4 Noviembre 2005

Antes de ayer decidí ver que cosas llegan a nuestro servidor por la noche, así que puse el ordenador en modo de escucha, de tal forma que cada paquete que pasaba por él e iba hacía él (en este caso no me interesaban los ajenos) lo grababa en un fichero.

No tenía ningún motivo oculto para hacerlo, y además no esperaba encontrar nada interesante, pero tenía curiosidad de saber que cosas llegan por la noche (seguro que por el día es igual) a nuestro querido y sufrido servidor.

tethereal -f �??host XXX.XXX.XXX.XXX�?? �??w fichero.cap

Una vez capturado todo el tráfico me lo he llevado a la herramienta ethereal (gran aplicación por cierto)

Y la verdad que no hay nada espectacular en el contenido.

Lo primero que veo es gran cantidad de paquetes TCP/IP a los puertos de las aplicaciones P2P como mldonkeyemuleedonkeyy eso que ahora mismo no lo tengo activado, pero claro como lo uso a menudo, mi máquina recibe numresos paquetes (SYN) intentado establecer la comunicación.

Elimino con un filtro para el ethereal (tcp.srcport != 80 and tcp.dstport != 80 and tcp.srcport != 25 and tcp.dstport != 25) los paquetes con destino: P2P, correo electrónico y servidor web y me quedo con el resto del tráfico que es el anómalo.

Y la verdad es que hay poca cosa interesante para un linux menos, casi todos los paquetes van dirigidos a los puertos abiertos del windows 135, 139, 445 buscando vulnerabilidades. El resto de los paquetes �??anómalos�?? van a los puertos: 6101, 3084, 3636, 5900, 1433 y 4899, seguro que buscando algún troyano o alguna vulnerabilidad, parece ser que está vez en mi caso no han tenido suerte.

Anuncios