Qualcosa che ha indotto Sonicwall a lanciare l'avvertimento di attacco di amplificazione del puffo?

Naviga le tue risposte
3

Ho recentemente installato un nuovo laptop e, dopo aver installato vari strumenti di sviluppo, ha iniziato a causare l'emissione di un'e-mail di avviso dai firewall Sonicwall ogni volta che il laptop si collegava alla rete. Il messaggio (con un IP sorgente modificato artisticamente) era:

"Alert - Prevenzione delle intrusioni - Attacco Smurf Amplification eliminato - 192.168.1.19, 8, X1 - 255.255.255.255, 8"

È successo solo quando la scheda NIC è stata abilitata e / o all'avvio del portatile.

Abbiamo esaminato vari tentativi di esecuzione di TCPView sul laptop, cercando il traffico sulla porta 8 e monitorando l'appliance Sonicwall per traffico spurioso e non siamo riusciti a restringerlo. Abbiamo avviato il CD di Microsoft Security Sweeper e abbiamo eseguito scansioni, eseguito Malware Bytes, ecc. Cercando di capire se alcuni malware erano presenti sul sistema, ma tutti si sono rivelati puliti.

Una cosa che abbiamo notato durante l'esecuzione di TCPView era che il sistema sembrava essere in ascolto sulla porta 80. Inizialmente l'ho ignorato poiché avevo installato Visual Studio 2010 e probabilmente IIS Express o qualcosa del genere era in esecuzione. La scorsa notte, tuttavia, ho fatto clic con il tasto destro su una cartella in Explorer e ho notato un'opzione per inserire un XSP Web Server lì. Una rapida ricerca su Google mi ha permesso di capire cosa fosse XSP e che fosse parte dell' MonoDevelop IDE che è stato recentemente installato per esplorare lo sviluppo di Mono.

Questa mattina ho disinstallato MonoDevelop e ho riavviato il laptop e - non è arrivata nessuna email di avviso dall'appliance Sonicwall.

Volevo ottenere queste informazioni là fuori in modo che altre persone che improvvisamente stanno combattendo con il loro dipartimento IT su un "sistema potenzialmente compromesso" possano farsi un'idea su una possibilità per gli avvisi. Sono anche curioso di sapere cosa sta facendo XSP (o MonoDevelop?) Sull'inizializzazione della rete che incorre nell'ira di Sonicwall.

Modifica: colpisce il sopra. Apparentemente non è stato il problema con il server XSP che si verifica ancora quando si connette alla rete. Modificato il titolo della domanda per riflettere questo.

    
posta cpuguru 27.01.2012 - 15:09
fonte

1 risposta

2

Hai verificato che si tratta in realtà di un attacco smurf? Stai ricevendo molto traffico?

O l'indirizzo IP del firewall è effettivamente il tuo IP?

Sarebbe utile vedere un dump di pacchetti dell'attuale "attacco". Qualcuno deve essere la vittima qui, e se sei tu, dovresti vedere una marea di messaggi ICMP che ti arrivano.

smurf.Powertech.no ha un registro di reti che non sono state configurate correttamente consentendo così l'attacco smurf. Cita dal loro sito:

The SAR lets you probe Internet connected IP networks to see whether or not they are configured in a way that will allow perpetrators to use them for smurf amplification.

Penso che dovresti avviare immediatamente un dump di pacchetti al più presto e vedere se riesci a capire da dove proviene il traffico. Potrebbe essere difficile come un attacco di smurfing è in teoria spoofato, ma un dump di pacchetti potrebbe forse darci alcuni indicatori vitali.

Comando Tcpdump che potrebbe funzionare nel tuo caso: 

tcpdump -w test.pcap udp port 8
    
risposta data 30.01.2012 - 08:07
fonte

Leggi altre domande sui tag

captive portal articolo wikipedia La notifica dell'account utente in Windows è utile?