¿Alguien ha supervisado varias solicitudes de todo el mundo en el puerto 17275 a través de UDP? Mis registros de firewall muestran grandes cantidades de tales solicitudes de muchas direcciones IP diferentes.
No puedo encontrar ningún servicio documentado que use este puerto. ¿Alguien sabe qué software puede causar estas solicitudes?
El puerto 17275 no está registrado en ningún servicio específico, por lo que puede ser cualquier aplicación que esté configurada para escuchar en ese puerto.
Recuerda que:
Los puertos bien conocidos son: 0 a 1023.
Los puertos registrados son: 1024 a 49151.
Dinámicos / Privados son: 49152 hasta 65535.
Algunas búsquedas en Google muestran que varias piezas de malware parecen utilizar este puerto específico para las comunicaciones.
Si no está registrado, podría ser una vulnerabilidad UPnP. En este caso, un dispositivo en una LAN está infectado (por ejemplo, un televisor "inteligente"), abre el puerto 17275 en el enrutador doméstico a través de UPnP (consulte esta respuesta ) y espera una conexión.
Yo sugeriría configurar un honeypot en ese puerto y escuchar lo que viene para un arranque.
La buena gente de SANS 'ISC puede ofrecerte más consejos.
Al usar la telefonía IP, tendrá un uso excesivo de los puertos UDP ya que esto transporta los paquetes de voz. En los sistemas de telefonía, normalmente se definiría un rango de puertos UDP para usar. A este rango también se les aplicará QoS (Calidad de servicio) que dará prioridad a los paquetes UDP para que tengan la menor latencia en una red de datos