В нашей корпоративной сети мы обнаруживаем, что рабочие станции открывают слишком много подключений к IP-адресу 75.126.196.159 (порт 3478), в результате чего брандмауэр Cisco ASA Firewall 5550 обнаруживает «SYN-атаку» и достигает своего предела с точки зрения подключений, вызывая серьезный трафик. деградация по законному трафику.
У нас есть Symantec Endpoint Protection (SEP) v12.1 с последними определениями на каждой рабочей станции, поэтому он не обнаруживает никаких аномалий.
В качестве механизма смягчения я добавляю локальное правило SEP (брандмауэр), чтобы блокировать весь входящий / исходящий трафик на IP-адрес по причине 75.126.196.159
Есть ли другие предложения по смягчению и решению этой проблемы?
Этот порт используется для STUN (простой обход UDP для NAT), который в некоторых случаях используется VoIP. Он также используется приложением Apple FaceTime. Он также может использоваться вредоносными программами.
У вас может быть неавторизованное или некорректное программное обеспечение на рассматриваемых рабочих станциях.
Также возможно, что ваш брандмауэр блокирует законный трафик для одной из вышеуказанных служб, заставляя их повторять попытки чаще, чем обычно.
Я бы ожидал, что FaceTime будет передавать трафик, но для этого потребуется постоянное соединение. Я ожидал, что маршрутизатор распознает это, но UDP не поддерживает соединение, поэтому может и не быть. FaceTime может восстановиться, переключившись на альтернативный порт, поэтому пользователям может быть не очевидно, что порт заблокирован.
РЕДАКТИРОВАТЬ: Я просмотрел рассматриваемый IP-адрес. Выполните поиск whois по IP-адресу и свяжитесь с IP-администратором или адресом нарушения. Объясните, что вы видите, и посмотрите, готовы ли они предоставить какую-либо информацию. Маловероятно, что они захотят разместить командный сервер, но они могут не захотеть делиться информацией.
Учитывая этот конкретный адрес, я не ожидал, что на нем был запущен сервер STUN. Это заставило бы меня задуматься о вредоносных программах. Изучите хотя бы одно из устройств-нарушителей, чтобы узнать, какая программа генерирует трафик. (netstat
покажет программу в Unix / Linux, и в брандмауэре Windows может быть правило, разрешающее трафик.) Если это законная программа, я подозреваю неправильную конфигурацию. В противном случае вам, вероятно, потребуется устранить заражение вредоносным ПО. Если он распространяется, отключите все устройства, генерирующие запросы SYN.
Поскольку вы используете SEP, я подозреваю, что эти системы работают под управлением Windows. Он может идентифицировать программу, отправляющую трафик.
Запрос wget https указывает на то, что сервер в настоящее время используется swarmcdn.com. Кто-нибудь устанавливал программное обеспечение для видео Swarmify?
Похоже, вы описываете проблему уже в своей сети - в этом случае, если бы я был вами, я бы отключил рабочие станции, взаимодействующие с указанным IP-адресом, для полного обнаружения вирусов, вредоносных программ и т. Д., А также, конечно же, выявление того, что пытается установить связь с указанным вами IP-адресом, и, если это вообще возможно, попытка выяснить, как программное обеспечение, которое взаимодействует с нарушающим IP-адресом, вообще попало на указанные рабочие станции.