[PLUTO-security] Firewall bucato?
Andrea Dinale
andrea a dinale.it
Gio 26 Feb 2004 21:42:48 CET
Stefano Callegari wrote:
> Feb 26 15:31:53 server kernel: IPT INPUT bad_packet died: IN=eth1 OUT=
> MAC=00:10:a7:0a:74:32:00:c0:49:b2:2d:3b:08:00 SRC=80.117.208.181
> DST=192.168.0.6 LEN=40 TOS=0x00 PREC=0x00 TTL=119 ID=12207 PROTO=TCP
> SPT=3439 DPT=3238 WINDOW=0 RES=0x00 ACK RST URGP=0
> Feb 26 15:31:54 server kernel: IPT INPUT bad_packet died: IN=eth1 OUT=
> MAC=00:10:a7:0a:74:32:00:c0:49:b2:2d:3b:08:00 SRC=80.116.214.253
> DST=192.168.0.6 LEN=40 TOS=0x00 PREC=0x00 TTL=118 ID=33975 PROTO=TCP
> SPT=2171 DPT=3237 WINDOW=0 RES=0x00 ACK RST URGP=0
>
[CUT]
>
> I pacchetti droppati risultano abbastanza ripetitivi e quasi sempre
> sulle pił assurde porte, sempre >1024, e sempre con i flag ACK RST
> URGP=0 (pacchetto finale?) o ACK SYN URGP=0 (pacchetto iniziale?).
Il firewall Linux ha anche un ip publico asseganto? Oppure ce lo ha solo
il fw hardware?
La prima ipotesi che mi viene in mente... potresti essere un host zombie
di una idle scan fatta con nmap, (
http://www.insecure.org/nmap/idlescan.html ).
Hai detto di ricevere alcuni ACK SYN, significa che (se non sei stato
tu) qualcuno/qualcosa ha mandato un pacchetto con il tuo ip come
sorgente ed il flag SYN settato, se l'host di destinazione ha la porta
aperta rispondera con un SYN ACK, altrimenti con ACK RST, (come nei due
log sopra), se non ricordo male :-)
Pero' considerando che gli ip sorgente e le porte variano molto dovrebbe
essere una scansione fatta in una porzione di rete considerevolemnte
grande, e verso un range di porte altrettanto grande, quindi dovresti
trovare molte (qualche migliaio) di righe di log simili a quelle soprta,
differenti solo per ip sorgente e porta sorgente/destinazione
80.117.208.181 e 80.116.214.253, sono ip del pool di ip assegnati da
interbusiness alle adsl con ip dinamico, gli altri ip sorgente
appartengono tutti a questo range?
Prova a fare un grep dei soli ip sorgente, contare le istanze e vedere
se apprtengono tutti allo stesso range.
Idem per le porte sorgente.
ciao
Andrea
Maggiori informazioni sulla lista
pluto-security