[Lista ArNOG] Tráfico no valido en ITX
Ivan Chapero
info en ivanchapero.com.ar
Jue Nov 3 18:14:32 ART 2016
Pablo, nosotros también recibimos en ROS mucho tráfico de src-address que
se pueden considerar Bogons/invalidas. BCP38... bien gracias :P
> ip firewall filter print stats where chain=NAP-2-BACKBONE
Flags: X - disabled, I - invalid, D - dynamic
#
CHAIN
ACTION BYTES PACKETS
0 ;;; Sources Invalidos - Deny special use address sources.
NAP-2-BACKBONE
drop 321 771 2 226
1 ;;; Sources Invalidos - Filter RFC 1918 space.
NAP-2-BACKBONE
drop 135 295 677 1 725 829
2 ;;; -- Deny your address-space as source from entering your AS
(MARTIANS) --
NAP-2-BACKBONE
drop 0 0
...
...
...
2016-11-03 17:12 GMT-03:00 Pablo Moran <pmoran en telecentro.net.ar>:
> Buenas tardes.
>
> Escribo para compartirles esta lista de flujos IP que nos llegan por
> nuestra ITX con CABASE, nos llama mucho la atención las redes de origen de
> estos flujos, redes privadas RFC1918 (192.168/16, 172.16/12, 10.0/8), que
> intentan acceder redes públicas de nuestra red, esto es solo un extracto
> hay muchos mas flujos que llegan de forma continua. Aclaro que no nos
> afecta debido a que aplicamos filtros en la interfaz de la ITX, los
> paquetes no llegan al destino, pero evidentemente si hay algo que está
> generando este tráfico.
>
> Dicho lo anterior les hago la siguiente consulta
>
> ¿Alguno de ustedes vio algo parecido o reconoce si estas IPs privadas
> pertenecen a los segmentos que utilizan en sus redes de clientes o redes
> coorporativas?
>
> Aggregated flows 455
> Top 50 flows ordered by bytes:
> Date first seen Duration Proto Src IP Addr:Port Dst IP Addr:Port Out Pkt In Pkt Out Byte In Byte Flows
> 2016-11-03 14:13:40.973 0.000 TCP 10.6.3.21:61083 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 190.55.61.221:443 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 1003 1
> 2016-11-03 10:36:08.445 0.000 TCP 10.33.31.164:46510 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 190.55.61.204:443 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 999 1
> 2016-11-03 11:46:07.408 0.000 TCP 192.168.0.4:35958 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 181.47.248.88:80 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 603 1
> 2016-11-03 12:59:09.727 0.000 TCP 10.5.1.11:25971 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 168.83.77.30:80 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 590 1
> 2016-11-03 06:02:32.451 0.000 TCP 10.1.1.81:443 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 186.19.111.211:32964 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 393 1
> 2016-11-03 05:57:05.811 0.000 TCP 10.50.114.20:993 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 186.18.173.54:62261 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 156 1
> 2016-11-03 15:59:48.333 0.000 UDP 10.19.193.204:43832 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 186.23.58.52:50321 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 145 1
> 2016-11-03 11:56:51.840 0.000 UDP 10.19.193.204:43832 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 181.46.106.174:18118 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 145 1
> 2016-11-03 06:39:45.140 0.000 UDP 10.3.152.2:35906 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 255.255.255.255:5678 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 140 1
> 2016-11-03 08:24:56.444 0.000 TCP 172.19.15.47:50831 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 186.18.65.49:16836 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 140 1
> 2016-11-03 12:45:38.058 0.000 TCP 10.1.219.250:38911 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 181.44.74.138:443 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 129 1
> 2016-11-03 11:05:07.253 0.000 TCP 10.1.212.68:48728 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 181.44.74.147:443 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 129 1
> 2016-11-03 15:31:37.815 0.000 TCP 10.1.212.2:55810 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 181.44.74.163:443 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 129 1
> 2016-11-03 06:26:24.664 0.000 UDP 10.225.2.20:5678 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 255.255.255.255:5678 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 127 1
> 2016-11-03 11:46:07.438 0.000 TCP 10.255.255.6:15250 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 181.45.139.2:50186 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 108 1
> 2016-11-03 14:00:06.547 0.000 TCP 10.255.255.6:57865 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 181.46.165.236:46582 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 108 1
> 2016-11-03 14:32:08.541 0.000 TCP 10.255.255.6:53342 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 181.45.27.38:58732 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 108 1
> 2016-11-03 12:51:15.782 0.000 TCP 10.154.10.48:59850 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 186.18.65.179:28579 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 108 1
> 2016-11-03 11:02:26.444 0.000 TCP 10.1.219.209:47448 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 190.55.61.208:443 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 105 1
> 2016-11-03 13:23:10.777 0.000 UDP 192.168.10.57:63398 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 186.23.224.163:57585 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 91 1
> 2016-11-03 09:07:02.552 0.000 TCP 172.30.1.4:143 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 181.44.218.105:50508 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 85 1
> 2016-11-03 15:15:18.797 0.000 TCP 10.90.0.23:49694 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 181.47.248.210:443 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 76 1
> 2016-11-03 10:46:34.385 0.000 UDP 192.168.244.50:60345 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 200.115.192.89:53 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 75 1
> 2016-11-03 15:50:20.988 0.000 UDP 192.168.0.22:63176 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 181.47.248.205:443 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 72 1
> 2016-11-03 10:59:50.265 0.000 UDP 192.168.85.100:30166 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 190.55.61.210:443 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 67 1
> 2016-11-03 11:11:03.211 0.000 TCP 10.194.0.192:1236 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 186.18.86.1:44487 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 64 1
> 2016-11-03 11:19:53.552 0.000 UDP 10.160.50.51:63530 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 200.16.99.17:53 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 64 1
> 2016-11-03 12:26:03.474 0.000 TCP 172.17.255.250:49670 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 186.19.62.108:17146 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 60 1
> 2016-11-03 08:38:05.822 0.000 UDP 192.168.244.50:55041 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 200.115.192.30:53 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 60 1
> 2016-11-03 10:28:49.934 0.000 UDP 192.168.244.50:44206 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 200.115.192.89:53 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 60 1
> 2016-11-03 13:30:40.562 0.000 TCP 10.1.90.13:8003 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 181.44.126.234:47774 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 60 1
>
>
> Esperamos novedades.
>
> Desde ya muchas gracias.
>
> Saludos.
>
> *Pablo Fernandez Moran*
> *Ing. de Backbone *
>
> 54 11 15-6516-3730 || pmoran en telecentro.net.ar
>
>
>
>
> _______________________________________________
> Lista mailing list
> Lista en arnog.com.ar
> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>
>
--
*Ivan ChaperoÁrea Técnica y Soporte*
Fijo: 03464-470280 (interno 535) | Móvil: 03464-155-20282 | Skype ID:
ivanchapero
--
GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito
- Santa Fe - Argentina
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20161103/75ce4630/attachment-0001.html>
Más información sobre la lista de distribución Lista