在我们的公司networking上,我们正在检测工作站,打开太多的IP地址75.126.196.159(端口3478)的连接,导致Cisco ASA防火墙5550检测到“SYN攻击”并达到其连接限制,导致严重的stream量降低合法stream量。
我们的Symantec Endpoint Protection(SEP)v12.1具有每个工作站上的最新定义,因此不会检测到任何exception行为。
作为一种缓解机制,我添加了一个本地的SEP(防火墙)规则来阻止入站/出站到IP地址的所有stream量,原因是75.126.196.159
任何其他的build议,以减轻和解决这个问题?
此端口用于STUN(UDP的简单遍历NAT),在某些情况下由VoIP使用。 它也被Apple FaceTime应用程序使用。 它也可以被恶意软件使用。
您可能在相关工作站上有未经授权或不正确的软件。
也有可能你的防火墙阻止了上述服务之一的合法通信,导致它们比正常情况下更频繁地重试。
我希望FaceTime能够传输stream量,但这需要持续的连接。 我希望路由器能够识别这个,但UDP是无连接的,所以它可能不是。 FaceTime可能会通过切换到备用端口进行恢复,因此您的用户可能不清楚该端口是否被阻止。
编辑:我已经做了查询的IP地址的问题。 对IP地址进行whois查询并联系ip-admin或滥用地址。 解释你所看到的,看看他们是否愿意提供任何信息。 他们不太可能希望托pipe一个命令和控制服务器,但他们可能不愿意共享信息。
鉴于这个特殊的地址,我不指望它运行一个STUN服务器。 这会导致我怀疑有关恶意软件。 调查至less一个有问题的设备,以查看哪个程序正在生成stream量。 ( netstat将在Unix / Linux上显示该程序,而Windows防火墙可能有一个允许stream量输出的规则)。如果这是一个合法的程序,那么我会怀疑configuration错误。 否则,您可能需要清理恶意软件感染。 如果正在传播,请断开所有生成SYN请求的设备。
当您运行SEP时,我怀疑这些系统正在运行Windows。 它可能能够识别发送stream量的程序。
wget https请求表示服务器当前正在被swarmcdn.com使用有没有人安装了Swarmifyvideo软件?
这听起来好像你正在描述一个已经在你的networking中的问题 – 在这种情况下,如果我是你,我会把工作站与所说的IP离线进行通信,以获得全面的病毒/恶意软件/等等检测,当然也是发现正在尝试与您所提及的知识产权进行沟通的东西 – 如果可能的话,试图确定与有问题的知识产权进行沟通的软件如何首先出现在所涉及的工作站上。