Principal » Foro » Redes » Seguridad

Conexión a puerto 80 remoto no reconocida

Publicado: 6 Diciembre, 2007 - 19:11 Conexión a puerto 80 remoto no reconocida

Buenos días a todos, resulta que Firestarter muestra una conexión activa al puerto remoto 80 de una ip 73.23.32.79 perteneciente al rango de ip's de comcast, la cual tiene todos sus puertos filtrados, no da acceso http, no está siendo usada por ninguna de mis aplicaciones cliente y no es reconocida por netstat.
No solo eso sino que otra máquina de la red está recibiendo Xmas scans desde esa misma ip.
No es que esté muy preocupado ya que en el peor de los casos lo solucionaría de una manera muy primitiva que no me dejaría nada productivo en realidad, lo que quiero simplemente es saber por donde empezar a desenmascarar el tema, what the hell is going on?
Desde ya, muchas gracias.
Saludos.

Publicado: 6 Diciembre, 2007 - 19:29 Re: Conexión a puerto 80 remoto no reconocida #1

Instala Wireshark y "sniffa" un poquito la red para ver que conexiones están abiertas con esa IP. Al principio te costará manejarlo, pero con el tiempo y un buen tutorial/manual en mano, le pillarás el tranquillo.

saludos

Publicado: 6 Diciembre, 2007 - 22:56 Re: Conexión a puerto 80 remoto no reconocida #2

minaya he seguido tu consejo, utilicé Wireshark durante un largo rato pero no detecta ningún tráfico desde o hacia esa dirección ip, salvo que le haga ping o le envíe alguna petición, las cuales no devuelve.
En el último rato se han sumado dos nuevas conexiones con destino a esa dirección ip entre las conexiones activas de Firestarter:

Origen           Destino           Puerto       Servicio     Programa     
192.168.1.104    236.32.89.20      80           HTTP         firefox-bin  
192.168.1.104    73.23.32.79       80           HTTP                           
192.168.1.104    73.23.32.79       43275
192.168.1.104    73.23.32.79       41182
192.168.1.104    73.23.32.79       44285

Realmente no se por donde seguir, estoy buscando información constantemente a medida que algo se me ocurre pero sin éxito. Cualquier sugerencia o explicación es siempre bienvenida.
Saludos

Publicado: 7 Diciembre, 2007 - 10:43 Re: Conexión a puerto 80 remoto no reconocida #3

Activa la opcion para que te resuelva las direcciones IPs y te las transforme en dominios concretos, te puede resultar más sencillo ver que conexiones son.

Editado:
--------
La primera IP no puedo resolverla, es posible que sea alguien navegando anonimamente y esta conectandose a ti por el puerto 80 (tienes apache montado?)
La segunda es de New Jersey (EEUU) y es de Compcast IP services como bien has dicho.

A las malas siempre puedes denegar toda conexion de estas IPs a tu maquina
--------

Publicado: 7 Diciembre, 2007 - 17:39 Re: Conexión a puerto 80 remoto no reconocida #4

Yo si fuera tú, metería esas direcciones en el host.deny mientras que no supiera que es lo que está pasando...

Un saludo