[Lista ArNOG] ddos port 23 y 2323
Ing. Mario Clep
marioclep en mkesolutions.net
Jue Nov 23 16:29:59 ART 2017
Diego, por esas casualidades el destino es 172.93.97.219?
Tengo muchas conexiones TCP SYN don destino 172.93.97.219:7645
ᐧ
Saludos y estamos en contacto!
[image: photo]
*Ing. Mario Clep*
CTO, MKE Solutions
Tel: +54 358 4210029 <Tel:%20+54%20358%204210029> | info en mkesolutions.net |
http://www.mkesolutions.net | http://www.AcademiaDeEntrenamientos.com
<http://www.academiadeentrenamientos.com/> | Paraná 416, Río Cuarto,
Córdoba, Argentina
<http://facebook.com/mkesolutions> <http://twitter.com/mkesolutions>
<http://us.linkedin.com/in/mke-solutions>
¿Interesado en *Soporte IT Mensual*? Conozca más sobre nuestro modelo de
OutSourcing. <https://www.mkesolutions.net/soporte/>
2017-11-23 16:04 GMT-03:00 Diego Weinstein <diegow en netlabs.com.ar>:
> Logré captar que el modem manda paquetes con destino puerto 7645, y luego
> de eso manda flood a puertos 80 y 443, entonces logré mitigar poniendo
> reglas sobre la interfaz que viene de los módems:
>
>
>
> deny tcp from any to any dst-port 7645
>
>
>
> también sobre la interfaz que viene de los modems:
>
>
>
> deny udp from any 1900 to any
>
> deny tcp from any to any dst-port 23,2323,7547
>
>
>
> Con estas reglas se estabilizó, no es una solución, habrá que actualizar
> los firmwares, pero mitigó el problema por el momento.
>
>
>
> Slds,
>
>
>
> *Netlabs IT Solutions ©*
>
> *Diego Weinstein | Research & Development*
>
> diegow en netlabs.com.ar | Tel: +54 (11) 5199-2266 int 11
> <+54%2011%205199-2266> | www.netlabs.com.ar
>
>
>
>
>
> *De:* lista-bounces en arnog.com.ar [mailto:lista-bounces en arnog.com.ar] *En
> nombre de *Ing. Mario Clep
> *Enviado el:* jueves, 23 de noviembre de 2017 15:43
>
> *Para:* lista en arnog.com.ar
> *Asunto:* Re: [Lista ArNOG] ddos port 23 y 2323
>
>
>
> Por si les sirve de algo, tengo un cliente que tiene una red completa con
> estos equipos. Por el momento, lo único que puedo ver (estoy remotamente y
> se reinicia el server a cada rato) es que hay tráfico de todos los adsl
> hacia la red 200.196.0.0/16 (seguramente es más específico). Le hice un
> drop a esa red y al menos ahora se estabilizó. Me voy a poner a hacer
> pruebas con mayores detalles, pero al menos la red está normalizada.
>
> ᐧ
>
>
> Saludos y estamos en contacto!
>
>
>
> [image: photo]
>
> *Ing. Mario Clep*
> CTO, MKE Solutions
>
> Tel: +54 358 4210029 <Tel:%20+54%20358%204210029> | info en mkesolutions.net
> | http://www.mkesolutions.net | http://www.AcademiaDeEntrenamientos.com
> <http://www.academiadeentrenamientos.com/> | Paraná 416, Río Cuarto,
> Córdoba, Argentina
>
> <http://facebook.com/mkesolutions> <http://twitter.com/mkesolutions>
> <http://us.linkedin.com/in/mke-solutions>
>
>
>
> ¿Interesado en *Soporte IT Mensual*? Conozca más sobre nuestro modelo de
> OutSourcing. <https://www.mkesolutions.net/soporte/>
>
>
>
>
>
> 2017-11-23 9:54 GMT-03:00 Diego Weinstein <diegow en netlabs.com.ar>:
>
> Gracias a todos!
>
>
>
> *Netlabs IT Solutions ©*
>
> *Diego Weinstein | Research & Development*
>
> diegow en netlabs.com.ar | Tel: +54 (11) 5199-2266 int 11
> <+54%2011%205199-2266> | www.netlabs.com.ar
>
>
>
>
>
> *De:* lista-bounces en arnog.com.ar [mailto:lista-bounces en arnog.com.ar] *En
> nombre de *Pablo Fernandez - Cooperativa Electrica de Lujan
> *Enviado el:* jueves, 23 de noviembre de 2017 09:45
> *Para:* lista en arnog.com.ar
> *Asunto:* Re: [Lista ArNOG] ddos port 23 y 2323
>
>
>
> Diego buen día, es un bug en los módems ADSL Huawei mod HG532s con
> firmware de Telefónica!!
>
>
>
> Hay que actualizarles el firmware a otra versión que no sea la que trae
> por TASA!
>
>
>
> Saludos
>
>
>
> *De:* lista-bounces en arnog.com.ar [mailto:lista-bounces en arnog.com.ar] *En
> nombre de *Diego Weinstein
> *Enviado el:* jueves, 23 de noviembre de 2017 09:11 a. m.
> *Para:* lista en arnog.com.ar
> *Asunto:* [Lista ArNOG] ddos port 23 y 2323
>
>
>
> Buen día, estamos detectando muchos ataques ddos desde módems adsl hacia
> puertos 23 y 2323 mayormente, lo venimos paliando bloqueando las
> conexiones, alguien tiene una solución más definitiva? O un análisis
> cerrado o en proceso al que me pueda sumar?
>
>
>
> *Diego Weinstein*
> *Research & Development*
> *diegow en netlabs.com.ar <diegow en netlabs.com.ar>*
> Tel: +54 (11) 5199-2266 int 11 <+54%2011%205199-2266>
> Cel:+54 9 (11) 6299-9666 <+54%209%2011%206299-9666>
> www.netlabs.com.ar
>
> [image: Descripción: C:\Users\diegow\Downloads\logo02.jpg]
>
>
>
>
>
>
> _______________________________________________
> Lista mailing list
> Lista en arnog.com.ar
> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>
>
>
> _______________________________________________
> Lista mailing list
> Lista en arnog.com.ar
> http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista
>
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20171123/77ddec26/attachment-0001.html>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: image001.jpg
Type: image/jpeg
Size: 24115 bytes
Desc: no disponible
URL: <http://mailmancabase.interdotnet.com.ar/pipermail/lista/attachments/20171123/77ddec26/attachment-0001.jpg>
Más información sobre la lista de distribución Lista