Ataque de um ip para fora [RESOLVIDO]

1. Ataque de um ip para fora [RESOLVIDO]

Carlos Silva
jamesbondi

(usa Outra)

Enviado em 13/04/2012 - 12:00h

Bom dia estou com o seguinte problema identifiquei que existe um ip da nossa rede interna disparando para as portas


.56917
.57151

desconfio que possa ser um ataque devido a lentidão que esta gerando na rede e pelo tcpdump verifiquei que esta com muitos acessos nessa porta em curto espaço de tempo:

12:02:02.604017 IP 192.168.93.115.56917 > mail.empresa.ssh: Flags [.], ack 2258940, win 16213, length 0
12:02:02.604055 IP 192.168.93.115.56917 > mail.empresa.ssh: Flags [.], ack 2259396, win 16099, length 0
12:02:02.604205 IP 192.168.93.115.56917 > mail.empresa.ssh: Flags [.], ack 2259756, win 16425, length 0
12:02:02.604245 IP 192.168.93.115.56917 > mail.empresa.ssh: Flags [.], ack 2260452, win 16251, length 0
12:02:02.604275 IP 192.168.93.115.56917 > mail.empresa.ssh: Flags [.], ack 2260812, win 16161, length 0
12:02:02.604315 IP 192.168.93.115.56917 > mail.empresa.ssh: Flags [.], ack 2261172, win 16071, length 0
12:02:02.604365 IP 192.168.93.115.56917 > mail.empresa.ssh: Flags [.], ack 2261644, win 16425, length 0
12:02:02.604751 IP 192.168.93.115.56917 > mail.empresa.ssh: Flags [.], ack 2262004, win 16335, length 0
12:02:02.604813 IP 192.168.93.115.56917 > mail.empresa.ssh: Flags [.], ack 2262364, win 16245, length 0

o log esta bemmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmmm mais extenso que isso mas coloquei somente uma parte aqui para verem

gostaria de bloquear este ip no firewall para sair por estas duas portas que eu informei 56917 e 57151. ate descobrir o que ocorre com essa maquina

como seria a regra que devo fazer no firewall???



  


2. MELHOR RESPOSTA

Renato Carneiro Pacheco
renato_pacheco

(usa Debian)

Enviado em 13/04/2012 - 13:00h

Bloqueie no próprio servidor. Insira essa regra ae e veja se dá certo:


iptables -A INPUT -p udp -s 192.168.93.115 -j DROP


3. Re: Ataque de um ip para fora [RESOLVIDO]

Carlos Silva
jamesbondi

(usa Outra)

Enviado em 17/04/2012 - 16:49h

tem como eu bloquear a porta especifica somente 49447


tipo a mesmo regra porem ao inves do protocolo udp inteiro bloquear somente a porta para meu ip?


4. Re: Ataque de um ip para fora [RESOLVIDO]

Renato Carneiro Pacheco
renato_pacheco

(usa Debian)

Enviado em 17/04/2012 - 16:52h

Tem, uai!


iptables -A INPUT -p udp --dport 49447 -s 192.168.93.115 -j DROP


Olhe o manual do iptables q tem várias opções!


man iptables







Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts