[Lista ArNOG] Tráfico no valido en ITX
Uriel Rozenbaum
uriel.rozenbaum en gmail.com
Vie Nov 4 09:45:22 ART 2016
Hola Pablo,
Nosotros también recibimos un montón de trafico del NAP con origenes
privados; digo montón porque debería ser 0 y sorprende un poco que alguien
se haya olvidado el filtro.
También lo mandamos a masa con filtros ya que todo lo que sea privado
(entrante o saliente, sin distinci{on) que quiera salir por un transito, se
descarta.
Podríamos impulsar una movida para incentivar a meter filtros, ya que es
fácil detectar a quién se le escapa:
Yo en lo personal tomo una captura en la interfaz que va al NAP, solamente
filtrando con la red 10.0.0.0/8 (como ejemplo nomás). Luego la analizo con
wireshark y veo cuales son las MAC que me llegan:
[image: Inline image 1]
Despues buscas esas MAC en la tabla ARP para ver a que IP corresponden:
? (200.0.17.107) at 00:12:1e:82:aa:79 [ether] on vlan106
? (200.0.17.121) at d4:ca:6d:01:2e:34 [ether] on vlan106
? (200.0.17.184) at d4:ca:6d:98:98:5a [ether] on vlan106
Despues en el looking glass ves de quien es cada IP:
*BGP neighbor is 200.0.17.107, remote AS 18747, external link Description:
MIEMBRO: IFX (IFX)BGP neighbor is 200.0.17.121, remote AS 27881, external
link Description: MIEMBRO: IPNEXT SA (IPN)BGP neighbor is 200.0.17.184,
remote AS 263196, external link Description: MIEMBRO: Telwinet (TWN)*
Si, me puse la gorra de buchón, pero es por el bien de todos.
On Thu, Nov 3, 2016 at 5:54 PM, Pablo Moran <pmoran en telecentro.net.ar>
wrote:
> Buenas tardes.
>
> Escribo para compartirles esta lista de flujos IP que nos llegan por
> nuestra ITX con CABASE, nos llama mucho la atención las redes de origen de
> estos flujos, redes privadas RFC1918 (192.168/16, 172.16/12, 10.0/8), que
> intentan acceder redes públicas de nuestra red, esto es solo un extracto
> hay muchos mas flujos que llegan de forma continua. Aclaro que no nos
> afecta debido a que aplicamos filtros en la interfaz de la ITX, los
> paquetes no llegan al destino, pero evidentemente si hay algo que está
> generando este tráfico.
>
> Dicho lo anterior les hago la siguiente consulta
>
> ¿Alguno de ustedes vio algo parecido o reconoce si estas IPs privadas
> pertenecen a los segmentos que utilizan en sus redes de clientes o redes
> coorporativas?
