Широковещательный запрос с хоста на udp порт 138

[aviacliff]

Всем привет!
Имеется Шлюз  [eth0-- Шлюз-- eth1]
eth0 (IP-192.168.0.15) смотрит в сеть  192.168.0.0/24
eth1 смотрит в сеть  192.168.7.0/24
В сети 192.168.0.0/24 находится компьютер 192.168.0.33

Межсетевой экран iptables на шлюзе в логах фиксирует следующее:

Код: [Выделить]

Mar  7 11:55:05  kernel: [19635.837187] IPT INPUT packet died: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:00:00:00:00:9a:08$
Используя, утилиту tcpdump видим (мак-адреса изменены мною):

Код: [Выделить]

11:55:05.092152 00:00:00:00:00:06 > 00:00:c2:00:00:00, 802.3, length 60: LLC, dsap STP (0x42) Individual, ssap STP (0x42) Command, ctrl 0x03: STP 802.1d, Config, Flags [none], bridge-id 8000.00:22:15:4f:98:06.8001, length 43
message-age 0.00s, max-age 20.00s, hello-time 2.00s, forwarding-delay 0.00s
root-id 8000.00:00:00:00:00:06, root-pathcost 0
11:55:05.113514 00:00:00:00:00:b6 > 00:00:c2:00:00:00, 802.3, length 60: LLC, dsap STP (0x42) Individual, ssap STP (0x42) Command, ctrl 0x03: STP 802.1d, Config, Flags [none], bridge-id 8000.90:e6:ba:f0:26:b6.8001, length 43
message-age 0.00s, max-age 20.00s, hello-time 2.00s, forwarding-delay 0.00s
root-id 8000.90:e6:ba:f0:26:b6, root-pathcost 0
11:55:05.385125 00:00:00:00:00:bc > 00:00:c2:00:00:00, 802.3, length 60: LLC, dsap STP (0x42) Individual, ssap STP (0x42) Command, ctrl 0x03: STP 802.1d, Config, Flags [none], bridge-id 8000.bc:ae:c5:c7:7a:bc.8001, length 43
message-age 0.00s, max-age 20.00s, hello-time 2.00s, forwarding-delay 0.00s
root-id 8000.bc:ae:c5:c7:7a:bc, root-pathcost 0
11:55:05.612557 00:00:00:00:00:1c > 00:00:c2:00:00:00, 802.3, length 60: LLC, dsap STP (0x42) Individual, ssap STP (0x42) Command, ctrl 0x03: STP 802.1d, Config, Flags [none], bridge-id 8000.bc:ae:c5:c7:a4:1c.8001, length 43
message-age 0.00s, max-age 20.00s, hello-time 2.00s, forwarding-delay 0.00s
root-id 8000.bc:ae:c5:c7:a4:1c, root-pathcost 0
11:55:05.728136 00:00:00:00:00:75 > 00:00:c2:00:00:00, 802.3, length 60: LLC, dsap STP (0x42) Individual, ssap STP (0x42) Command, ctrl 0x03: STP 802.1d, Config, Flags [none], bridge-id 8000.00:23:54:06:d6:75.8001, length 43
message-age 0.00s, max-age 20.00s, hello-time 2.00s, forwarding-delay 0.00s
root-id 8000.00:23:54:06:d6:75, root-pathcost 0
11:55:05.834950 00:00:00:00:00:9a > ff:ff:ff:ff:ff:ff, ethertype IPv4 (0x0800), length 243: (tos 0x0, ttl 128, id 27321, offset 0, flags [none], proto UDP (17), length 229)
    192.168.0.33.138 > 192.168.0.255.138: NBT UDP PACKET(138)
11:55:05.900410 00:1f:d0:2e:da:9a > 00:00:00:00:00:16, ethertype IPv4 (0x0800), length 60: (tos 0x0, ttl 1, id 27322, offset 0, flags [none], proto IGMP (2), length 40, options (RA))
    192.168.0.33 > 224.0.0.22: igmp v3 report, 1 group record(s) [gaddr 239.255.255.250 to_in, 0 source(s)]
11:55:05.900574 00:00:00:00:00:9a > 33:00:00:00:00:16, ethertype IPv6 (0x86dd), length 90: (hlim 1, next-header Options (0) payload length: 36) fe80::4cfd:9d4e:d4f4:ac31 > ff02::16: HBH (rtalert: 0x0000) (padn)[icmp6 sum ok] ICMP6, multicast listener report v2, length 28, 1 group record(s) [gaddr ff02::c to_in, 0 source(s)]
11:55:05.985001 00:00:00:00:00:9a > ff:ff:ff:ff:ff:ff, ethertype IPv4 (0x0800), length 243: (tos 0x0, ttl 128, id 27323, offset 0, flags [none], proto UDP (17), length 229)
    192.168.0.33.138 > 192.168.0.255.138: NBT UDP PACKET(138)
Что это UDP-БОТ ?

Уважаемые знатоки Ubuntu Linux подскажите, если в этом разбираетесь.
За ранее спасибо!

