[Pluto-security] tentativo di attacco - forse

Fabio Panigatti pluto-security@lists.pluto.linux.it
Fri, 25 Oct 2002 12:25:06 +0200


> Oct 25 11:35:50 caronte kernel: *__NEW__*IN=eth0 OUT=
> MAC=00:10:4b:bb:66:e9:00:90:d0:32:dc:4f:08:00 SRC=80.135.26.151
> DST=192.X.X.X LEN=140 TOS=0x00 PREC=0x00 TTL=117 ID=27891 DF PROTO=TCP
> SPT=6699 DPT=1122 WINDOW=32604 RES=0x00 ACK PSH URGP=0
>      ^^^^                                    ^^^
>
> mi sa che tra i miei utenti c'è qualcuno che usa winmx :-(

Sulla 6699 viaggia napster. WinMX e' un peer anche per opennap e quindi
potrebbe essere lui. Se non ti vanno queste cose ti conviene mettere un
proxy applicativo e bloccare l'uscita con nat, cosi' non ci pensi piu'.
Tra l'altro, cosi', avresti anche potuto scoprire se qualcuno aveva poi
navigato davvero su 213.145.29.200 guardando nei log del proxy.

> ma cos'è PSH ???

Flag PUSH. Serve per far si che lo stack TCP/IP ricevente svuoti subito
il buffer di ricezione e invii il suo contenuto al kernel.


Fabio