[Lista ArNOG] Tráfico no valido en ITX
Christian O'Flaherty
oflaherty en isoc.org
Vie Nov 4 17:33:16 ART 2016
Tal vez algunos ya lo conocen… En ISOC hemos propuesto un “Routing Manifesto” para quienes se comprometen a manejar su tráfico responsablemente: manrs.org<http://manrs.org>
En resumen pueden firmarlo si:
Aplican filtros de prefijos y AS en las sesiones BGP
Filtran paquetes para evitar spoofing
Mantienen información actualizada en peeringdb y/o los IRR
Pueden cumplir con acciones avanzadas como usar RPKI o documentar políticas de ruteo con RPSL, aunque esas no son obligatorias…
Una depuración de esas conexiones en los NAP puede resultar en mas redes de Argentina que firmen el manifesto.
Christian
On Nov 4, 2016, at 9:45 AM, Uriel Rozenbaum <uriel.rozenbaum en gmail.com<mailto:uriel.rozenbaum en gmail.com>> wrote:
Hola Pablo,
Nosotros también recibimos un montón de trafico del NAP con origenes privados; digo montón porque debería ser 0 y sorprende un poco que alguien se haya olvidado el filtro.
También lo mandamos a masa con filtros ya que todo lo que sea privado (entrante o saliente, sin distinci{on) que quiera salir por un transito, se descarta.
Podríamos impulsar una movida para incentivar a meter filtros, ya que es fácil detectar a quién se le escapa:
Yo en lo personal tomo una captura en la interfaz que va al NAP, solamente filtrando con la red 10.0.0.0/8<http://10.0.0.0/8> (como ejemplo nomás). Luego la analizo con wireshark y veo cuales son las MAC que me llegan:
<image.png>
Despues buscas esas MAC en la tabla ARP para ver a que IP corresponden:
? (200.0.17.107) at 00:12:1e:82:aa:79 [ether] on vlan106
? (200.0.17.121) at d4:ca:6d:01:2e:34 [ether] on vlan106
? (200.0.17.184) at d4:ca:6d:98:98:5a [ether] on vlan106
Despues en el looking glass ves de quien es cada IP:
BGP neighbor is 200.0.17.107, remote AS 18747, external link
Description: MIEMBRO: IFX (IFX)
BGP neighbor is 200.0.17.121, remote AS 27881, external link
Description: MIEMBRO: IPNEXT SA (IPN)
BGP neighbor is 200.0.17.184, remote AS 263196, external link
Description: MIEMBRO: Telwinet (TWN)
Si, me puse la gorra de buchón, pero es por el bien de todos.
On Thu, Nov 3, 2016 at 5:54 PM, Pablo Moran <pmoran en telecentro.net.ar<mailto:pmoran en telecentro.net.ar>> wrote:
Buenas tardes.
Escribo para compartirles esta lista de flujos IP que nos llegan por nuestra ITX con CABASE, nos llama mucho la atención las redes de origen de estos flujos, redes privadas RFC1918 (192.168/16, 172.16/12, 10.0/8), que intentan acceder redes públicas de nuestra red, esto es solo un extracto hay muchos mas flujos que llegan de forma continua. Aclaro que no nos afecta debido a que aplicamos filtros en la interfaz de la ITX, los paquetes no llegan al destino, pero evidentemente si hay algo que está generando este tráfico.
Dicho lo anterior les hago la siguiente consulta
¿Alguno de ustedes vio algo parecido o reconoce si estas IPs privadas pertenecen a los segmentos que utilizan en sus redes de clientes o redes coorporativas?
