Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Eventos com assinatura SURICATA STREAM e ET TOR na rede, devo me preocupar?

    Scheduled Pinned Locked Moved Portuguese
    1 Posts 1 Posters 421 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • J Offline
      JChris
      last edited by

      Na realidade esse tópico não é diretamente relacionado ao pfSense mas a redes em geral, porém acho aqui terei uma resposta adequada levando em conta a quantidade de profissionais desse fórum. Vamos ao problema: possuo um SOHO NAS da Synology na minha rede doméstica e acabei de instalar e configurar o IPS fornecido pela própria Synology nele, em menos de 20 minutos de uso o IPS já me apontou 3 eventos (Destination IP = NAS Local IP Addr 192.168.X.X):

      Detalhes sobre um dos eventos SURICATA STREAM:

      Detalhes sobre o evento ET TOR:

      Dando um whois no 60.251.87.147 verifiquei que esse range pertence a "Taiwan, Province Of China AS3462 HINET Data Communication Business Group, TW (registered Aug 01, 2002)" – https://whois.domaintools.com/60.251.87.147. E no 5.9.110.236 verifiquei que esse range pertence a "Germany AS24940 HETZNER-AS , DE (registered Jun 03, 2002)" -- https://whois.domaintools.com/5.9.110.236

      No meu ISP EDGE ROUTER apenas possuo port forward nas portas UDP 1701, 500, 4500 para o meu NAS, pois ele roda L2TP/IPSec VPN Server. No NAS também consulto NTP em time.nist.gov. Alguém saberia me informar algo relevante e que poderia estar causando esses eventos, devo me preocupar?

      UPDATE #1

      Deixei o IPS rodando por algum tempo e continuei usando meu computador normalmente e para minha surpresa agora possuo mais de 40 MIL eventos, todos eles partindo do meu computador que estou usando neste momento em direção ao NAS e vice-versa:

      O padrão é o seguinte:

      SURICATA STREAM Packet with invalid ack PC TCP 56985 -> NAS TCP 445
      SURICATA STREAM ESTABLISHED invalid ack PC TCP 56985 -> NAS TCP 445
      SURICATA STREAM ESTABLISHED invalid ack NAS TCP 445 -> PC TCP 56985

      Isso se repete milhares de vezes nesse curto período de tempo, se isso continuar vou ter facilmente mais de 200k eventos desse por dia.

      –-----------------

      UPDATE #2

      Menos um "problema". Sobre os milhares de pacotes enviados/recebidos entre meu PC e o NAS, era apenas o Windows 10 File History, eu desabilitei por algumas horas e os trocentos pacotes cessaram.

      1 Reply Last reply Reply Quote 0
      • First post
        Last post
      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.