[Lista ArNOG] ddos port 23 y 2323

Diego Weinstein diegow en netlabs.com.ar
Jue Nov 23 16:04:42 ART 2017 

Logré captar que el modem manda paquetes con destino puerto 7645, y luego de eso manda flood a puertos 80 y 443, entonces logré mitigar poniendo reglas sobre la interfaz que viene de los módems:

 

deny tcp from any to any dst-port 7645

 

también sobre la interfaz que viene de los modems:

 

deny udp from any 1900 to any

deny tcp from any to any dst-port 23,2323,7547

 

Con estas reglas se estabilizó, no es una solución, habrá que actualizar los firmwares, pero mitigó el problema por el momento.

 

Slds,

 


Netlabs IT Solutions ©


Diego Weinstein | Research & Development


diegow en netlabs.com.ar  | Tel: +54 (11) 5199-2266 int 11 |   <http://www.netlabs.com.ar/> www.netlabs.com.ar

 

 

De: lista-bounces en arnog.com.ar [mailto:lista-bounces en arnog.com.ar] En nombre de Ing. Mario Clep
Enviado el: jueves, 23 de noviembre de 2017 15:43
Para: lista en arnog.com.ar
Asunto: Re: [Lista ArNOG] ddos port 23 y 2323

 

Por si les sirve de algo, tengo un cliente que tiene una red completa con estos equipos. Por el momento, lo único que puedo ver (estoy remotamente y se reinicia el server a cada rato) es que hay tráfico de todos los adsl hacia la red 200.196.0.0/16 (seguramente es más específico). Le hice un drop a esa red y al menos ahora se estabilizó. Me voy a poner a hacer pruebas con mayores detalles, pero al menos la red está normalizada.

  <https://mailfoogae.appspot.com/t?sender=abWFyaW9jbGVwQG1heGlkLmNvbS5hcg%3D%3D&type=zerocontent&guid=1a6d4f75-d683-42c0-9e3a-1184dc285694> ᐧ




Saludos y estamos en contacto!

 


 photo <https://s3.amazonaws.com/ucwebapp.wisestamp.com/8badd997-047c-4c94-91c3-79809719a3b2/LOGOMKE_trans.crop_1805x1691_838,370.preview.format_png.resize_200x.png>  

	Ing. Mario Clep
CTO, MKE Solutions

 <tel:Tel:%20+54%20358%204210029> Tel: +54 358 4210029 |  <mailto:info en mkesolutions.net> info en mkesolutions.net |  <http://www.mkesolutions.net/> http://www.mkesolutions.net |  <http://www.academiadeentrenamientos.com/> http://www.AcademiaDeEntrenamientos.com | Paraná 416, Río Cuarto, Córdoba, Argentina

 <http://facebook.com/mkesolutions>   <http://twitter.com/mkesolutions>   <http://us.linkedin.com/in/mke-solutions> 

 

¿Interesado en Soporte IT Mensual? Conozca más sobre nuestro modelo de OutSourcing. <https://www.mkesolutions.net/soporte/> 

 

 

2017-11-23 9:54 GMT-03:00 Diego Weinstein <diegow en netlabs.com.ar>:

Gracias a todos!

 


Netlabs IT Solutions ©


Diego Weinstein | Research & Development


diegow en netlabs.com.ar  | Tel: +54 (11) 5199-2266 int <tel:+54%2011%205199-2266>  11 |   <http://www.netlabs.com.ar/> www.netlabs.com.ar

 

 

De: lista-bounces en arnog.com.ar [mailto:lista-bounces en arnog.com.ar] En nombre de Pablo Fernandez - Cooperativa Electrica de Lujan
Enviado el: jueves, 23 de noviembre de 2017 09:45
Para: lista en arnog.com.ar
Asunto: Re: [Lista ArNOG] ddos port 23 y 2323

 

Diego buen día, es un bug en los módems ADSL Huawei mod HG532s con firmware de Telefónica!!

 

Hay que actualizarles el firmware a otra versión que no sea la que trae por TASA!

 

Saludos

 

De: lista-bounces en arnog.com.ar [mailto:lista-bounces en arnog.com.ar] En nombre de Diego Weinstein
Enviado el: jueves, 23 de noviembre de 2017 09:11 a. m.
Para: lista en arnog.com.ar
Asunto: [Lista ArNOG] ddos port 23 y 2323

 

Buen día, estamos detectando muchos ataques ddos desde módems adsl hacia puertos 23 y 2323 mayormente, lo venimos paliando bloqueando las conexiones, alguien tiene una solución más definitiva? O un análisis cerrado o en proceso al que me pueda sumar?

 


Diego Weinstein 
Research & Development
 <mailto:diegow en netlabs.com.ar> diegow en netlabs.com.ar
Tel: +54 (11) 5199-2266 int 11 <tel:+54%2011%205199-2266>  
Cel:+54 9 <tel:+54%209%2011%206299-9666>   (11) 6299-9666 
 <http://www.netlabs.com.ar/> www.netlabs.com.ar

Descripción: C:\Users\diegow\Downloads\logo02.jpg

 

 


_______________________________________________
Lista mailing list
Lista en arnog.com.ar
http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista

 

------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20171123/c7e527c3/attachment-0001.html>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: image001.jpg
Type: image/jpeg
Size: 24115 bytes
Desc: no disponible
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20171123/c7e527c3/attachment-0001.jpg>

Más información sobre la lista de distribución Lista