[FUG-BR] TCP PORT SCAN

Márcio Elias marcioelias em gmail.com
Quinta Junho 20 09:35:19 BRT 2013 

Bom dia colegas,

trabalho em um ISP e recebi um e-mail do registro.br que me gerou algumas
dúvidas. Pelo que entendi no e-mail, a reclamação é de um port scan
realizado a partir de um de nossos IPs para um determinado ip na porta 6881.

Abaixo vou colocar o e-mail recebido (com dados mascarados) para que vcs
possam me dar a opinião de vcs sobre isso,

Título do e-mail: [NicBr-20130619-133 ] TCP PORT SCAN x.x.x.x ->
xxx.xxx.3.103/32 (PORT:6881)

"Caro Sr. ,

Favor investigar o incidente descrito com os logs parciais abaixo,
e dar o devido tratamento reportando com copia para todos os enderecos
listados acima com as providencias/medidas tomadas para que tal evento
nao volte a se repetir.

No caso de tratamento indevido deste evento com reincidencia, serao
adotadas politicas unilaterais de protecao pelo Registro.br.


Logs-----------------------------------------------------------------------
"2013-06-18 15:53:34" x.x.x.x/52218->xxx.xxx.3.103/6881 6(0)
"2013-06-18 15:53:37" x.x.x.x/52218->xxx.xxx.3.103/6881 6(0)
"2013-06-18 15:53:43" x.x.x.x/52218->xxx.xxx.3.103/6881 6(0)
"2013-06-18 15:54:59" x.x.x.x/52518->xxx.xxx.3.103/6881 6(0)
"2013-06-18 15:55:02" x.x.x.x/52518->xxx.xxx.3.103/6881 6(0)
"2013-06-18 15:55:08" x.x.x.x/52518->xxx.xxx.3.103/6881 6(0)
"2013-06-18 15:55:58" x.x.x.x/52676->xxx.xxx.3.103/6881 6(0)
"2013-06-18 15:56:01" x.x.x.x/52676->xxx.xxx.3.103/6881 6(0)
"2013-06-18 15:56:07" x.x.x.x/52676->xxx.xxx.3.103/6881 6(0)
"2013-06-18 16:00:39" x.x.x.x/53190->xxx.xxx.3.103/6881 6(0)"


Pois bem, pesquisando descobri que o range de portas 6881-6999 é usado
por DHT no protocolo BitTorrent.


Mais pelo que entendi no e-mail (ou melhor pelo título do mesmo) é que
trata-se de um port scan...


Vcs acham que é essa mesma a reclamação? Quais seus conselhos para
evitar este tipo de problema?


Tenho aproximadamente 20 servidores rodando FreeBSD com IPFW para
rotear sub-redes do meu bloco de IPs.


Obrigado.


-- 
Att.
__________________________________
Márcio Elias Hahn do Nascimento

Araranguá - SC
Cel:   (55) 48-9661-0233
msn: marcioeliashahn em hotmail.com

Mais detalhes sobre a lista de discussão freebsd