Recibiendo paquetes de Amazon

2

Ejecuté una captura de paquetes de Wireshark en mi PC con Windows, ya que existía una sospecha de que estaba infectado (aunque no veo nada fuera de lo común y Avast y Malwarebytes no detectan nada).

Solo para estar seguro, ejecuté esta captura de la noche a la mañana y noté paquetes de fuentes como Akamai, Amazon y Microsoft (según ARIN). ¿Deberia estar preocupado? Aquí hay una pantalla de impresión enfocada en el dudoso paquete.

    
pregunta Rohan Jhunjhunwala 19.07.2016 - 22:35
fuente

3 respuestas

4

Hay una gran cantidad de organizaciones, motores de búsqueda y bots que escanean Internet en forma regular para ver qué puertos están abiertos y qué versiones de servicios existen. Un ejemplo de un sitio que realiza este tipo de trabajo es scans.io . La mayoría de esta actividad no es perjudicial.

Incluso hay herramientas como masscan y Zmap que permite a cualquier persona escanear todo el espacio IPv4 para un puerto / servicio dado en solo unos minutos y puede ver muestras de los tipos de datos recopilados en sitios como scans.io

Sin más información sobre los paquetes en sí, sería muy difícil decirle si estos eran de naturaleza maliciosa, pero lo más probable es que esto sea simplemente el tráfico típico de Internet. Dicho esto, sería prudente profundizar un poco más y ver si esto está relacionado con la actividad del proceso en su sistema y ver si su sistema, o el software en él, no es la fuente de esta actividad.

    
respondido por el Trey Blalock 19.07.2016 - 22:48
fuente
1

Si bien siempre es posible que exista un servidor de Comando y Control (C & C) de malware alojado en Amazon ec2 o en la nube de Microsoft, es bastante improbable, ya que tales cosas suelen estar alojadas en los llamados "Hosts de Prueba de Bullet" que ignoran Anota los pedidos. Lo que probablemente está causando estas solicitudes son las aplicaciones que ha instalado que hacen llamadas a la API así como a Windows en busca de actualizaciones. Dicho esto, es muy probable que no esté infectado por ningún malware común a gran escala. Esto no quiere decir que no esté infectado por algo que se haya dirigido específicamente, pero si no tiene motivos para sospechar que algo así es el caso más probable es que encuentre.

    
respondido por el Nick Mckenna 19.07.2016 - 22:49
fuente
1

Estas son conexiones iniciadas desde su máquina Windows; observe el paquete SYN de 192.168.1.160 a una dirección externa y cómo su máquina envía una solicitud HTTP.

El paquete que ha resaltado es parte de la respuesta (503 Servidor no disponible) a su consulta HTTP. Si hace clic con el botón derecho en él y selecciona "Seguir secuencia de TCP", verá una reconstrucción de la conversación HTTP en ASCII.

Me parecen inofensivos y probablemente sean parte de alguna aplicación (o componente del sistema operativo) que hayas instalado.

    
respondido por el Pedro Perez 20.07.2016 - 17:28
fuente

Lea otras preguntas en las etiquetas