[PLUTO-security] Log iptables, non mi tornano i conti!
Andrea Dinale
andrea at dinale.it
Tue Jul 15 17:08:10 CEST 2003
Alle 14:24, martedì 15 luglio 2003, Fabio Panigatti ha scritto:
> Si, soprattutto perche' e' abbastanza scontato che un firewall logghi
> il traffico sospetto e che abbia strumenti di rilevazione dei
> portscan. Inoltre il funzionamento degli idlescan e' basato sul fatto
> che l'host che viene sfruttato abbia scarso traffico, mentre e'
> facile che da un firewall passi sempre qualcosa.
Gia', non avevo tenuto contro delle altre connessioni possibili.
> Ora, questa cosa funziona se l'incremento dell'ID e' predicibile, e
> non random, come avviene con OpenBSD o altri sistemi operativi, e se
[CUT] ... [CUT]
> nmap usa solo TCP e quindi un RST o un SYN+ACK sollecitato dal dumb
> host, e non icmp, non funziona usando come dumb host un linux 2.4.
e qui si maniferìsta la mia ignoranza nei confronti dei vari stack
tcp/ip, ora ho capito cosa dicevi.
> > E perchè se fa il probe degli IP ID su una porta aperta si ritorna
> > al caso dell'idiota?
> > In toria anche se la porta è aperta dovrebbe cmq ritornare un RST
> > dallo zombie alla vittima?!?!, facendo il secondo ID probe sulla
> > porta aperta, ci si dovrebbe trovare ID+2 o sbaglio?
> > Mentre se la porta è chiusa ritorna un ID+1? giusto?
>
> Opss... mi sa che sapevi gia' come funziona l'idlescan... vabbe, la
> pappardella sopra la lascio lo stesso, ormai che l'ho scritta.
fatto bene, cosi ho meno dubbi :-)
> E' una scelta che funziona bene se le macchina non e' linux 2.4,
> perche se la porta e' aperta e' facile ritenere che il traffico li
> diretto non venga loggato. Ma se la macchina e' un linux si torna al
> problema dell'ID che e' sempre zero, e il gioco non funziona.
già, ora ci sono.
> > no, gli echo request che ci sono si possono contare su una mano
>
> E tutti vengono dal server? Non c'e' niente di correlabile con la
> scansione (per tempi, ad esempio) che venga da altre macchine?
nulla di correlabile, ma i log non sono esplicativi.
[CUT]
> >questi ci sono! quindi è più probabile sia un decoy proveniente da
> > nmap!
>
> Bene, forse ci siamo.
> > qui c'ero arrivato da solo :-)))
>
> Si si, l'avevo capito dal resto del post, ma avevi fatto un cenno al
> fatto che poteva essere un comportamento degli scanner tipo nmap e
> per un attimo pensavo che ti riferissi alla possiiblita' che quel
> pacchetto venisse _direttamente_ da nmap.
no, mi sono espresso male, intendevo un decoy-scan fatto con nmap ai
danni del server 2k, con l'ip del firewall come decoy.
> > Per questa volta l'ha fatta franca, ma la prossima arriva la
> > cazziata!
>
> Magari puoi mettere un IDS o un firewallino sul server windows, in
> modo da avere qualche info in piu' alla prossima marachella.
Gia' , hai qualche nome da consigliarmi? non me ne intendo molto di
firewall in ambiente windows, (so che non è in topic, ma è correlato al
thread).
Grazie ancora
Andrea
More information about the pluto-security
mailing list