Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

hosting en interdominios
58 lecturas y 6 respuestas
  • Cerrado

    [Editado 7/06/07 04:03]

    Cuestion muy tecnica..

    Hola

    La decision de poner este tema aqui, es porque creo que es un asunto que solo pasa con euskaltel... seguir leyendo para intentar comprender..

    Tengo el SO windows 2000 sp4, con un firewall que se llama outpost. Tengo un modem RCA (el de las lucecitas verdes y una naranja..) y bien pues la duda, (porque en principio es una duda, no creo que sea un problema..)
    es que desde hace un mes o asi
    nada mas encender el pc observo en mi firewall outpost que siempre se intentan conectar 2 o 3 IP todo el dia.. y todos los dias
    al puerto 5000 UDP copio y pego:

    n/a UDP 224.0.0.1 5000 85.84.43.xxx 1125 Paquete a puerto cerrado ENTRANTE RECHAZADO 03:25:53 38 s(s) 0 bytes 0 bytes --- 0 Bps

    n/a UDP 224.0.0.1 5000 85.84.39.xx 4386 Paquete a puerto cerrado ENTRANTE RECHAZADO 03:26:26 21 s(s) 0 bytes 0 bytes --- 0 Bps

    n/a UDP 224.0.0.1 5000 85.84.62.xxx 1305 Paquete a puerto cerrado ENTRANTE RECHAZADO 03:27:04 02 s(s) 0 bytes 0 bytes --- 0 Bps

    Como podeis observar son IPs de euskaltel, (siempre lo son)
    No envian ni reciben informacion (tampoco les deja el firewall)
    Siempre son Ips distintas, pero de euskaltel

    Adjunto una captura de pantalla (modificada para evitar posibles problemas)

    Captura

    Quisiera saber el porque de esto, que alguien me lo explicara, si es bueno, si es malo, si no tiene importancia.

    Aclaro que no tengo ningun virus ni troyanos para las posibles respuestas que me digan hablando de esto.

    Si algun moderador cree que hice mal en poner este tema en este foro, por favor mueva este tema al foro correspondiente, no lo borre..

    Espero que alquien me de alguna explicacion o ayuda si hiciera falta.. Gracias por adelantado

    PD, Si el enlace de la captura no funciona a la primera usen la tecla F5 por favor...

    Este tema es antiguo y puede contener información obsoleta. Abre un nuevo tema para publicar tu mensaje.
    1
    • Cerrado

      [Editado 10/06/07 15:20]

      6

      No sé si realmente se puede equiparar a tu caso, pero te pego…

      No sé si realmente se puede equiparar a tu caso, pero te pego el log de mi router ( un Comtrend536 ) que es idéntico, casi, al de cualquiera de los usuarios de Jazztel: de hecho preguntar esto , aunque sea una vez a la semana, es un " clásico " en el foro :D

      Jun 10 14:33:13 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=87.20.189.130 DST=87.218.138.79 LEN=48 TOS=0x00 PREC=0x00 TTL=253 ID=38043 DF PROTO=TCP SPT=1136 DPT=445 WINDOW=64170 RES=0x00 SYN URGP=0
      Jun 10 14:33:13 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=87.20.189.130 DST=87.218.138.79 LEN=48 TOS=0x00 PREC=0x00 TTL=253 ID=38049 DF PROTO=TCP SPT=1412 DPT=139 WINDOW=64170 RES=0x00 SYN URGP=0
      Jun 10 14:33:17 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=87.20.189.130 DST=87.218.138.79 LEN=48 TOS=0x00 PREC=0x00 TTL=253 ID=38315 DF PROTO=TCP SPT=1412 DPT=139 WINDOW=64170 RES=0x00 SYN URGP=0
      Jun 10 14:34:21 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=203.129.239.138 DST=87.218.138.79 LEN=40 TOS=0x00 PREC=0x00 TTL=253 ID=256 PROTO=TCP SPT=55380 DPT=5900 WINDOW=55808 RES=0x00 SYN URGP=0
      Jun 10 15:02:16 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=87.205.236.160 DST=87.218.138.79 LEN=64 TOS=0x00 PREC=0x00 TTL=253 ID=10942 DF PROTO=TCP SPT=1369 DPT=135 WINDOW=53760 RES=0x00 SYN URGP=0
      Jun 10 15:08:49 syslog info -- MARK --

      Como ves, parece que todo el mundo quiere meterse en mi conexión..no es así. Simplemente " es una regla de iptables que manda esos avisos al log si se hacen mas de 6 intentos de conexion en una hora.. y salta con el blaster o similares. solo es informativo " Copy/ paste de mi compañero Luke, que sabe y mucho de este tema, aquí http://www.bandaancha.st/foros.php?temid=801512#801516

      Yo pienso que está relacionado, aunque ya te digo que tampoco puedo asegurarlo. Lo que sí es cierto que mientras que tengas el firewell activado en el router , no tienes demasiados motivos para preocuparte :)

      Saludos

      • Cerrado

        hmm.. no.. creo que no tiene nada que ver, ya que ademas yo…

        hmm.. no..
        creo que no tiene nada que ver, ya que ademas yo no tengo router.. tengo el modem viejo este de thomson RCA, y no tiene firewall ni nada, el firewall lo tengo en windows, en mi caso son 3 o 4 ips que se quedan ahi intentando conectar todo el rato al puerto 5000 UDP, lo de los ataques de virus y demas tiene algo de sentido, lo del log de tu router me parece que es algo mas que ''muy tecnico'' :-P cualquiera lo entiende jeje

    • Cerrado

      BocaDePez BocaDePez
      6

      A ver, las direcciones son siempre de euskaltel porque la…

      A ver, las direcciones son siempre de euskaltel porque la direccion destino es multicast y estas no las suelen enrutar desde inet.

      Lo que esta pasando es que varios pcs han sido infectados y estan intentando propagarse. Lo que estan haciendo es "al que este escuchando.... quiero conectarme!"

      Lo de los 0 bytes, es normal. No se ha llegado a abrir la conexion.

      A ti te llegan esos intentos, porque los pcs estaran en tu propio anillo. Mientras tengas el fw activado no hay problema.

      En el rango de los 5000 hay mucho bicho:

      https://www.securetrust.com/resources/portsearch/port/5000/5499/

    • Cerrado

      :-/ Pues si que parece ser ''muy tecnica'' la cuestion,…

      :-/ Pues si que parece ser ''muy tecnica'' la cuestion, espero que alguien intente responder aclarando algo mas el tema...

    • Cerrado

      BocaDePez BocaDePez
      6

      Esa es una dirección de multicast y lo que mandan lo deben…

      Esa es una dirección de multicast y lo que mandan lo deben recibir todos los ordenadores de la subred. A saber para qué.

      http://en.wikipedia.org/wiki/Multicast_address