[PLUTO-security] quando segnalare?
Luca Sollazzo
tailgunner75 a email.it
Ven 9 Apr 2004 00:53:31 CEST
Salve a tutti, avrei una domanda.... guardando nel log del firewall, ho visto di aver subito la bellezza di 3500 tentativi di connessione al mio indirizzo pubblico, sulla porta 3039, ed in particolare 430 provenienti da un singolo indirizzo ip, altre 330 da un un altro.... e 320 da un'altro ancora... ecc.
generalmente sono di pacchetti relativi a connessioni nuove (bit syn attivo), ecco il log relativo ad una di esse....
Apr 8 22:04:21 linux02 [IPTABLES DROP] : IN=ppp0 OUT= MAC= SRC=x.x.x.x DST=z.z.z.z LEN=48 TOS=00 PREC=0x00 TTL=112 ID=52511 CE DF PROTO=TCP SPT=64771 DPT=3039 SEQ=2942508408 ACK=0 WINDOW=64512 SYN URGP=0
in effetti non mi fanno danni... (oltre al riempirmi i log :) ) sul firewall non ho nessuna porta del genere aperta, e poi i pacchetti vengono tutti droppati.... quanto alla frequenza poi, diciamo che in media dai tre ai quattro nuovi pacchetti al minuto, ma diviso per quattro o cinque host la media scende a quattro connessioni in un minuto, poi 5-6 minuti di intervallo e ricomincia..
i valori a cui mi riferisco riguardano solo oggi, e mi stavo chiedendo... non sarà forse il caso di fare una segnalazione ai rispettivi provider? non so molto in merito a questo, non ho mai segnalato nessuno, ma c'è sempre una prima volta....
in quali casi bisogna fare una segnalazione? e quali sono le modalità? certo penso non si possa fare una segnalazione per ogni connessione strana ricevuta, (sarebbe assurdo) ma....
immagino poi si debba allegare una parte dei log...
mi farebbe piacere sentire altre opinioni al riguardo....
saluti,
Luca
p.s. ma cosa gira sulla 3039? su internet l'ho trovata catalogata come "cogitate Inc" ....
Maggiori informazioni sulla lista
pluto-security