[PLUTO-security] Log preoccupanti

Andrea Dinale andrea a dinale.it
Gio 16 Dic 2004 12:04:34 CET


Andrea Dinale said:
[CUT]

> L'host (tuo) che ha generato queste connessioni le ha anche chiuse. Il
> tuo host ha avuto qualche problema ed ha troncato le connessioni senza
> mandare ACK/FIN o FIN o RST.L'host remoto (207.68.178.238) ha aspettato
> il timeout e ti ha trasmesso 2 ACK/FIN, senza ricevere risposta, ed
> allora ha provveduto ha resettare.


Scusa l'invio frettoloso e non ho finito di scrivere.
Allora io farei un po' di prove per verificare la differenza di ttl tra i
pacchetti con FIN/ACK e quelli con RST.Magari con hping forgia un pacchetto ACK ed invialo all'host remoto in
porta 80, lui ti rispondera' con un RST e controlla il ttl di quello.Poi prova a pingare o fare traceroute e vedere il ttl che ottieni.


Sul fatto che il bridge sia stato permissivo nei confronti di quei
pacchetti potrebbe essere perche` il bridge non si e' accorto che la
connessione tra il tuo host e quello remoto e' caduta, ma se ne e' accorto
il firewall.

L'ipotesi che ho fatto e' che le 6 connessioni siano genrate da un unico
host ed e' valorizzata dai numeri delle porte sorgente (molto vicini uno
all'altro), e dal tempo (un intervallo di ~ 3s).

Se non ricordo male che setta ID=0 per tutti i RST e' linux > 2.4.20,
pero' NON ne sono ASSULUTAMTE sicuro, [Maestro Fabio se ci sei batti un
colpo:)].

Prima di fasciarsi la testa:
- Qualcuno sa cosa gira su rad.msn.com nella porta 80??
  Non e' che potrebbe essere una cosa tipo msm, o qualche altra ciofeca
  microsoft??


Ciao
A





Maggiori informazioni sulla lista pluto-security