¿Alguien sabe sobre el tráfico UDP en el puerto de origen 26221?

Navega tus respuestas
1

En mi tráfico de red capturado, observo un flujo que tiene un puerto de udp de origen de 26221 y tengo diferentes puertos de udp de destino. Algunos de estos puertos de destino eran puertos estándar de la IANA. El tamaño promedio de los paquetes de estos flujos fue de 145 bytes y había 364 paquetes a un minuto del tráfico capturado. Las direcciones de destino contienen 2 direcciones IP no utilizadas en la tabla de la IANA, luego de 7 minutos, la PC reanudó el envío en el mismo puerto, pero el tamaño de los paquetes era diferente.

¿Alguien sabe si es un tráfico normal o no? ¿Alguna otra verificación que pueda usar para determinar si esto es benigno o no? Me quedé en el puerto 26221 pero no encontré nada al respecto.

    
pregunta leena 29.12.2012 - 15:56
fuente

3 respuestas

1

Se usa usando cualquier aplicación de intercambio de archivos P2P o voip. Como estas aplicaciones suelen operar en puertos de mayor destino. Netstat es una sencilla herramienta de línea de comandos que muestra todas las conexiones activas a menos que no esté afectado por un rootkit. Si todavía no está seguro de que esto sea así. un malware generó tráfico o no, entonces usa una ventana de firewall o IPtables para linux para bloquear flujos que tienen un puerto udp de destino restringido. Debes revisar algunas publicaciones anteriores que pueden ser de poca ayuda

  1. Actividad no autorizada en el puerto 3389
  2. Cómo verificar si alguien está en mi computadora
  3. Identifique un proceso que cargue datos
respondido por el Ali Ahmad 29.12.2012 - 17:06
fuente
1

El puerto de origen casi siempre es aleatorio, por lo que esta información no ayuda a clasificar el tipo de tráfico. El contenido del paquete puede contener información de identificación o el puerto de destino puede ayudar, por ejemplo, el puerto de destino 53 es probablemente DNS.

WireShark es bastante bueno para identificar el tráfico, y estoy bastante seguro de que no se ve en los números de puerto de origen o destino.

    
respondido por el rook 29.12.2012 - 16:26
fuente
1

Primero puedes determinar qué proceso está enviando esos paquetes.

  • en unix (linux, etc.): puede usar lsof (por ejemplo: lsof | grep 26221 ) para ver qué proceso está enganchado en ese puerto.

  • en Windows, puede ver qué proceso usa qué puerto con TcpView de Sysinternal

Entonces tendrás una mejor idea del tipo de cosas que este proceso debería estar haciendo (o no debería).

Desde allí, usando el registro de paquetes (en unix: tcpdump o en windows: WireShark ) ayudará a saber qué tipo de tráfico se intercambia.

Luego, pregunte, proporcione información relevante (nombre del proceso, qué tipo de paquetes envía, etc.) y quizás podamos ayudarlo más.

Recuerde, en caso de una máquina comprometida, lo mejor es reinstalar completamente (solo haga una copia de seguridad de los documentos y los archivos de configuración antes, no guarde librairies, dll, ejecutables)

    
respondido por el Olivier Dulac 31.12.2012 - 14:21
fuente

Lea otras preguntas en las etiquetas

Implementando una contraseña remota segura con una aplicación de escritorio remoto ¿Cómo saber cuál es el tipo de ataque y de quién se envía?