Sondagem de pacote NetBIOS (porta 137). Ela vem do roteador?

Navegue suas respostas
0

Por um bom tempo, o firewall da minha máquina detectou pacotes estranhos, aparentemente vindo do meu roteador. Eu não posso explicar esse comportamento. Eu suspeito que, de alguma forma, um invasor de fora está contrabandeando esses pacotes falsificando o endereço IP de origem ou hackeando meu roteador, mas preciso confirmá-lo. Ou talvez o roteador esteja pré-configurado para fazer isso pelo fabricante?

Se alguém tiver uma ideia do motivo, ficaria muito grato.

Config: Router / RR.RR.RR.RR - Arris WTM652B (eu acho que é Touchstone sob o capô), firewall ativado.

Meu host / MM.MM.MM.MM com iptables

Eu recebo dois tipos de pacotes inesperados:

  • Pacotes de porta 137 (NetBIOS) da DST provenientes do IP do roteador. O roteador tem alguns "extras" estranhos com NetBIOS, ou é um estranho?
  • Pacotes não solicitados inválidos com !! ?? !! Porta SRC = 443 , proveniente de vários endereços IP, alocada para o Google Inc. Essa pode ser uma tentativa de invasão? Alguém (possivelmente o Google?) Tentando passar pelo meu firewall por meio de regras dinâmicas no meu firewall (quando eu pesquiso no Google essas regras entram em um buraco e alguém tenta esgueirar-se por esse buraco)?

Aqui está uma amostra: 

Apr 27 10:55:38 notebook kernel: iptables REJECT input: IN=enp0s25 OUT= MAC=(my LAN MAC addr) SRC=RR.RR.RR.RR DST=MM.MM.MM.MM LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=4108 PROTO=UDP SPT=2092 DPT=137 LEN=58 
Apr 27 10:55:42 notebook kernel: iptables REJECT input: IN=enp0s25 OUT= MAC=(my LAN MAC addr) SRC=RR.RR.RR.RR DST=MM.MM.MM.MM LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=4109 PROTO=UDP SPT=2092 DPT=137 LEN=58 
Apr 27 10:55:49 notebook kernel: iptables DROP input/invalid: IN=enp0s25 OUT= MAC=(my LAN MAC addr) SRC=216.58.212.4 DST=MM.MM.MM.MM LEN=40 TOS=0x00 PREC=0x00 TTL=56 ID=58408 PROTO=TCP SPT=443 DPT=53474 WINDOW=0 RES=0x00 RST URGP=0 
Apr 27 10:55:50 notebook kernel: iptables DROP input/invalid: IN=enp0s25 OUT= MAC=(my LAN MAC addr) SRC=216.58.201.195 DST=MM.MM.MM.MM LEN=40 TOS=0x00 PREC=0x00 TTL=55 ID=32104 PROTO=TCP SPT=443 DPT=34440 WINDOW=0 RES=0x00 RST URGP=0 
Apr 27 10:58:27 notebook kernel: iptables DROP input/invalid: IN=enp0s25 OUT= MAC=(my LAN MAC addr) SRC=172.217.20.142 DST=MM.MM.MM.MM LEN=40 TOS=0x00 PREC=0x00 TTL=59 ID=16097 PROTO=TCP SPT=443 DPT=38786 WINDOW=0 RES=0x00 RST URGP=0

Alguma ideia do que está acontecendo aqui?

Muito obrigado, mbax

    
por mbax 27.04.2016 / 11:28

2 respostas

0

Eu não estaria preocupado com uma consulta de nome NetBIOS proveniente do meu roteador.

Eu vi muitos roteadores que quando você entra em suas opções de filtragem MAC (ou qualquer opção que funcione usando endereços MAC) também mostra o nome NetBIOS que foi definido naquele PC. Isso torna mais fácil descobrir quais máquinas são suas na rede e restringi-las conforme necessário.

Se você ainda está incerto, então o que eu faria é ir para grc.com e usar o Shields Up! ferramentas para escanear suas portas e certificar-se de que a porta 137 está fechada na internet do seu roteador. Dessa forma, você pode ter certeza de que os pacotes de sondagem de nome são provenientes do próprio roteador e não da Internet como um todo.

    
por 27.04.2016 / 13:35
0

Eu encontrei um tópico muito parecido com uma resposta muito compreensível:

As a side note, I am seeing such behaviour too on some of my servers with certain ip ranges. They are all RST packets that are sent because the DNS rotation of some commonly used webservice is containing ip addresses that do not actually have a service running.

Para recapitular, o que provavelmente acontece é devido aos clusters do Google e à alteração dos endereços IP, além de vários pedidos de javascript via AJAX. Alguns desses servidores do Google provavelmente estão desativados e enviam um RST (depois de ter mudado o IP?)

Outra possibilidade é uma configuração incorreta nas regras do firewall ou um bug do firewall. Eu usei o guia oficial de configuração do iptables e usei as regras quase 1: 1, então este não deveria ser o caso, mas quem sabe?

E terceiro - pode ser um pacote não solicitado, enviado diretamente para o meu roteador com SRC IP = roteador ip e IP DST = meu ip. O roteador pode ser tão burro para não perder esses pacotes inválidos. Eu ficaria surpreso se fosse assim.

Se alguém tiver uma explicação melhor, por favor ajude.

    
por 27.04.2016 / 13:39

Tags

Microsoft Outlook 2013 People Pesquisar alterar layout para mostrar o número de telefone O mouse para jogos USB não funciona no Windows 10