[PLUTO-security] Log preoccupanti

Andrea Dinale andrea a dinale.it
Gio 16 Dic 2004 11:41:27 CET


Piviul said:

[SNIP]
>> Dec  1 09:01:03 rh-proxy kernel: New not syn: IN=eth1 OUT=
>> MAC=00:a0:c9:a2:95:3c:00:0c:ce:93:5b:f1:08:00 SRC=207.68.178.238
>> DST=172.16.0.3 LEN=40 TOS=0x00 PREC=0x00 TTL=237 ID=11101 PROTO=TCP
>> SPT=80 DPT=1535 WINDOW=8190 RES=0x00 ACK FIN URGP=0
[SNIP]


Cosi a caldo, senza molto ragionarci su...
Non e' possibile che sia la ritrasmissione di un FIN che il bridge fa
passare ed il firewall scarta??


Cmq cerchiamo di fare ordine :-)


- L'ip sorgente e' sempre lo stesso ed e' 207.68.178.238
  238.178.68.207.in-addr.arpa. 2455 IN    PTR     rad.msn.com.
  Quindi sembra essere un qualche servizio (su porta 80) di msn.com.
- Ti sono arrivati due tipi di pacchetti, degli ACK/FIN e dei RST
- Il ttl è un po' strano, infatti ci sono due diversi valori:
  237 e 248, (che stanno a 11 hup di distanza l'uno dall'altro).
  I pacchetti con il flag ACK/FIN settato hanno ttl a 237
  quelli con RST hanno ttl 248.
- Tutti i pacchetti sono arrivati in un range di tempo che va
  dalle 09:01:03 alle 09:01:06.
- Tutti i pacchetti con RST settato hanno ID=0
- Le porte di destinazione sono la 1530, poi dalla 1532 alla 1536,
  Sia i pacchetti ACK/FIN che gli RST, interessano tutte le porte.
  Cioe' per ogni porta sorgente vengono spediti due FIN/ACK e un RST.


Queste sono (IMHO) le informazioni utili che possiamo estrapolare dai log.

Cosi in prima analisi, senza tanto pensarci su..
C'erano 6 connessioni stabilite tra un tuo host e l'ip 207.68.178.238
S.PORT:1530 <--> D.PORT 80
S.PORT:1532 <--> D.PORT 80
S.PORT:1533 <--> D.PORT 80
S.PORT:1534 <--> D.PORT 80
S.PORT:1535 <--> D.PORT 80
S.PORT:1536 <--> D.PORT 80

L'host (tuo) che ha generato queste connessioni le ha anche chiuse.
Il tuo host ha avuto qualche problema ed ha troncato le connessioni senza
mandare ACK/FIN o FIN o RST.L'host remoto (207.68.178.238) ha aspettato il timeout e ti ha trasmesso 2
ACK/FIN, senza ricevere risposta, ed allora ha provveduto ha resettare.





Maggiori informazioni sulla lista pluto-security