[LACNIC/Seguridad] Flujo de trafico UDP, puerto 42 a 224.0.1.24

Gaston Franco gfranco en arcert.gov.ar
Vie Mar 13 11:49:30 BRT 2009


Hola Carlos,

pensando primero en un posible uso normal

Según el IANA:
http://www.iana.org/assignments/multicast-addresses/
esa direccion Multicast esta asignada a "microsoft-ds"

y puede ser el resultado de servidores WINS en la red ( realizando replicación
automática de configuraciones...)

Obviamente, también puede ser alguna otra cosa, con lo cual es necesario
realizar una captura del tráfico y analizar..

saludos,
Gastón
-- 
-----------------------------------------------
ArCERT - http://www.arcert.gov.ar

Te: (54-11) 4343-9001 int.512/514  |  4345-0383
Fax:(54-11) 4343-7458

Av.R. Saenz Peña 511 - Of:514
C1035AAA - Ciudad Autonoma de Buenos Aires
Argentina
-----------------------------------------------

Carlos M. Martinez wrote:
> Hola a todos,
> 
> hoy me enfrente con un equipo (en realidad, una maquina virtual vmware),
> Windows 2003 Enterprise, que estaba generando perturbaciones en la red
> enviando un flujo de casi 4 Mbps de paquetes UDP, puerto de origen y
> destino 42 (Microsoft WINS) y destino al grupo multicast 224.0.1.24
> 
> Esto empezó de un momento a otro, sin mediar accion sobre la  VM alguna.
> 
> He estado buscando en Internet referencias a algun malware que haga
> esto, pero no he encontrado nada... ¿alguien ha visto algo similar?
> 
> slds
> 
> Carlos
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad
> 

-- 
-----------------------------------------------
ArCERT - http://www.arcert.gov.ar

Te: (54-11) 4343-9001 int.512/514  |  4345-0383
Fax:(54-11) 4343-7458

Av.R. Saenz Peña 511 - Of:514
C1035AAA - Ciudad Autonoma de Buenos Aires
Argentina
-----------------------------------------------


Más información sobre la lista de distribución Seguridad