在我们的公司网络上,我们检测到工作站打开了太多到 IP 地址 75.126.196.159(端口 3478)的连接,导致 Cisco ASA 防火墙 5550 检测到“SYN 攻击”并达到其连接数限制,从而导致合法流量严重下降。
我们在每个工作站上都安装了具有最新定义的 Symantec Endpoint Protection (SEP) v12.1,因此它不会检测到任何异常行为。
作为一种缓解机制,我添加了一个本地 SEP(防火墙)规则来阻止所有进出 IP 地址的流量,原因是 75.126.196.159
还有其他建议可以缓解和解决这个问题吗?
答案1
此端口用于 STUN(NAT 的简单 UDP 穿越),有时 VoIP 会使用该端口。Apple FaceTime 应用程序也会使用该端口。恶意软件也可能使用该端口。
您在相关工作站上可能安装了未经授权或不正确的软件。
您的防火墙也有可能阻止了上述某项服务的合法流量,导致它们比平时更频繁地重试。
我希望 FaceTime 能够传输流量,但这需要持续的连接。我希望路由器能够识别这一点,但 UDP 是无连接的,所以可能不会。FaceTime 可能会通过切换到备用端口来恢复,因此您的用户可能不太清楚端口被阻止了。
编辑:我已经查找了相关 IP 地址。对 IP 地址进行 whois 查询,并联系 ip-admin 或 abuse 地址。解释您看到的内容,看看他们是否愿意提供任何信息。他们不太可能想要托管命令和控制服务器,但他们可能不愿意分享信息。
鉴于这个特定的地址,我不认为它正在运行 STUN 服务器。这让我怀疑是恶意软件。调查至少一个有问题的设备,看看哪个程序正在生成流量。(netstat
将显示 Unix/Linux 上的程序,Windows 防火墙可能有允许流量流出的规则。)如果它是合法程序,那么我会怀疑配置错误。如果不是,你可能需要清除恶意软件感染。如果它正在蔓延,请断开所有生成 SYN 请求的设备。
由于您正在运行 SEP,我怀疑这些系统正在运行 Windows。它可能能够识别发送流量的程序。
wget https 请求表明服务器当前正在被 swarmcdn.com 使用。有人安装了 Swarmify 视频软件吗?
答案2
听起来好像您描述的是您的网络中已经存在的问题 - 在这种情况下,如果我是您,我会将与所述 IP 通信的工作站脱机,以进行全面的病毒/恶意软件/等检测,当然还要发现试图与您提到的 IP 进行通信的内容 - 并且如果可能的话,尝试确定与有问题的 IP 进行通信的软件是如何出现在有问题的工作站上的。