>
> Aggregated flows 455
> Top 50 flows ordered by bytes:
> Date first seen Duration Proto Src IP Addr:Port Dst IP Addr:Port Out Pkt In Pkt Out Byte In Byte Flows
> 2016-11-03 14:13:40.973 0.000 TCP 10.6.3.21:61083 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 190.55.61.221:443 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 1003 1
> 2016-11-03 10:36:08.445 0.000 TCP 10.33.31.164:46510 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 190.55.61.204:443 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 999 1
> 2016-11-03 11:46:07.408 0.000 TCP 192.168.0.4:35958 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 181.47.248.88:80 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 603 1
> 2016-11-03 12:59:09.727 0.000 TCP 10.5.1.11:25971 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 168.83.77.30:80 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 590 1
> 2016-11-03 06:02:32.451 0.000 TCP 10.1.1.81:443 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 186.19.111.211:32964 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 393 1
> 2016-11-03 05:57:05.811 0.000 TCP 10.50.114.20:993 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 186.18.173.54:62261 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 156 1
> 2016-11-03 15:59:48.333 0.000 UDP 10.19.193.204:43832 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 186.23.58.52:50321 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 145 1
> 2016-11-03 11:56:51.840 0.000 UDP 10.19.193.204:43832 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 181.46.106.174:18118 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 145 1
> 2016-11-03 06:39:45.140 0.000 UDP 10.3.152.2:35906 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 255.255.255.255:5678 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 140 1
> 2016-11-03 08:24:56.444 0.000 TCP 172.19.15.47:50831 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 186.18.65.49:16836 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 140 1
> 2016-11-03 12:45:38.058 0.000 TCP 10.1.219.250:38911 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 181.44.74.138:443 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 129 1
> 2016-11-03 11:05:07.253 0.000 TCP 10.1.212.68:48728 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 181.44.74.147:443 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 129 1
> 2016-11-03 15:31:37.815 0.000 TCP 10.1.212.2:55810 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 181.44.74.163:443 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 129 1
> 2016-11-03 06:26:24.664 0.000 UDP 10.225.2.20:5678 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 255.255.255.255:5678 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 127 1
> 2016-11-03 11:46:07.438 0.000 TCP 10.255.255.6:15250 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 181.45.139.2:50186 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 108 1
> 2016-11-03 14:00:06.547 0.000 TCP 10.255.255.6:57865 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 181.46.165.236:46582 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 108 1
> 2016-11-03 14:32:08.541 0.000 TCP 10.255.255.6:53342 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 181.45.27.38:58732 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 108 1
> 2016-11-03 12:51:15.782 0.000 TCP 10.154.10.48:59850 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 186.18.65.179:28579 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 108 1
> 2016-11-03 11:02:26.444 0.000 TCP 10.1.219.209:47448 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 190.55.61.208:443 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 105 1
> 2016-11-03 13:23:10.777 0.000 UDP 192.168.10.57:63398 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 186.23.224.163:57585 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 91 1
> 2016-11-03 09:07:02.552 0.000 TCP 172.30.1.4:143 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 181.44.218.105:50508 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 85 1
> 2016-11-03 15:15:18.797 0.000 TCP 10.90.0.23:49694 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 181.47.248.210:443 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 76 1
> 2016-11-03 10:46:34.385 0.000 UDP 192.168.244.50:60345 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 200.115.192.89:53 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 75 1
> 2016-11-03 15:50:20.988 0.000 UDP 192.168.0.22:63176 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 181.47.248.205:443 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 72 1
> 2016-11-03 10:59:50.265 0.000 UDP 192.168.85.100:30166 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 190.55.61.210:443 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 67 1
> 2016-11-03 11:11:03.211 0.000 TCP 10.194.0.192:1236 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 186.18.86.1:44487 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 64 1
> 2016-11-03 11:19:53.552 0.000 UDP 10.160.50.51:63530 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 200.16.99.17:53 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 64 1
> 2016-11-03 12:26:03.474 0.000 TCP 172.17.255.250:49670 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 186.19.62.108:17146 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 60 1
> 2016-11-03 08:38:05.822 0.000 UDP 192.168.244.50:55041 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 200.115.192.30:53 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 60 1
> 2016-11-03 10:28:49.934 0.000 UDP 192.168.244.50:44206 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 200.115.192.89:53 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 60 1
> 2016-11-03 13:30:40.562 0.000 TCP 10.1.90.13:8003 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 181.44.126.234:47774 <http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 60 1
>
>
> Esperamos novedades.
>
> Desde ya muchas gracias.
>
> Saludos.
>
> *Pablo Fernandez Moran*
> *Ing. de Backbone *
>
> 54 11 15-6516-3730 || pmoran en telecentro.net.ar
>
>
>
>
> _______________________________________________
> Lista mailing list
> Lista en arnog.com.ar
> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20161104/10f37745/attachment-0003.html>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: image.png
Type: image/png
Size: 15882 bytes
Desc: no disponible
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20161104/10f37745/attachment-0003.png>
Más información sobre la lista de distribución Lista