Controlado desde el
19/10/97 por NedStat
|
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde
el 12 de agosto de 1996
El ISC advierte sobre aumentos de escaneos al puerto 137
|
|
VSantivirus No. 814 - Año 6 - Lunes 30 de setiembre 2002
El ISC advierte sobre aumentos de escaneos al puerto 137
http://www.vsantivirus.com/30-09-02.htm
Por Jose Luis Lopez
videosoft@videosoft.net.uy
En los últimos días, el Internet Storm Center (ISC), el centro de alertas del Sans Institute, que permanentemente monitorea toda actividad a través de Internet, ha advertido un inusual aumento de escaneos al puerto 137 (UDP).
UDP (Universal Data Packet), es un protocolo de transporte de datagramas, o sea de los pequeños paquetes que forman la información que se transfiere de y hacia nuestra computadora a través de Internet. Que estos paquetes aparezcan por el puerto 137, en principio no es nada inusual.
Windows utiliza este puerto para su servicio "Compartir impresoras y archivos para redes Microsoft" a través de NetBEUI (una implementación propia de NETBIOS), al traducir una dirección IP en un "nombre de Windows".
Cada computadora conectada a una red o a Internet, es identificada por una dirección IP (Internet Protocol). Esta dirección IP es un número, cuatro dígitos separados por un punto, como por ejemplo: 192.168.52.1.
Solo para hacernos más fácil la tarea de recordar la dirección de una máquina, ésta también puede tener un nombre (nombres de dominio y nombres de host). Para asociar una dirección IP a un nombre, de modo que al teclear por ejemplo
‘vsantivirus.com’ nuestra computadora se conecte con la del servidor de nuestro sitio (que tiene su propia dirección IP), existe un servicio llamado DNS (Domain Name Server). Este servicio, generalmente utiliza el puerto 53 para comunicarse.
Estos nombres, son utilizados generalmente para identificar otras computadoras que comparten archivos a través de una red. Curiosamente, Windows también intenta obtener un "nombre de Windows" de cualquier otra computadora que intente conectarse con él, incluso desde Internet. El resultado, es que Windows posee el hábito de "sondear" el puerto 137, intentando resolver una dirección IP o un nombre de dominio, cuando la solicitud al servidor DNS falla o supera un tiempo determinado.
Sin embargo, además de esta actividad que puede considerarse normal, un aumento de escaneos al puerto 137 también
puede indicar un primer paso para acceder a los recursos compartidos de nuestra computadora, por parte de un atacante. Esto casi siempre es así, si esos escaneos son seguidos por otros al puerto 139, utilizado para acceder a esos recursos.
Existen gusanos muy conocidos y también BOTS que intentan acceder a una computadora que mantenga abierta esta puerta de entrada. Un BOT es una copia de un usuario en un canal de IRC, generado casi siempre maliciosamente por un programa, y preparado para responder los comandos que un atacante les envía en forma remota.
Incluso, aprovechando máquinas de usuarios que poseen conexiones de banda ancha durante las 24 horas, existen muchas páginas Warez (aquellas que distribuyen software ilegal), que almacenan programas en máquinas de usuarios que lo ignoran, eludiendo de ese modo las leyes de sus países, e involucrando a inocentes. Todo ello evidentemente aumenta la actividad en los puertos 137 y 139.
Software como los BOTS, escudriñan las redes y subredes en forma secuencial, y cuando estas redes son extensas, el uso del puerto 137 puede alcanzar proporciones notoriamente altas en las estadísticas de monitoreo de sitios como el ISC.
Por el momento, este aumento de dicha actividad parece apuntar a esta explicación, según afirma el propio ISC en su último reporte. Y agrega además, que a pesar de ello, ninguno de los señuelos que son constantemente monitoreados, ha sido vulnerado con algún otro intento de acceso que parezca estar relacionado.
De cualquier modo, el Internet Storm Center permanece alerta por cualquier otra actividad que pudiera significar por ejemplo, la aparición de algún nuevo gusano.
El ISC pide además, que cualquier persona que pudiera tener indicios de alguna otra actividad fuera de lo normal relacionada con este puerto, les envíe un informe a la dirección isc@incidents.org (en inglés).
A nivel doméstico, la instalación de un cortafuegos como ZoneAlarm es suficiente para bloquear todo intento malicioso a los puertos mencionados.
Más información:
Curiosidades del puerto 137
http://www.vsantivirus.com/p137.htm
Como deshabilitar compartir archivos con TCP/IP
http://www.vsantivirus.com/compartir.htm
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|