Aggregated flows 455
Top 50 flows ordered by bytes:
Date first seen Duration Proto Src IP Addr:Port Dst IP Addr:Port Out Pkt In Pkt Out Byte In Byte Flows
2016-11-03 14:13:40.973 0.000 TCP 10.6.3.21:61083<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 190.55.61.221:443<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 1003 1
2016-11-03 10:36:08.445 0.000 TCP 10.33.31.164:46510<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 190.55.61.204:443<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 999 1
2016-11-03 11:46:07.408 0.000 TCP 192.168.0.4:35958<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 181.47.248.88:80<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 603 1
2016-11-03 12:59:09.727 0.000 TCP 10.5.1.11:25971<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 168.83.77.30:80<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 590 1
2016-11-03 06:02:32.451 0.000 TCP 10.1.1.81:443<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 186.19.111.211:32964<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 393 1
2016-11-03 05:57:05.811 0.000 TCP 10.50.114.20:993<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 186.18.173.54:62261<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 156 1
2016-11-03 15:59:48.333 0.000 UDP 10.19.193.204:43832<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 186.23.58.52:50321<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 145 1
2016-11-03 11:56:51.840 0.000 UDP 10.19.193.204:43832<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 181.46.106.174:18118<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 145 1
2016-11-03 06:39:45.140 0.000 UDP 10.3.152.2:35906<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 255.255.255.255:5678<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 140 1
2016-11-03 08:24:56.444 0.000 TCP 172.19.15.47:50831<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 186.18.65.49:16836<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 140 1
2016-11-03 12:45:38.058 0.000 TCP 10.1.219.250:38911<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 181.44.74.138:443<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 129 1
2016-11-03 11:05:07.253 0.000 TCP 10.1.212.68:48728<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 181.44.74.147:443<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 129 1
2016-11-03 15:31:37.815 0.000 TCP 10.1.212.2:55810<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 181.44.74.163:443<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 129 1
2016-11-03 06:26:24.664 0.000 UDP 10.225.2.20:5678<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 255.255.255.255:5678<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 127 1
2016-11-03 11:46:07.438 0.000 TCP 10.255.255.6:15250<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 181.45.139.2:50186<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 108 1
2016-11-03 14:00:06.547 0.000 TCP 10.255.255.6:57865<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 181.46.165.236:46582<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 108 1
2016-11-03 14:32:08.541 0.000 TCP 10.255.255.6:53342<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 181.45.27.38:58732<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 108 1
2016-11-03 12:51:15.782 0.000 TCP 10.154.10.48:59850<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 186.18.65.179:28579<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 108 1
2016-11-03 11:02:26.444 0.000 TCP 10.1.219.209:47448<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 190.55.61.208:443<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 105 1
2016-11-03 13:23:10.777 0.000 UDP 192.168.10.57:63398<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 186.23.224.163:57585<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 91 1
2016-11-03 09:07:02.552 0.000 TCP 172.30.1.4:143<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 181.44.218.105:50508<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 85 1
2016-11-03 15:15:18.797 0.000 TCP 10.90.0.23:49694<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 181.47.248.210:443<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 76 1
2016-11-03 10:46:34.385 0.000 UDP 192.168.244.50:60345<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 200.115.192.89:53<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 75 1
2016-11-03 15:50:20.988 0.000 UDP 192.168.0.22:63176<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 181.47.248.205:443<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 72 1
2016-11-03 10:59:50.265 0.000 UDP 192.168.85.100:30166<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 190.55.61.210:443<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 67 1
2016-11-03 11:11:03.211 0.000 TCP 10.194.0.192:1236<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 186.18.86.1:44487<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 64 1
2016-11-03 11:19:53.552 0.000 UDP 10.160.50.51:63530<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 200.16.99.17:53<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 64 1
2016-11-03 12:26:03.474 0.000 TCP 172.17.255.250:49670<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 186.19.62.108:17146<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 60 1
2016-11-03 08:38:05.822 0.000 UDP 192.168.244.50:55041<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 200.115.192.30:53<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 60 1
2016-11-03 10:28:49.934 0.000 UDP 192.168.244.50:44206<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 200.115.192.89:53<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 60 1
2016-11-03 13:30:40.562 0.000 TCP 10.1.90.13:8003<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> <-> 181.44.126.234:47774<http://flow1.telecentro.net.ar/nfsen/nfsen.php#null> 0 1 0 60 1
Esperamos novedades.
Desde ya muchas gracias.
Saludos.
Pablo Fernandez Moran
Ing. de Backbone
54 11 15-6516-3730 || pmoran en telecentro.net.ar<mailto:pmoran en telecentro.net.ar>
[http://webmail.telecentro.net.ar/home/pmoran@telecentro.net.ar/Briefcase/PastedGraphic-1.png]
_______________________________________________
Lista mailing list
Lista en arnog.com.ar<mailto:Lista en arnog.com.ar>
http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
_______________________________________________
Lista mailing list
Lista en arnog.com.ar<mailto:Lista en arnog.com.ar>
http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20161104/435af4e4/attachment-0003.html>
Más información sobre la lista de distribución Lista