[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
Archivio: Settembre 2003 ml@sikurezza.org Soggetto: Re: IP Spoofing o BLASTER? Mittente: Fabio Panigatti Data: 17 Sep 2003 16:23:31 -0000
Koba mi ha bocciato la risposta precedente per scarsa chiarezza. A questo punto provo rispondere direttamente a questo post. > Presa per buona l'ipotesi che ci sia un DNS che risolve windowsupdate.com > in 127.0.0.1 il PC infetto forgia dei pacchetti fatti così: > > Source IP: I primi due ottotti sono quelli del PC infetto gli ultimi due > sono random porta a caso fra 1000 e 1999 > Destination IP: 127.0.0.1 porta 80 > Il pacchetto così fatto viene spedito in rete. Piu' o meno dovrebbe essere cosi'. > Il primo apparato di rete che lo riceve [...] Il primo apparato di rete che riceve il pacchetto e'... l'interfaccia di loopback della macchina infetta. Il pacchetto di risposta avra' ip sorgente 127.0.0.1 e verra' instradato fino all'host di destinazione (l'ip spoofato costruito come sopra). > [...] non avendo un web server attivo risponde con i pacchetti che vedo > su snort. Risponde all'IP sorgente che trova nel pacchetto. Potrebbe anche avere un server web, e si vedrebebro dei SYN/ACK invece dei RST, ovviamente. > L'unico dubbio che ancora mi rimane, è perché iptables non mi logga tali > pacchetti. [Qui copio dal mio primo post, correggendo quello che forse erano gli errori o i punti poco chiari. Spero che ora sia OK] Ma 'sti pacchetti che non vengono loggati da netfilter sono destinati al MAC address dell'host che esegue netfilter o ad altri? Prova a postare qualche dump dei pacchetti di snort, compresi dell'intestazione del layer 2, e il MAC address delle interfacce su cui filtra netfilter. Un'altra possibilita' e' che il '-J' che hai postato non sia un typo nella stesura della mail ma sia anche nello script di configurazione, e che i pacchetti che cerchi passino proprio dalla catena di INPUT. primo post> Un amico del LUG di Trento ha trovato questi pacchetti marcati primo post> come martian source sul suo log. Ha una adsl con ip dinamico. 127.0.0.1 non puo' essere un ip sorgente di un pacchetto che arriva su una interfaccia che non sia quella di loopback, da cui il messaggio. Se tu non li vedi come martian e' perche' non hai attivato i controlli o il log di questo tipo di traffico "anomalo". Fabio ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
[ Home | Liste | F.A.Q. |
Risorse | Cerca... ]
www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005