[PLUTO-security] Log iptables, non mi tornano i conti!
Andrea Dinale
andrea at dinale.it
Fri Jul 11 11:56:08 CEST 2003
Ho scoperto dell'attività di rete loggata da iptables (quasi 10000 rige
di log!) alla quale non so dare una spiegazine, non è che mi date una
mano ad interpretare sta cosa?
inizio: 10/07/03 (ieri) alle 10.43.46
fine: 10/07/03 (ieri) alle 10.44.38
indirizzo sorgente: server w2k in lan che NON offre servizi all'esterno
destinazione: linux box che fa da router firewall
questa è la prima riga:, ed è unica nel suo genere
Jul 10 10:43:46 caronte kernel: IN=eth2 OUT=
MAC=00:08:a1:18:10:f7:00:02:55:22:aa:5c:08:00 SRC=x.x.x.x DST=y.y.y.y
LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=3116 PROTO=TCP SPT=80 DPT=61494
WINDOW=0 RES=0x00 RST URGP=0
le altre sono quasi tutte cosi
Jul 10 10:43:47 caronte kernel: IN=eth2 OUT=
MAC=00:08:a1:18:10:f7:00:02:55:22:aa:5c:08:00 SRC=x.x.x.x DST=y.y.y.y
LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=3642 PROTO=TCP SPT=902 DPT=61474
WINDOW=0 RES=0x00 ACK RST URGP=0
solo che ad un certo punto cambia la porta di destinazione in 61593
ogni tanto si presenta qualche riga identica in tutto tranne in URGP che
assume altri valori, mentre di solito è a 0
un'altra riga un po' diversa dalle solite è:
Jul 10 10:43:47 caronte kernel: IN=eth2 OUT=
MAC=00:08:a1:18:10:f7:00:02:55:22:aa:5c:08:00 SRC=x.x.x.x DST=y.y.y.y
LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=3643 PROTO=TCP SPT=848 DPT=61474
WIPT=1487 DPT=61474 WINDOW=0 RES=0x00 ACK RST URGP=0
cosa è quel WIPT=1487 ???
poi c'è qualche icmp.
ci sono delle altre righe un po' diverse, ma non voglio tediarvi oltre.
Molto probabilmente si tratta di un falso positivo, solo che non so a
cosa attribuire questo traffico.
TIA
Andrea
More information about the pluto-security
mailing list