como libero puertos..urgente.. ataque internet o virus?

Si se alcanza el limite de puertos usados, estas omitiendo los datos mas
importantes y estos son: el sentido de la comunicacion (desde internet o
desde la red interna), el puerto o puertos usados, y el mas importante, el
estado de los puertos: ESTABLISHED, TIME_WAIT, FIN_WAIT_1, FIN_WAIT_2, etc
. Los datos que has proporcinado no permiten determinar si se trata, por
poner un simple ejempo, de un DoS basado en sync flooding...
Un virus o gusano en tu red interna podria provocar esto. Si no estas
publicando ningun servicio y el el interface externo no hay ningun puerto en
escucha (hay filtrado y esta todo "cerrado"), es mas que posible que el
problema lo tengas en la red interna.

Un saludo.
Ivan
MS MVP ISA Server

"Carlos" escribió en el mensaje
news:

al ejecutar en el isa el comando netstat -an observo que los puertos se
estan
abriendo consecutivamente y cuando llega al ultimo puerto pierdo conexion
a
internet..ya ejecute antivirus de mcaffe - norton - ca y ninguno reporta
nada..tambien antispyware y no se encuentra nada malicioso..quiero liberar
los puertos mientras que encuentro la solucion o averiguo que es lo que
genera este comportamiento...como libero los puertos?

asi se ve al ejecutar el netstat -an
Proto Local Address Foreign Address State
TCP 172.170.100.26:39344 0.0.0.0:0 LISTENING
TCP 172.170.100.26:39345 0.0.0.0:0 LISTENING
TCP 172.170.100.26:39346 0.0.0.0:0 LISTENING
TCP 172.170.100.26:39347 0.0.0.0:0 LISTENING
TCP 172.170.100.26:39348 0.0.0.0:0 LISTENING
TCP 172.170.100.26:39349 0.0.0.0:0 LISTENING
TCP 172.170.100.26:39350 0.0.0.0:0 LISTENING
TCP 172.170.100.26:39352 0.0.0.0:0 LISTENING
TCP 172.170.100.26:39353 0.0.0.0:0 LISTENING

gracias por la oclaboracion...te comento lo siguiente:
el sentido de la comunicacion no podria determinarlo ya que el servidor es
el proxy...
el estado de los puertos es LISTENING.
si me puedes indicar de que forma puedo obtener mas informacion o a donde te
puedo remitir los archivos completos del resultado del netstat.. porfavor
indicamelo..
otra cosa al revisar que archivo es el que genera la apertura de los puertos
con el Fport
es wspsrv.exe
gracias

Pues es imposible que tengas 65535 puertos en listening, creo que estas
mal interpretando al resultado de netstat.
wspsrv.exe es el propio ISA. El sentido de la comunicacion es facil de
determinar, por ejemplo:

Estas entradas indican que un servicio esta en escucha en todas las
interfaces de red si la maquina en cuestion dispone de mas de un adaptador
de red.

TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:443 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:902 0.0.0.0:0 LISTENING
TCP 0.0.0.0:912 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:5900 0.0.0.0:0 LISTENING

Estas entrada indican que solo esta escuchando en la interface 172.26.0.200
puerto 139 TCP

TCP 172.26.0.200:139 0.0.0.0:0 LISTENING

Estas entradas indican dos conexiones con el servidor de noticias de
Microsoft 207.46.248.16 con puerto destino 119, desde la maquina local con
puerto origen 1030 y 1031 TCP

TCP 172.26.0.200:1030 207.46.248.16:119 ESTABLISHED
TCP 172.26.0.200:1031 207.46.248.16:119 ESTABLISHED

Si quieres enviame a mi correo la salida de netstat (netstat -na

fichero.txt).

Un saludo.
Ivan
MS MVP ISA Server

"Carlos" escribió en el mensaje
news:

gracias por la oclaboracion...te comento lo siguiente:
el sentido de la comunicacion no podria determinarlo ya que el servidor es
el proxy...
el estado de los puertos es LISTENING.
si me puedes indicar de que forma puedo obtener mas informacion o a donde
te
puedo remitir los archivos completos del resultado del netstat.. porfavor
indicamelo..
otra cosa al revisar que archivo es el que genera la apertura de los
puertos
con el Fport
es wspsrv.exe
gracias

envio el archivo a la cuenta de hotmail?

