Scan na porta 138 (netbios)



  • Galera,

    Meu firewall está bloqueando alguns IPs da nossa rede interna nesse formato:

    x.x.x.x:138 ---> x.x.x.x:138	UDP
    

    Tem vários bloqueios do mesmo IP para IPs diferentes, mas na mesma porta, 138.

    Isso é scan/attack de netbios?



  • Os IPs de origem são da rede interna? Se for, essa porta é usada pelo protocolo NetBIOS.



  • @Tomas:

    Os IPs de origem são da rede interna? Se for, essa porta é usada pelo protocolo NetBIOS.

    Boa noite Tomas,

    São IPs públicos de uma vlan da rede interna.

    Pelo que andei pesquisando, talvez possa ser pc infectado causando isso, pois são praticamente os mesmos IPs sendo bloqueados frequentemente.



  • Isso Ocorre porque o NetBios faz uma varredura no Boradcast. Exemplo se seu rede é 192.168.0.0/24 ele vai tentar scanear 192.168.0.255.
    Para resolver ou vc libera o trafego para o broadcast neste caso 192.168.0.255 ou libere todo o trafego entre sua lan.
    Eu sempre libero

    Source LAN Net Destino LAN Net

    Isso libera todo o trafego entre minha lan sem nenhuma falha de segurança.



  • O que notei.

    A maioria dos IPs fazem essa varredura, mas esporadicamente.

    Alguns IPs fazem essa varredura, mas muitas vezes seguidas.

    Mesmo assim é normal?



  • Sim o NetBios faz a varredura para localizar os compartilhamentos em toda a rede. Todas as maquinas Windows vai varrer a rede toda atras de compartilhamento e não sei porque inclui o broadcast, e por isso chega até o firewall.


Log in to reply