R: Log Firewall

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Settembre 2003 ml@sikurezza.org
Soggetto: R: Log Firewall
Mittente: Massimliano Vaini
Data: 17 Sep 2003 16:24:08 -0000

anche io avevo tracciato i vari IP e a me risultavano provenire dall'IRAN
l'attività è continua da parecchi giorni. Sempre con Indirizzi IP diversi per ogni echo e apparentemente random non consecutivi, non so capire se da host diversi.
Avevo intenzione di contattare 'l'altra parte' ma sono rimasto titubante per via del grande range di indirizzi sorgente utilizzati.
Forse alla fine si tratta solo di qualche router configurato male, d'altronde da neofita analizzando i log ultimamente mi sembra di capire che gli stessi router degli ISP a volte sparano pacchetti a volontà sulla stessa catena dei loro clienti.

Grazie
Max

-----Messaggio originale-----
Da: Fabio Panigatti [mailto:ml-panigatti@xxxxxxxxxxxxx]
Inviato: giovedì 11 settembre 2003 11.26
A: ml@xxxxxxxxxxxxx
Oggetto: Re: Log Firewall

[ecc. ecc.]
> 4 |09/08/2003 19:59:58 |217.219.x.p |192.168.1.2 =|ACCESS BLOCK
> Firewall default policy: ICMP (W to L, type:8, code:0)
[ecc. ecc.]

Hai scritto qualcosa di antiislamico? :-)

Curioso. Gli ip sorgente magari avrebbero potuto aiutare, come dei dettagli
sul pacchetto ICMP (che temo che il tuo firewall non renda disponibili): la
lunghezza e il payload potrebbero escludere o confermare qualche ipotesi.

Non m'e' ben chiaro se questa attivita' e' continua, con un echo ogni pochi
secondi, o questi 23 pacchetti sono un burst e poi non c'e' piu' niente per
qualche tempo. E anche se gli host sorgente son sempre quelli o cambiano e,
nel primo caso, se ci sono dei pattern riconoscibili.

Mi viene in mente un welchia che ha impestato una rete, o dei device di net
management malconfigurati, ma anche la sfera di cristallo ha i suoi limiti.
Un decoy ping sweep mi sembra meno probabile... ma al giorno d'oggi si vede
di tutto :-)

> non ho idea di come agire

Sentirei chi sta dall'altra parte del cavo, possibilmente un amministratore
delle macchine coinvolte (se esiste ed e' rintracciabile). Se e' un flood e
limita gravemente la tua banda, puoi sentire il tuo isp per far filtrare il
traffico sui suoi router (forse).

Fabio

<children don't do this at home>
PS: se sei proprio curioso puoi provare a far rispondere un echo reply a un
ip dei tuoi, e poi vedere che cosa succede. Se e' welchia e' meglio che
l'ip non sia di un windows non patchato ;-)
</children don't do this at home>

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

Messaggi successivi:
- Re: Log Firewall, Fabio Panigatti

Data:
- precedente: R: makejail per apache in Debian Woody, McAteo
- successivo: Re: efs, Max
- indice

Argomento:
- precedente: Re: verifiche html (?), Lino Polo
- successivo: Re: Log Firewall, Fabio Panigatti
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005