¿Cuántos paquetes UDP son demasiados?

2

Mi empresa recibió recientemente un correo electrónico no deseado con un enlace que ejecutaba un archivo .exe. Al parecer, nuestro antivirus dejó de ejecutarse (empresa de Symantec).

No soy un experto en seguridad, pero soy un científico informático (con el desarrollo como mi fuerte), así que decidí, sin embargo, revisar el registro de tráfico para buscar algo inusual y noté un número gigantesco de solicitudes de UDP. ¿Son estos normales? Me tiene un poco preocupado.

Quería analizar los paquetes con wireshark pero no tengo suficientes privilegios, ya que estoy adquiriendo una computadora portátil nueva, así que tengo una temperatura temporal en este momento. Cuando consigo el mío, ¿qué debo buscar?

    
pregunta darkmoon 28.11.2017 - 15:19
fuente

2 respuestas

3

Esto es normal. UDP se envía en ráfagas, y la pequeña ventana de tiempo en la captura de pantalla muestra algunas docenas de datagramas UDP en el intervalo de tiempo de un segundo, lo cual es bastante estándar. La respuesta a cuánto es demasiado es simplemente siempre que sea tan rápido que los paquetes comiencen a eliminarse .

Este UDP está llegando externamente, mientras que una amenaza de malware es interna. No solo no se ejecutó el malware que notaste, sino que incluso si lo fuera, no daría lugar a una ráfaga de tráfico entrante , sino que verías que intenta conectarse a un C2 (Comando y control) desde el interior. UDP no es nada de lo que temer. Es un protocolo muy inofensivo utilizado para la comunicación de alta velocidad cuando la confiabilidad no es una preocupación importante. Se usa en solicitudes de DNS, NTP, tráfico VPN, transmisiones de video, tráfico de videojuegos y más. Mire en el extremo derecho donde se especifican el puerto de destino y el servicio. Suponiendo que los puertos UDP se utilizan para sus servicios estándar, las conexiones son:

  • 1900 - UPnP (Universal Plug N 'Play)
  • 5355 - LLMNR (Resolución de nombre de multidifusión local de enlace)
  • 5357 - WSDAPI (servicios o dispositivos web)
  • 67 - DHCP (Protocolo de configuración dinámica de host)

Si le preocupa que algunos de estos sean involuntarios, elimine los servicios. Ninguno de ellos es malicioso, y la cantidad de UDP que se les envía es normal.

    
respondido por el forest 28.11.2017 - 15:24
fuente
0

Dependerá mucho del tipo de tráfico que esté allí. Se me ocurren varias razones normales para recibir "muchos" paquetes udp, como recibir un flujo de medios, o incluso podría provenir de una conexión HTTP / 2 / SPDY.

Según el número de puerto 68 que aparece allí, parece que algo está usando tftp. Lo que explica la cantidad de tráfico de udp, pero tiene el punto de qué está haciendo eso, ya que no es un protocolo comúnmente usado y, dado el intento de infección, es algo que investigaría, en caso de que el malware no estaba completamente bloqueado e intentaba descargar la siguiente carga útil de la etapa de esa manera.

    
respondido por el Ángel 29.11.2017 - 01:33
fuente

Lea otras preguntas en las etiquetas