Olá Thadeu,
Como o seu gateway está mandando esses pacotes externamente e como vc disse
que são as suas máquinas windows, eu recomendo vc fechar a porta 135 para
saída da internet: iptables -I FORWARD -p tcp --dport 135 -j DROP e
investigar as máquinas que estão gerando esses pacotes.
Dá um netstat nas máquina, vire de cabeça p/ baixo pois isso pode ser virus
ou algo similar.
Abraços
Marcos
----- Original Message -----
From: "Thadeu Penna" <[EMAIL PROTECTED]>
To: <[email protected]>
Sent: Wednesday, August 03, 2005 10:32 AM
Subject: tentativa de D.o.S
Senhores,
estou com um problemão aqui. Tenho uma rede interna 10.0.0.0/24.
Alguns micros com windows (cada vez mais deles agem assim), geram
estes pacotes:
tcpdump -i eth1 -p tcp port 135
....
10:09:33.904098 IP UFF.if.uff.br.3931 > 10.0.217.245.loc-srv: S
451509942:451509942(0) win 16384 <mss 1460,nop,nop,sackOK>
10:09:33.904167 IP UFF.if.uff.br.3932 > 10.0.92.72.loc-srv: S
451566247:451566247(0) win 16384 <mss 1460,nop,nop,sackOK>
10:09:33.904238 IP UFF.if.uff.br.3933 > 10.0.193.73.loc-srv: S
451620384:451620384(0) win 16384 <mss 1460,nop,nop,sackOK>
10:09:33.904304 IP UFF.if.uff.br.3934 > 10.0.107.121.loc-srv: S
451669702:451669702(0) win 16384 <mss 1460,nop,nop,sackOK>
...
note que as máquinas são 10.0.XXX.XXX que não pertencem a minha
subrede!
Isto é vírus, trojan, etc ?? Alguém conhece ? Como barrar isto e não
fechar o Samba ?? Em resumo: o que que eu faço ???
--
Thadeu Penna Linux User #50500
Prof.Adjunto - Instituto de Física ---Debian-
Universidade Federal Fluminense Alpha/i386
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact
[EMAIL PROTECTED]
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