[VinnyPooh]

Уважаемый, aviacliff

смените название вашей темы на понятное

[aviacliff]

После изоляции хоста 192.168.0.33, путем прописывания некоторых правил iptables, записи типа:
Mar  7 11:55:05  kernel: [19635.837187] IPT INPUT packet died: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:00:00:00:00:9a:08$
в логах исчезли, а вот такие пакеты утилита tcpdump фиксирует:

Код: [Выделить]

11:55:05.092152 00:00:00:00:00:06 > 00:00:c2:00:00:00, 802.3, length 60: LLC, dsap STP (0x42) Individual, ssap STP (0x42) Command, ctrl 0x03: STP 802.1d, Config, Flags [none], bridge-id 8000.00:22:15:4f:98:06.8001, length 43
message-age 0.00s, max-age 20.00s, hello-time 2.00s, forwarding-delay 0.00s
root-id 8000.00:00:00:00:00:06, root-pathcost 0
11:55:05.113514 00:00:00:00:00:b6 > 00:00:c2:00:00:00, 802.3, length 60: LLC, dsap STP (0x42) Individual, ssap STP (0x42) Command, ctrl 0x03: STP 802.1d, Config, Flags [none], bridge-id 8000.90:e6:ba:f0:26:b6.8001, length 43
message-age 0.00s, max-age 20.00s, hello-time 2.00s, forwarding-delay 0.00s
root-id 8000.90:e6:ba:f0:26:b6, root-pathcost 0
11:55:05.385125 00:00:00:00:00:bc > 00:00:c2:00:00:00, 802.3, length 60: LLC, dsap STP (0x42) Individual, ssap STP (0x42) Command, ctrl 0x03: STP 802.1d, Config, Flags [none], bridge-id 8000.bc:ae:c5:c7:7a:bc.8001, length 43
message-age 0.00s, max-age 20.00s, hello-time 2.00s, forwarding-delay 0.00s
root-id 8000.bc:ae:c5:c7:7a:bc, root-pathcost 0
11:55:05.612557 00:00:00:00:00:1c > 00:00:c2:00:00:00, 802.3, length 60: LLC, dsap STP (0x42) Individual, ssap STP (0x42) Command, ctrl 0x03: STP 802.1d, Config, Flags [none], bridge-id 8000.bc:ae:c5:c7:a4:1c.8001, length 43
message-age 0.00s, max-age 20.00s, hello-time 2.00s, forwarding-delay 0.00s
думаю, это похоже на работу сетевого протокола STP, который устраняет петли в топологии произвольной сети.
Не понятно почему здесь флаг соединения идет как none (Flags [none]). Возможно, это нормально.

[aviacliff]

В статье Подробная настройка iptables имеется неплохой совет

Автор пишет:
Блокировка широковещательных пакетов
Теперь мы должны заблокировать все входящие и исходящие широковещательные пакеты. Это предотвратит DoS атаки против нас, и не позволит нашим клиентам проводить DoS атаки против кого либо другого. Если бы все системные администраторы следовали этим правилам, тогда много суровых и дорогих DoS атак не состоялись или были максимально ограниченными.
Code: Блокировка широковещательных пакетов
$IPT -A INPUT   -i $EXTIF -d   $EXTBC  -j DROPl
$IPT -A INPUT   -i $INTIF1 -d  $INTBC1  -j DROPl
$IPT -A INPUT   -i $INTIF2 -d  $INTBC2  -j DROPl
$IPT -A OUTPUT  -o $EXTIF -d   $EXTBC  -j DROPl
$IPT -A OUTPUT  -o $INTIF1 -d  $INTBC1  -j DROPl
$IPT -A OUTPUT  -o $INTIF2 -d  $INTBC2  -j DROPl
$IPT -A FORWARD -o $EXTIF -d   $EXTBC  -j DROPl
$IPT -A FORWARD -o $INTIF1 -d  $INTBC1  -j DROPl
$IPT -A FORWARD -o $INTIF2 -d  $INTBC2  -j DROPl

[ArcFi]

Что это UDP-БОТ ?

Скорее, вендовые машины сканят сетевые шары через NetBios или ищут DC.

[aviacliff]

Подкидывал клиента на Ubuntu такая же примерно история только порты другие, если память не изменяет 8061 и 8062.

[ArcFi]

Подкидывал клиента на Ubuntu такая же примерно история только порты другие

Zeroconf/Avahi какой-нибудь.
Смотрите Wireshark — там всё понятно.

Вот ещё:
http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers

[aviacliff]

Думаю ответ находится здесь:

http://rus-linux.net/MyLDP/BOOKS/redhatsec/glava07.htm

Код: [Выделить]

# Блокирование пакетов от широковещательных адресов
ipchains -A input -i $EXTERNAL_INTERFACE -s $BROADCAST_DEST -j DENY -l
ipchains -A input -i $EXTERNAL_INTERFACE -d $BROADCAST_SRC -j DENY -l
# Блокирование широковещательных адресов класса D (NET-3-HOWTO)
# Широковещательный (Multicast) адрес это неправильный адрес источника.
# Multicast использует UDP.
ipchains -A input -i $EXTERNAL_INTERFACE -s $CLASS_D_MULTICAST -j DENY -l
где
BROADCAST_SRC="0.0.0.0" # Широковещательный адрес
BROADCAST_DEST="255.255.255.255" # Широковещательный адрес назначения
CLASS_D_MULTICAST="224.0.0.0/4" # Широковещательные адреса класса D

на современный лад:

Код: [Выделить]

iptables -A INPUT -i $EXTERNAL_INTERFACE -s $BROADCAST_DEST -j DROP
iptables -A INPUT -i $EXTERNAL_INTERFACE -d $BROADCAST_SRC -j DROP

iptabless -A INPUT -i $EXTERNAL_INTERFACE -s $CLASS_D_MULTICAST -j DROP