"Ivan [MS MVP]" escribió:

Pues es imposible que tengas 65535 puertos en listening, creo que estas
mal interpretando al resultado de netstat.
wspsrv.exe es el propio ISA. El sentido de la comunicacion es facil de
determinar, por ejemplo:

Estas entradas indican que un servicio esta en escucha en todas las
interfaces de red si la maquina en cuestion dispone de mas de un adaptador
de red.

TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:443 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:902 0.0.0.0:0 LISTENING
TCP 0.0.0.0:912 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:5900 0.0.0.0:0 LISTENING

Estas entrada indican que solo esta escuchando en la interface 172.26.0.200
puerto 139 TCP

TCP 172.26.0.200:139 0.0.0.0:0 LISTENING

Estas entradas indican dos conexiones con el servidor de noticias de
Microsoft 207.46.248.16 con puerto destino 119, desde la maquina local con
puerto origen 1030 y 1031 TCP

TCP 172.26.0.200:1030 207.46.248.16:119 ESTABLISHED
TCP 172.26.0.200:1031 207.46.248.16:119 ESTABLISHED

Si quieres enviame a mi correo la salida de netstat (netstat -na
>fichero.txt).

Un saludo.
Ivan
MS MVP ISA Server

"Carlos" escribió en el mensaje
news:
> gracias por la oclaboracion...te comento lo siguiente:
> el sentido de la comunicacion no podria determinarlo ya que el servidor es
> el proxy...
> el estado de los puertos es LISTENING.
> si me puedes indicar de que forma puedo obtener mas informacion o a donde
> te
> puedo remitir los archivos completos del resultado del netstat.. porfavor
> indicamelo..
> otra cosa al revisar que archivo es el que genera la apertura de los
> puertos
> con el Fport
> es wspsrv.exe
> gracias
>
>
>

ya envie los archivos a la cuenta de hotmail acontinuacion envio el
estado actual y yo veo que ya tiene abiertos los puertos casi hasta los 54000
TCP 172.170.100.26:53976 0.0.0.0:0 LISTENING
TCP 172.170.100.26:53977 0.0.0.0:0 LISTENING
TCP 172.170.100.26:53978 0.0.0.0:0 LISTENING
TCP 172.170.100.26:53979 0.0.0.0:0 LISTENING
TCP 172.170.100.26:53980 0.0.0.0:0 LISTENING

"Ivan [MS MVP]" escribió:

Pues es imposible que tengas 65535 puertos en listening, creo que estas
mal interpretando al resultado de netstat.
wspsrv.exe es el propio ISA. El sentido de la comunicacion es facil de
determinar, por ejemplo:

Estas entradas indican que un servicio esta en escucha en todas las
interfaces de red si la maquina en cuestion dispone de mas de un adaptador
de red.

TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:443 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:902 0.0.0.0:0 LISTENING
TCP 0.0.0.0:912 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:5900 0.0.0.0:0 LISTENING

Estas entrada indican que solo esta escuchando en la interface 172.26.0.200
puerto 139 TCP

TCP 172.26.0.200:139 0.0.0.0:0 LISTENING

Estas entradas indican dos conexiones con el servidor de noticias de
Microsoft 207.46.248.16 con puerto destino 119, desde la maquina local con
puerto origen 1030 y 1031 TCP

TCP 172.26.0.200:1030 207.46.248.16:119 ESTABLISHED
TCP 172.26.0.200:1031 207.46.248.16:119 ESTABLISHED

Si quieres enviame a mi correo la salida de netstat (netstat -na
>fichero.txt).

Un saludo.
Ivan
MS MVP ISA Server

"Carlos" escribió en el mensaje
news:
> gracias por la oclaboracion...te comento lo siguiente:
> el sentido de la comunicacion no podria determinarlo ya que el servidor es
> el proxy...
> el estado de los puertos es LISTENING.
> si me puedes indicar de que forma puedo obtener mas informacion o a donde
> te
> puedo remitir los archivos completos del resultado del netstat.. porfavor
> indicamelo..
> otra cosa al revisar que archivo es el que genera la apertura de los
> puertos
> con el Fport
> es wspsrv.exe
> gracias
>
>
>