Quanti pacchetti UDP sono troppi?

2

La mia azienda è stata recentemente colpita da una email di spam con un link che ha eseguito un file .exe. Apparentemente il nostro antivirus l'ha impedito di eseguire (impresa Symantec).

Non sono un esperto di sicurezza, ma sono un informatico (con lo sviluppo che è il mio strong seme) quindi ho deciso, tuttavia, di controllare il registro di traffico per cercare qualcosa di insolito e ho notato un numero gigantesco di richieste UDP. Sono normali? Mi ha un po 'preoccupato.

Volevo analizzare i pacchetti con wireshark ma non ho privilegi sufficienti, dal momento che sto ricevendo un nuovo computer portatile, quindi ho uno al momento. Quando avrò il mio, cosa dovrei cercare?

    
posta darkmoon 28.11.2017 - 15:19
fonte

2 risposte

3

Questo è normale. UDP viene inviato a raffiche, e la piccola finestra di tempo nello screenshot mostra alcune dozzine di datagrammi UDP nell'arco di un secondo, che è piuttosto standard. La risposta a quanto è troppo è semplicemente ogni volta che è così veloce che i pacchetti iniziano a cadere .

Questo UDP sta arrivando esternamente, mentre una minaccia di malware è interna. Non solo il malware che hai notato non è stato eseguito, ma anche se lo fosse, non risulterebbe in una raffica di traffico in ingresso , ma vedresti che tenta di connettersi a un C2 (Command and Control) dall'interno. UDP non ha nulla di cui aver paura. È un protocollo molto innocuo utilizzato per comunicazioni ad alta velocità quando l'affidabilità non è una preoccupazione importante. Viene utilizzato nelle richieste DNS, NTP, traffico VPN, flussi video, traffico di videogiochi e altro. Guarda all'estrema destra dove sono specificati la porta e il servizio di destinazione. Supponendo che le porte UDP siano utilizzate per i loro servizi standard, le connessioni sono:

  • 1900 - UPnP (Universal Plug N 'Play)
  • 5355 - LLMNR (risoluzione dei nomi multicast collegamento-locale)
  • 5357 - WSDAPI (servizi Web o dispositivi)
  • 67 - DHCP (Dynamic Host Configuration Protocol)

Se sei preoccupato che alcuni di questi non siano intenzionali, rimuovi i servizi. Nessuno di loro è malizioso e la quantità di UDP che viene loro inviata è normale.

    
risposta data 28.11.2017 - 15:24
fonte
0

Dipenderà molto dal tipo di traffico che c'è. Posso pensare a diversi motivi normali per ricevere "molti" pacchetti udp, come ricevere un flusso multimediale, o potrebbe anche provenire da una connessione HTTP / 2 / SPDY.

Sulla base del numero di porta 68 che appare lì, sembra che stia usando qualcosa di tftp. Questo spiega la quantità di traffico udp, ma porta il punto di cosa sta facendo, dal momento che non è un protocollo comunemente usato e, dato il tentativo di infezione, è qualcosa su cui indagare, nel caso il malware non è stato completamente bloccato e stava cercando di scaricare il payload della fase successiva in questo modo.

    
risposta data 29.11.2017 - 01:33
fonte

Leggi altre domande sui tag