Trafico UDP
-
Estimado mi trafico UDP es demasiado, me gustaría saber como se me produce este trafico si yo tengo reglas en mi LAN que solo permite
los puerto que yo habilite, en este caso tendría que crear una regla q bloqueara este trafico (UDP)..Atte.gracias
-
Que dicen tus estado(states)?
De donde a donde?
O como tu determinastes que tienes mucho trafico UDP?
v pfsense?
cuales son tus reglas de LAN?
Trafico local o remoto?
Que IP's estan involucradas, todas o algunas?
A que servicios se estan conectado?En fin, danos toda la info, no das mucho info al respecto, saludos!!!
-
En System Logs Summary View tengo
y en lan solo tengo habilitados los puertos 80-53-443-25-26-995.etc
-
Esa informacion es una sumatoria, yo me referia a Diagnostics->States para ver que clientes estas teniendo ese trafico.
Te recomiendo que instales el programa bandwidthd, lo habilites en la tarjeta LAN, promiscuous habilitado lo dejes correr unas horas para ver un reporte mas detallado, ahi podremos ver que IP's estan generando mucho trafico UDP.Ahora, tu red es una red Windows?
Tienes un PDC ahi? Windows NT, Active Directory? Samba como PDC?
Regularmente netbios genera mucho trafico UDP, ahora que dicen los logs de tu firewall, tienes controlado los puertos entonces tienes que tener muchos logs de los puertos UDP bloqueados es otro parametro que podemos seguir:
Mira yo empezaria x analizar mi states, logs del firewall, instalar el programa mencionado para empezar a detectar que maquinas estan generando el trafico excesivo y ver si no estan tratando de meter goles en la red y se esten pasando cosas entre los usuarios, cuantas maquinas existen en tu red, etc, etc.
Te dejo unos screenshoots para que veas donde empezaria yo a husmear, pfsense tiene muchas herramientas para analizar esta informacion.
Una vez detectadas las maquinas del problema, usaria nmap para ver que puertos tiene habiertos y investigar que software usa esos puertos.
Creo que tus pantallazos son de ntop? si es asi ntop te da toda la informacion que buscas tambien.
pfsense tiene aparte un programa para ver mas a detalle los "states".
En fin es lo bonito de este trabajo, animo!!!
-
Respondiendo Primero imagen
Bandwidthd MESBandwidthd Año
Logs firewall
Atte.
-
Tus graficas dicen mucha informacion, espero ya lo hayas notado.
UDP estas libre de culpa y pena, a lo mejor las graficas asi lo muestran tus pantallazos dicen otra cosa.
Firewall, UDP puerto 17500 quien es?, que programa lo usa…? es necesario o puedes cancelar esto? por que muchos clientes estan mandando a todo mundo broadcast.
La 1er grafica que muestra la imagen con 80% de trafico UDP no coincide con las nuevas graficas de trafico.
En fin yo atacaria 1ro que nada ese puerto 17500.
Saludos!!!
-
Que haya ruido UDP es normal…
En el informe mensual pone 37,8 GByte para http (http es TCP), 45,6 GByte para TCP frente a 540 MByte UDP. Es bien normal...
Si tienes máquinas Windows con la compartición de archivos activada es normal ver peticiones UDP como las que tienes (137, 138...)
En cuanto al 17500 es DropBox intentando conectar con otras máquinas que tengan carpetas compartidas. Esto lo hace DropBox para hacer sincronización en local, sin necesidad de subir y bajar archivos compartidos.
Tienes también intentos de acceso a 123 para sincronizar el reloj de los ordenadores. No veo nada anormal.
por que muchos clientes están mandando a todo mundo broadcast.
Lo intentan pero no van más allá. Los logs son de bloqueo, precisamente.
Otros casos de UDP son las impresoras de red que informan de su estado, servicios de antivirus centralizados… y, evidentemente, puede haber ataques por UDP pero todo parece normal...
-
Ok . Gracias siguiere monitorizando el comportamiento del trafico UDP..