Qualcuno sa del traffico UDP sulla porta sorgente 26221?

1

Sul mio traffico di rete catturato osservo un flusso che ha una porta udp sorgente di 26221 e ha porte Udp di destinazione diverse. Alcuni di questi porti di destinazione erano porte standard IANA. La dimensione media dei pacchetti di questi flussi era di 145 byte e c'erano 364 pacchetti in un minuto di traffico catturato. Gli indirizzi di destinazione contengono 2 indirizzi IP inutilizzati nella tabella IANA, dopo 7 minuti il PC riprende l'invio sulla stessa porta ma la dimensione dei pacchetti era diversa.

Qualcuno sa se si tratta di un traffico normale o no? ogni ulteriore controllo che posso usare per determinare se questo è benigno o no? Ho cercato la porta 26221 ma non ho trovato nulla a riguardo.

    
posta leena 29.12.2012 - 15:56
fonte

3 risposte

1

Vengono utilizzati utilizzando qualsiasi condivisione di file P2P o applicazione VoIP. Poiché queste applicazioni di solito operano su porte di destinazione più elevate. Netstat è un semplice strumento a linea di comando che mostra tutte le connessioni attive a meno che tu non sia affetto da un rootkit. Se non sei ancora sicuro che questo sia un malware generato traffico o non utilizzare quindi un firewall finestra o IPtables per Linux per bloccare i flussi con porta udp di destinazione limitata. Dovresti rivedere alcuni post precedenti che potrebbero essere un po 'di aiuto

  1. Attività non autorizzata sulla porta 3389
  2. Come verificare se qualcuno è nel mio computer
  3. Identifica un processo che carica i dati
risposta data 29.12.2012 - 17:06
fonte
1

La porta di origine è quasi sempre casuale, quindi questa informazione non aiuta a classificare il tipo di traffico. I contenuti del pacchetto possono contenere informazioni identificative o la porta di destinazione può essere d'aiuto, ad esempio la porta di destinazione 53 è probabilmente DNS.

WireShark è abbastanza buono per identificare il traffico, e sono abbastanza sicuro che non guardi i numeri di porta di origine o di destinazione.

    
risposta data 29.12.2012 - 16:26
fonte
1

Puoi innanzitutto determinare quale processo sta inviando quei pacchetti.

  • su unix (linux, ecc.): puoi usare lsof (ex: lsof | grep 26221 ) per vedere quale processo è agganciato a quella porta.

  • su Windows, puoi vedere quale processo usa quale porta con TcpView di Sysinternal

Allora avrai un'idea migliore del tipo di cose che questo processo dovrebbe fare (o non dovrebbe).

Da lì, usando la registrazione dei pacchetti (su unix: tcpdump o su windows: WireShark ) ti aiuterà a capire che tipo di traffico viene scambiato.

Quindi chiedi, fornendo informazioni rilevanti (nome del processo, tipo di pacchetti che invia, ecc.) e saremo forse in grado di aiutarti ulteriormente.

Ricorda, nel caso di una macchina compromessa, il percorso migliore è più spesso da reinstallare completamente (è sufficiente eseguire prima il backup dei documenti e dei file di configurazione, non conservare librairies, dll, eseguibili)

    
risposta data 31.12.2012 - 14:21
fonte

Leggi altre domande sui tag