Posible ataque o scan? Logs



  • buenas

    de vez en cuando aparece esto en mi PFsense, alguien sabe a que es debido.

    173.224.115.88.5076 > 80.30.x.x.5060: SIP, length: 413
    Oct 30 06:35:29 pfs pf: OPTIONS sip:100@80.30.54.142 SIP/2.0
    Oct 30 06:35:29 pfs pf: Via: SIP/2.0/UDP 173.224.115.88:5076;branch=z9hG4bK-2803973216;rport
    Oct 30 06:35:29 pfs pf: Content-Length: 0
    Oct 30 06:35:29 pfs pf: From: "sipvicious";t`\0x00\0x00\0x00\0x00\0x00;\0x15 \0x01\0x00\0x00^\0xf5y\0xfb\0x0cp8\0xe3\0xb1\0x8c\0xbb\0x0f \0x01\0x00\0x00\0x9d8j\0xbd\0x14\0x81\0x10\0xf4\0xaf\0xe1\0xc9q\0x01\0x04[0Z\0x1a\0x03\0x08\0x00\0x00\0xc0\0xa8\0x01+\0xc7\0x1ce0\0x00\0x00\0x00\0x00\0x00\0x00\0x00\0x00\0x00\0x00\0x00\0x00\0x00\0x00\0x00\0x00\0x00\0x00\0x00\0x00\0x00\0x00\0x00\0x00\0x00\0x00\0x00\0x00\0x00\0x03\0xff\0xff\0xff\0xff\0xff\0xff\0xff\0xff\0xa0\0x86\0x01\0x00\0x00\0x00\0x00\0x00\0x14\0x9c\0x00\0x00\0x01\0x00\0x00\0x00E\0x00\0x00:\0x0c\0xed@\0x00y\0x11\0xda\0xb6NsD\0xf0P\0x1e6\0x8e\0x88*\0xd5\0xb6\0x00&\0x06CA\0x02\0xb7\0xc9\0x00] \0x81\0x00\0x00\0x00\0x00\0x008\0x00\0x00g\0x84\0x00\0x00\0x00\0x08\0x00\0x00\0x00\0x00\0x00\0x00\0x00\0x00T3420-\0x80\0x88\0x98dt\0x06\0xdb\0xd6\0xa4\0xa58\0x81\0x00\0x00\0x01\0x01\0x14\0x00d1:ei0e4:ipv44:\0x9d\0xc0Bn4:ipv616:$\0x08\0x00G\0xdf\0xff\0x03hT!\0xefM\0xa5\0xec\0xb1]12:complete



  • Parece ser exploracion de el puerto



  • eso pense pero PFsense no tiene un modulo antiscan? alguna aplicacion que mantenga los intentos de ataque en alguna bases de datos a consultar, lo unico q veo es el logs con todos los paquetes cortados por alguna regla, alguna consola donde ver todo. gracias por la respuesta gersonofstone



  • https://code.google.com/p/sipvicious/

    Si quieres hacer inspección de paquetes tienes que instalar y AJUSTAR MUY BIEN el paquete snort.



  • Gracias, he tenido que quitar el snort, en las versiones nano se come la RAM y CPU



  • Y, a la larga, dañarte el disco.

    Las memorias Flash están limitadas en número de escrituras. Y los logs de snort no son precisamente pequeños, al inspeccionar paquetes.

    Las NanoBSD están ajustadas para escribir poco en disco. Y no debería abusarse de la instalación de paquetes en ellas.