instalas y ejecutas Wireshark en el gateway de salida a internet, entonces si podrás ver todo el tráfico que acceda hacia el exterior. Lo de la cadena lo verás en las trazas de wireshark.

Alfon · #18 (**permalink**) 12/05/2010, 06:04

Por si te sirve para la identificación. Algunos clientes que usan la red Edonkey:

Algunos clientes de la red eDonkey son:

aMule
eMule
Shareaza
Lphant
....

aanitaa · #19 (**permalink**) 13/05/2010, 02:06

hola,

el problema esque no puedo ejecutar el wireshar en ningun sitio, por lo tanto no puedo mirar las tramas ni nada de esto... la verdad que esta siendo más dificil de lo que esperaba.. pero gracias!!

tubemaster es un programa que utiliza p2p?

Alfon · #20 (**permalink**) 13/05/2010, 02:17

Hola aanitaa,

No puedes ejecutarlo porque no te dejan, por políticas de empresa ??. si no puedes investigar... eso ya esmás difícil. Otra opción sería, de forma aleatoria, entrar de forma remota en los procesos de los usuarios o en el registro para ver si tienen instalado algún software P2P o tunel.

Tubemaster creo que es un software par descargar videos de youtube y similares. Por tanto no usa redes P2P.

Alfon · #21 (**permalink**) 13/05/2010, 02:20

Se me olvidaba comentar que Wireshark puedes también ejecutarlo sin instalación, es decir, se forma portable en un USB. Solo te hará falta unas librerías Winpcap que las puedes ubicar también en el USB o en Windows/system32. Son solo un par de archivos.

aanitaa · #22 (**permalink**) 13/05/2010, 03:32

porque la arquitectura de la red no deja opcion para esto, los equipos estan conectados al firewall y este al router que da accedo a internet. Donde lo instalo? en el firewall no puedo, y el router es un router.

lo que dices de entrar de forma remota en los procesos de los usuarios o en el registro para ver si tienen instalado algún software P2P o tunel.

son muchos usuarios no puedo ir uno a uno.

gracias

Alfon · #23 (**permalink**) 13/05/2010, 03:53

No, uno a uno no, pero en el firewall puedes ver que algunos usuarios consumen algo más de lo normal.

Entonces, no se conectan los usuarios a un swtich. Directamente al firewall. Si son muchos usuarios.. tantas "bocas" tiene el firewall ??.

Una posible solución podría ser también el uso de un Network Tap.

aanitaa · #24 (**permalink**) 13/05/2010, 04:06

Ya eso ya lo he mirado, pero no encuntro nada, que es un network tap? es un dispositivo hardware no?

Alfon · #25 (**permalink**) 13/05/2010, 04:08

Si, es hardware. Pero lo puedes fabricar tú misma. En google tienes mucha información de como usarlo. ¿ Es posible saber que firewall usas ?.

aanitaa · #26 (**permalink**) 13/05/2010, 05:26

es de juniper, he encontrado un sospechoso!!

Alfon · #27 (**permalink**) 13/05/2010, 05:31

Vaya, me alegra. Pues a por él que ya sabes como.