¿Algo que hace que Sonicwall lance un Aviso de ataque de amplificación de pitufo?

Navega tus respuestas
3

Instalé una nueva computadora portátil recientemente y, después de instalar varias herramientas para desarrolladores, comenzó a hacer que nuestros cortafuegos Sonicwall emitieran un correo electrónico de alerta cada vez que la computadora portátil se conectaba a la red. El mensaje (con una IP de origen modificada artísticamente) era:

"Alerta - Prevención de intrusiones - Se redujo el ataque de amplificación de pitufos - 192.168.1.19, 8, X1 - 255.255.255.255, 8"

Solo sucedió cuando la tarjeta NIC estaba habilitada y / o cuando se inició la computadora portátil.

Pasamos por varios intentos para ejecutar TCPView en la computadora portátil, buscando el tráfico del puerto 8 y monitoreando el dispositivo Sonicwall en busca de tráfico falso y no pudimos reducirlo. Arrancamos el CD de Microsoft Security Sweeper y ejecutamos escaneos, ejecutamos Malware Bytes, etc., tratando de averiguar si se había introducido algún malware en el sistema, pero todo salió limpio.

Una cosa que notamos cuando ejecutamos TCPView fue que el sistema parecía estar escuchando en el puerto 80. Inicialmente lo descarté porque había instalado Visual Studio 2010 y pensé que IIS Express o algo similar probablemente se estaba ejecutando. Anoche, sin embargo, hice clic derecho en una carpeta en el Explorador y noté una opción para insertar un XSP Web Server hay Una rápida búsqueda en Google me indicó qué era XSP y que era parte del IDE de MonoDevelop que se instaló recientemente para explorar el desarrollo de Mono.

Esta mañana desinstalé MonoDevelop y reinicié la computadora portátil y, sin embargo, llegó un correo electrónico de advertencia del dispositivo Sonicwall.

Quería que esta información se publicara para que otros que están luchando repentinamente con su departamento de TI por un "sistema potencialmente comprometido" puedan obtener una alerta sobre una posibilidad para las alertas. También tengo curiosidad por saber qué hace XSP (o MonoDevelop?) Durante la inicialización de la red que provoca la ira de Sonicwall.

Editar: Eliminando lo anterior. Aparentemente, no fue el servidor XSP el que causó el problema, ya que todavía ocurre cuando se conecta a la red. Modificó el título de la pregunta para reflejar esto.

    
pregunta cpuguru 27.01.2012 - 15:09
fuente

1 respuesta

2

¿Has verificado que esto es en realidad un ataque de pitufo? ¿Estás recibiendo mucho tráfico?

¿O es realmente la dirección IP del firewall su ip?

Ayudaría ver un volcado de paquetes del "ataque" real. Alguien tiene que ser la víctima aquí, y si eres tú, deberías ver una gran cantidad de mensajes ICMP que se aproximan.

smurf.Powertech.no tiene un registro de redes que no se ha configurado correctamente, lo que permite el ataque de smurf. Cita de su sitio:

  

El SAR le permite sondear las redes IP conectadas a Internet para ver si están o no   configurado de una manera que permita a los perpetradores utilizarlos para la amplificación de smurf.

Creo que definitivamente debería comenzar un volcado de paquetes lo antes posible y ver si puede averiguar de dónde proviene el tráfico. Puede que sea difícil, ya que en teoría un ataque de pitufo es falsificado, pero un volcado de paquetes podría darnos algunos consejos vitales.

Comando Tcpdump que podría funcionar en su caso: 

tcpdump -w test.pcap udp port 8
    
respondido por el Chris Dale 30.01.2012 - 08:07
fuente

Lea otras preguntas en las etiquetas

¿Snort / IDS detecta y alerta sobre un posible ataque DoS / DDoS? PCI DSS 11.2.1 / 11.2.3 - Alcance de las exploraciones internas