Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

Fijo

Cuestion muy tecnica..

Bloodfer

Hola

La decision de poner este tema aqui, es porque creo que es un asunto que solo pasa con euskaltel... seguir leyendo para intentar comprender..

Tengo el SO windows 2000 sp4, con un firewall que se llama outpost. Tengo un modem RCA (el de las lucecitas verdes y una naranja..) y bien pues la duda, (porque en principio es una duda, no creo que sea un problema..)
es que desde hace un mes o asi
nada mas encender el pc observo en mi firewall outpost que siempre se intentan conectar 2 o 3 IP todo el dia.. y todos los dias
al puerto 5000 UDP copio y pego:

n/a UDP 224.0.0.1 5000 85.84.43.xxx 1125 Paquete a puerto cerrado ENTRANTE RECHAZADO 03:25:53 38 s(s) 0 bytes 0 bytes --- 0 Bps

n/a UDP 224.0.0.1 5000 85.84.39.xx 4386 Paquete a puerto cerrado ENTRANTE RECHAZADO 03:26:26 21 s(s) 0 bytes 0 bytes --- 0 Bps

n/a UDP 224.0.0.1 5000 85.84.62.xxx 1305 Paquete a puerto cerrado ENTRANTE RECHAZADO 03:27:04 02 s(s) 0 bytes 0 bytes --- 0 Bps

Como podeis observar son IPs de euskaltel, (siempre lo son)
No envian ni reciben informacion (tampoco les deja el firewall)
Siempre son Ips distintas, pero de euskaltel

Adjunto una captura de pantalla (modificada para evitar posibles problemas)

Captura

Quisiera saber el porque de esto, que alguien me lo explicara, si es bueno, si es malo, si no tiene importancia.

Aclaro que no tengo ningun virus ni troyanos para las posibles respuestas que me digan hablando de esto.

Si algun moderador cree que hice mal en poner este tema en este foro, por favor mueva este tema al foro correspondiente, no lo borre..

Espero que alquien me de alguna explicacion o ayuda si hiciera falta.. Gracias por adelantado

PD, Si el enlace de la captura no funciona a la primera usen la tecla F5 por favor...

Este tema está cerrado a nuevas respuestas. Abre un nuevo tema para retomar la conversación.
BocaDePez
BocaDePez

Esa es una dirección de multicast y lo que mandan lo deben recibir todos los ordenadores de la subred. A saber para qué.

en.wikipedia.org/wiki/Multicast_address

Bloodfer

:-/ Pues si que parece ser ''muy tecnica'' la cuestion, espero que alguien intente responder aclarando algo mas el tema...

BocaDePez
BocaDePez

A ver, las direcciones son siempre de euskaltel porque la direccion destino es multicast y estas no las suelen enrutar desde inet.

Lo que esta pasando es que varios pcs han sido infectados y estan intentando propagarse. Lo que estan haciendo es "al que este escuchando.... quiero conectarme!"

Lo de los 0 bytes, es normal. No se ha llegado a abrir la conexion.

A ti te llegan esos intentos, porque los pcs estaran en tu propio anillo. Mientras tengas el fw activado no hay problema.

En el rango de los 5000 hay mucho bicho:

securetrust.com/resources/portsearch/port/5000/5499/

🗨️ 1
Bloodfer

:o Gracias por responder ;-)

Ari

No sé si realmente se puede equiparar a tu caso, pero te pego el log de mi router ( un Comtrend536 ) que es idéntico, casi, al de cualquiera de los usuarios de Jazztel: de hecho preguntar esto , aunque sea una vez a la semana, es un " clásico " en el foro :D

Jun 10 14:33:13 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=87.20.189.130 DST=87.218.138.79 LEN=48 TOS=0x00 PREC=0x00 TTL=253 ID=38043 DF PROTO=TCP SPT=1136 DPT=445 WINDOW=64170 RES=0x00 SYN URGP=0
Jun 10 14:33:13 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=87.20.189.130 DST=87.218.138.79 LEN=48 TOS=0x00 PREC=0x00 TTL=253 ID=38049 DF PROTO=TCP SPT=1412 DPT=139 WINDOW=64170 RES=0x00 SYN URGP=0
Jun 10 14:33:17 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=87.20.189.130 DST=87.218.138.79 LEN=48 TOS=0x00 PREC=0x00 TTL=253 ID=38315 DF PROTO=TCP SPT=1412 DPT=139 WINDOW=64170 RES=0x00 SYN URGP=0
Jun 10 14:34:21 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=203.129.239.138 DST=87.218.138.79 LEN=40 TOS=0x00 PREC=0x00 TTL=253 ID=256 PROTO=TCP SPT=55380 DPT=5900 WINDOW=55808 RES=0x00 SYN URGP=0
Jun 10 15:02:16 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=87.205.236.160 DST=87.218.138.79 LEN=64 TOS=0x00 PREC=0x00 TTL=253 ID=10942 DF PROTO=TCP SPT=1369 DPT=135 WINDOW=53760 RES=0x00 SYN URGP=0
Jun 10 15:08:49 syslog info -- MARK --

Como ves, parece que todo el mundo quiere meterse en mi conexión..no es así. Simplemente " es una regla de iptables que manda esos avisos al log si se hacen mas de 6 intentos de conexion en una hora.. y salta con el blaster o similares. solo es informativo " Copy/ paste de mi compañero Luke, que sabe y mucho de este tema, aquí Luke, debería preocuparme por este log?

Yo pienso que está relacionado, aunque ya te digo que tampoco puedo asegurarlo. Lo que sí es cierto que mientras que tengas el firewell activado en el router , no tienes demasiados motivos para preocuparte :)

Saludos

🗨️ 1
Bloodfer

hmm.. no..
creo que no tiene nada que ver, ya que ademas yo no tengo router.. tengo el modem viejo este de thomson RCA, y no tiene firewall ni nada, el firewall lo tengo en windows, en mi caso son 3 o 4 ips que se quedan ahi intentando conectar todo el rato al puerto 5000 UDP, lo de los ataques de virus y demas tiene algo de sentido, lo del log de tu router me parece que es algo mas que ''muy tecnico'' :-P cualquiera lo entiende jeje