Re: Re:IP Spoofing o BLASTER?

> I pacchetti che snort a loggato hanno come ip source 127.0.0.1 porta 80
> e come destinatario per il 50% la macchina su cui gira snort e per
> l'altro 50% degli ip pubblici della Lan che io gestisco.

Posta i log di snort (non un alert, il log... se ce l'hai). Anche in
presenza di switch vedere traffico come questo (i pacchetti iniziali
di connessioni relative ad altri host in rete) puo' essere normale e
dipende da un effetto combinato del tempo di persistenza delle entry
arp nella cache delle macchine e da quello delle entry nelle tabelle
dei mac address degli switch (se questo era uno dei tuoi dubbi).

> E' possibile che questi pacchetti in ingresso siano dei pacchetti
> Broadcast?

E' improbabile, ma non impossibile, specie se la tua maschera di rete
e' a piu' di 24 bit. Questo, ahi ahi, vorrebbe dire che il tuo router
lascia passare traffico destinato all'indirizzo ip di broadcast della
tua lan, cosa abbastanza discutibile. A meno che non si tratti di uno
scherzo o di un malfunzionamento del router. Se questo traffico viene
da internet, sarebbe abbastanza discutibile anche che il router lasci
entrare roba con ip sorgente di loopback, benche' meno grave.

> Ho provato ad effettuare un controllo incorciato snort-tcpdump, e ho noato
> che gli allert di snort li ritrovo nell'output di tcpdum solo se non ho
> impostato il flag "! broadcast"?

Mi spiego meglio: dato per assodato il meccanismo per cui ci si trova
a ricevere questo traffico, se un ip spoofato da blaster, che ora noi
vediamo come ip di destinazione del traffico, per caso e' l'indirizzo
di broadcast della nostra rete, questo viene inoltrato nella lan come
traffico destinato al mac address di broadcast e quindi il filtro bpf
! broadcast lo filtra via. Difficile che l'algoritmo usato da blaster
generi ip spoofati terminanti per 0 o 255, ma e' possibile che gli ip
generati siano l'indirizzo di broadcast per reti con maschera > 24 b.
In questo caso, pero', vedresti traffico con ip destinazione uguale a
quello di broadcast o di rete della tua rete e non degli host. Non e'
escluso che ci sia traffico sia di un tipo sia dell'altro e che nella
"analisi incrociata" tu abbia avuto a che fare, per coincidenza, solo
con quello destinato a ip di broadcast (fai altre analisi, magari).

E' inutile fare altre ipotesi al buio: posta un po' dei log di questo
traffico, completi degli header layer 2 (usa snort con le opzioni -ve
che fornisce gli header gia' decodificati). Sarebbe utile anche avere
dai su di questo traffico sull'interfaccia esterna del router.

> Chi invia questi pacchetti broadcast (se così son fatti)?

Un buontempone? :-) Un router malfunzionante? (visto [1]) Oppure vedi
sopra. Vedere i log puo' aiutare a dirimere la questione.

> Se fosse vera la spiegazione di Fabio Panigatti postata 17 settembre 2003, e
> questi pacchetti arrivassero realmente da intenet attaverso il roouter,
> perchè dovrebbero essere diretti alle macchine della mia LAN?

Non mi ricordo cosa ho scritto qui. Se non hai capito la spiegazione
del 17 prova a leggere la FAQ che san Max (aka firebeam) ha messo su
http://www.securfaq.usenet.eu.org/. Se, invece, hai gia capito quale
e' la causa in maniera corretta... vuole dire che sono io a non aver
capito bene la tua domanda :-) [2]


Fabio

[1] il traffico in uscita dall'interfaccia interna del router verso host
    spenti della rete veniva scritto sulla rete con mac address di bcast
    ed header ip e tcp corretti. Spento, riacceso, piu' fatto. Mah.
[2] oppure c'e' qualcosa di rilevante, in relazione alla topologia della
    tua rete, che hai omesso di descrivere, per cui e' curioso che entri
    siffatto traffico (che so: un nat sul border router).


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List