[FUG-BR] TCP PORT SCAN

Marcelo Gondim gondim em bsdinfo.com.br
Quinta Junho 20 10:09:33 BRT 2013 

Em 20/06/13 09:35, Márcio Elias escreveu:
> Bom dia colegas,
>
> trabalho em um ISP e recebi um e-mail do registro.br que me gerou algumas
> dúvidas. Pelo que entendi no e-mail, a reclamação é de um port scan
> realizado a partir de um de nossos IPs para um determinado ip na porta 6881.
>
> Abaixo vou colocar o e-mail recebido (com dados mascarados) para que vcs
> possam me dar a opinião de vcs sobre isso,
>
> Título do e-mail: [NicBr-20130619-133 ] TCP PORT SCAN x.x.x.x ->
> xxx.xxx.3.103/32 (PORT:6881)
>
> "Caro Sr. ,
>
> Favor investigar o incidente descrito com os logs parciais abaixo,
> e dar o devido tratamento reportando com copia para todos os enderecos
> listados acima com as providencias/medidas tomadas para que tal evento
> nao volte a se repetir.
>
> No caso de tratamento indevido deste evento com reincidencia, serao
> adotadas politicas unilaterais de protecao pelo Registro.br.
>
>
> Logs-----------------------------------------------------------------------
> "2013-06-18 15:53:34" x.x.x.x/52218->xxx.xxx.3.103/6881 6(0)
> "2013-06-18 15:53:37" x.x.x.x/52218->xxx.xxx.3.103/6881 6(0)
> "2013-06-18 15:53:43" x.x.x.x/52218->xxx.xxx.3.103/6881 6(0)
> "2013-06-18 15:54:59" x.x.x.x/52518->xxx.xxx.3.103/6881 6(0)
> "2013-06-18 15:55:02" x.x.x.x/52518->xxx.xxx.3.103/6881 6(0)
> "2013-06-18 15:55:08" x.x.x.x/52518->xxx.xxx.3.103/6881 6(0)
> "2013-06-18 15:55:58" x.x.x.x/52676->xxx.xxx.3.103/6881 6(0)
> "2013-06-18 15:56:01" x.x.x.x/52676->xxx.xxx.3.103/6881 6(0)
> "2013-06-18 15:56:07" x.x.x.x/52676->xxx.xxx.3.103/6881 6(0)
> "2013-06-18 16:00:39" x.x.x.x/53190->xxx.xxx.3.103/6881 6(0)"
>
>
> Pois bem, pesquisando descobri que o range de portas 6881-6999 é usado
> por DHT no protocolo BitTorrent.
>
>
> Mais pelo que entendi no e-mail (ou melhor pelo título do mesmo) é que
> trata-se de um port scan...
>
>
> Vcs acham que é essa mesma a reclamação? Quais seus conselhos para
> evitar este tipo de problema?
>
>
> Tenho aproximadamente 20 servidores rodando FreeBSD com IPFW para
> rotear sub-redes do meu bloco de IPs.
>
>
> Obrigado.
>
>
Marcio,

Primeiro de tudo. De onde partiu o provável scan é um servidor seu ou um 
cliente de IP dinâmico?
Acredito que seja um servidor e se for sugiro olhar os processos rodando 
e checagens habituais pois você poderia estar com algo rodando nele. 
Como você mesmo disse essa porta é utilizada para conexões entrantes de 
torrents. O deluged mesmo é um server que escuta nessa porta por padrão 
se eu não estou enganado. Dá uma auditada nesse seu servidor.

Grande abraço,
Gondim

Mais detalhes sobre a lista de discussão freebsd