Bom dia colegas, trabalho em um ISP e recebi um e-mail do registro.br que me gerou algumas dúvidas. Pelo que entendi no e-mail, a reclamação é de um port scan realizado a partir de um de nossos IPs para um determinado ip na porta 6881.
Abaixo vou colocar o e-mail recebido (com dados mascarados) para que vcs possam me dar a opinião de vcs sobre isso, Título do e-mail: [NicBr-20130619-133 ] TCP PORT SCAN x.x.x.x -> xxx.xxx.3.103/32 (PORT:6881) "Caro Sr. , Favor investigar o incidente descrito com os logs parciais abaixo, e dar o devido tratamento reportando com copia para todos os enderecos listados acima com as providencias/medidas tomadas para que tal evento nao volte a se repetir. No caso de tratamento indevido deste evento com reincidencia, serao adotadas politicas unilaterais de protecao pelo Registro.br. Logs----------------------------------------------------------------------- "2013-06-18 15:53:34" x.x.x.x/52218->xxx.xxx.3.103/6881 6(0) "2013-06-18 15:53:37" x.x.x.x/52218->xxx.xxx.3.103/6881 6(0) "2013-06-18 15:53:43" x.x.x.x/52218->xxx.xxx.3.103/6881 6(0) "2013-06-18 15:54:59" x.x.x.x/52518->xxx.xxx.3.103/6881 6(0) "2013-06-18 15:55:02" x.x.x.x/52518->xxx.xxx.3.103/6881 6(0) "2013-06-18 15:55:08" x.x.x.x/52518->xxx.xxx.3.103/6881 6(0) "2013-06-18 15:55:58" x.x.x.x/52676->xxx.xxx.3.103/6881 6(0) "2013-06-18 15:56:01" x.x.x.x/52676->xxx.xxx.3.103/6881 6(0) "2013-06-18 15:56:07" x.x.x.x/52676->xxx.xxx.3.103/6881 6(0) "2013-06-18 16:00:39" x.x.x.x/53190->xxx.xxx.3.103/6881 6(0)" Pois bem, pesquisando descobri que o range de portas 6881-6999 é usado por DHT no protocolo BitTorrent. Mais pelo que entendi no e-mail (ou melhor pelo título do mesmo) é que trata-se de um port scan... Vcs acham que é essa mesma a reclamação? Quais seus conselhos para evitar este tipo de problema? Tenho aproximadamente 20 servidores rodando FreeBSD com IPFW para rotear sub-redes do meu bloco de IPs. Obrigado. -- Att. __________________________________ Márcio Elias Hahn do Nascimento Araranguá - SC Cel: (55) 48-9661-0233 msn: [email protected] ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
