[PLUTO-security] Log preoccupanti

[Piviul]

Andrea Dinale wrote:
> Scusa l'invio frettoloso e non ho finito di scrivere.
altro che scusarti, ti ringrazio sei, come ti ho già detto, stato 
chiarissimo!!!
> Allora io farei un po' di prove per verificare la differenza di ttl tra i
> pacchetti con FIN/ACK e quelli con RST.Magari con hping forgia un pacchetto ACK ed invialo all'host remoto in
> porta 80, lui ti rispondera' con un RST e controlla il ttl di quello.Poi prova a pingare o fare traceroute e vedere il ttl che ottieni.

...dunque, credo se mi puoi assistere ci possa provare ma sono cose 
moolto al di sopra delle mie conoscenze. Anzitutto da dove mi consigli 
di agire: da una box all'interno della LAN può andar bene o credi sia 
meglio dalla DMZ? Tanto dovrebbe essere soltanto una questione di 
controllare le differenza di TTL... giusto?

Poi mi scrivi: /invialo all'host remoto in porta 80/ intendi ad un host 
specifico (ad esempio proprio il 207.68.178.238? tieni conto che se lo 
pingo non risponde!)?

infine non ho mai sentito parlare di hping; ora lo cerco e spero di 
essere in grado di creare un pacchetto ACK con hping.

> Sul fatto che il bridge sia stato permissivo nei confronti di quei
> pacchetti potrebbe essere perche` il bridge non si e' accorto che la
> connessione tra il tuo host e quello remoto e' caduta, ma se ne e' accorto
> il firewall.
e come mai?

> L'ipotesi che ho fatto e' che le 6 connessioni siano genrate da un unico
> host ed e' valorizzata dai numeri delle porte sorgente (molto vicini uno
> all'altro), e dal tempo (un intervallo di ~ 3s).
mi sembra veramente plausibile

> Se non ricordo male che setta ID=0 per tutti i RST e' linux > 2.4.20,
> pero' NON ne sono ASSULUTAMTE sicuro, [Maestro Fabio se ci sei batti un
> colpo:)].
ma quanto ne sai??!! in effetti è un 2.4.23

Vi terrò informati

Piviul