[Pluto-security] tentativo di attacco - forse

[Dido]

Ciao!

>ho trovato questo log nel firewall:

Volce singola, o tanti ripetuti? In caso siano tanti, sempre la stessa DPT?


>Oct 24 12:27:03 caronte kernel: *__NEW__*IN=3Deth0 OUT=3D=20
>MAC=3D00:10:4b:bb:66:e9:00:90:d0:32:dc:4f:08:00 SRC=3D213.145.29.200=20
>DST=3D192.X.X.X LEN=3D52 TOS=3D0x00 PREC=3D0x00 TTL=3D115 ID=3D24208 DF=
 PROTO=3DTCP=20
>SPT=3D80 DPT=3D33067 WINDOW=3D32093 RES=3D0x00 ACK FIN URGP=3D0
>
>significa che qualcuno ha bucato il router (non molto difficile) ed ha=20
>cercato di entrare nel firewall.
>la porta di destinazione =E8 33067 tcp, vi dice nulla??? secondo voi =E8 un=
=20
>tentativo di intrusione, o solo una cazzata?

l'ip 213.145.29.200 corrisponde a un sito che hai visitato?
La porta 33067tcp =E8 quella su cui ascolta il protocollo rdesktop.. quindi=
 =E8=20
probabile che qualcuno stesse verificando se ha la porta aperta.
Innanzi tutto bisognerebbe sapere se iptables =E8 configurato per rigettare=
=20
le nuove connessioni, o no.
Il pacchetto droppato non =E8 di inizio connessione (manca il SYN), per cui:
- o appartiene a una connessione che tu hai precedentemente iniziato
- o =E8 stato manipolato.

Questa =E8 una tecnica che si utilizza, si manda un pacchetto di ack (che=20
quindi a un firewall non stateful sembra si risposta), con porta origine la=
=20
80 (molti firewall non stateful accettano di default il traffico=20
proveniente dalla 80), e porta di destinazione quella da testare: in base a=
=20
un eventuale pacchetto di risposta, sai in che stato =E8 la porta.=20
Fondamentalmente =E8 un port scan (lo puoi fare anche con nmap)...
Spero possa esserti di aiuto...

Dido