Re: info firewall

<premessa>
I Firewall hanno una connection table, che tiene traccia della connessione dal
SYN iniziale fino al FIN o RST finale.
</premessa>

Le possibilita' di cio' che possa essere accaduto secondo me sono 2:

a) Qualcuno dalla tua rete interna si e' collegato su http://vtin.virgilio.it (
   infatti come vedi la source port del pacchetto e' la 80 ), poi ha iniziato
   la procedura di chiusura della connessione inviando un pacchetto con flag FIN,
   che ha raggiunto il server web.

   Intanto per qualche ragione ( magari il client si e' scocciato di aspettare
   e ha chiuso la connessione con un RST, o il 3com e' stupido e si e' perso
   la connection table ) questa connessione e' stata rimossa dalla connection table,
   cosi' vtin si e' trovato a rispondere con pacchetti tcp con flag FIN su una
   connessione chiusa dal punto di vista del firewall .

b) Hai una ADSL con ip dinamico e quando ti sei collegato hai preso un ip che
   in precedenza si era collegato con vtin.virgilio.it e ti stai cuccando i
   FIN della sua ex-connesione .

Concludendo: Tin non ti sta' attaccando

On Thu, Dec 13, 2001 at 08:37:32AM +0100, borolev wrote:
> Salute a tutti:)
> Mi servirebbe una info su questo log di un firewall 3com superstack
> 12/12/2001 13:59:52.032 - Probable TCP FIN scan - Source:212.216.176.140,
> 80, WAN - Destination: xxx.xxx.xxx.xxx, 21484 LAN - -
> xxx ? l'indirizzo del firewaal
> Source:212.216.176.140, 80 ? l'ip di http://vtin.virgilio.it/
> Grazie a tutti per la collaborazione:))

-- 

Fabio Pietrosanti ( naif )
E-mail: naif@sikurezza.org - naif@blackhats.it
PGP Key (DSS) http://naif.itapac.net/naif.asc
--
 "Hacking is the future of security research" R.Power, CSI 
Free advertising: www.openbsd.org Multiplatform Ultra-secure OS

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List