SMURF ?? Cosa diamine è? (e anche LAND)

[temugin73]

UP!

Nessuna suggerimento d'indagine??

E comunque non è detto che il problema riguardi la sicurezza, visto che il post è stato spostato qui, se non di sfuggita...

[yves]

Ma ai provato a vedere con il comando:

Codice: Seleziona tutto

nmap

se ti escono cose strambe? ai provato ad installare ed eseguire "rkhunter":

Codice: Seleziona tutto

sudo apt-get install rkhunter
sudo rkhunter --update
sudo rkhunter -c

non ai mica per abitudine di accedere alla sessione come "root"? e magari navigare in rete in quella condizione?

il wireless smette di funzionare é un pó vago, il PC Windows non trova il segnale? lo trova ma non si aggancia? lo trova si aggancia ma non naviga?..

[temugin73]

Il comando posso provare a darlo..

Ma il programma non è installato e per questo come anche per quanto riguarda l'installazione e l'utilizzo di rkhunter, mi piacerebbe almeno sapere prima cos'è e come si utilizza.

Il problema che viene segnalato dal pc windows che prova a collegarsi wireless al router è che il router non da nessuna risposta.

Invece nei post precedenti si può vedere che tipo di problema viene segnalato dal router stesso nei suoi log.

Non accedo mai alla sessione come root, nè tantomeno ci navigo..

[yves]

Scusa, fagianata, non "nmap" ma "netstat"  :-[
[url=http://"http://linuxcommand.org/man_pages/netstat8.html"]man[/url] di Netstat.

Codice: Seleziona tutto

sudo apt-get install netstat-nat

(424 Kb, lavora in console)
qui trovi alrtre info utili per netstat, in oltre c'é pure "lsof":
[url=http://"http://linuxcommand.org/man_pages/lsof8.html"]man[/url] di lsof.

Codice: Seleziona tutto

sudo apt-get install lsof

(108 Kb, lavora in console)
entrambi sono per analizzare il traffico in rete e cosa la usa, Wireshark credo si basi su quei programmi, quindi probabilmente sono giá installati, ma potrei sbagliarmi.

"rkhunter" é un tools che cerca eventuali "rootkit" nel sistema, non credo sia il casoma un analisi nn guasta di certo,man di Rkhunter.

Fai in oltre una prova, togli il router e collega il PC incriminato alla linea in arrivo, inserisci i dati della connessione e vedi se lo scherzo continua ad esserci, prova in oltre a resettare il router (attento che perdi tutte le impostazioni di connessione).

Ciao.

[temugin73]

Visto che Wireshark si basa su quegli stessi programmi, potrebbero bastare le indicazioni di wireshark?
Si dovrebbe solo capire cosa vogliono dire.

Quando parli di pc incriminato, di quale pc parli?
intendi il portatile con vista che si dovrebbe collegare via wireless?
funziona correttamente se lo connetto direttamente con il modem.

Ripeto, quando si avvia il pc con sistema ubuntu, il router non risponde più ai segnali wireless degli altri pc.
La manifestazione del problema è questa, ben definita.
Purtroppo.

[yves]

Visto che Wireshark si basa su quegli stessi programmi, potrebbero bastare le indicazioni di wireshark?
Si dovrebbe solo capire cosa vogliono dire.

Fai tu, il router che si impalla é il tuo, il mio va da dio, la mia idea era solo di fare una ricerca mirata, ma se Wireshark ti ha giá spiegato tutto, amen.. Wireshark non cerca di certo rootkit, Rkhunter si

Quando parli di pc incriminato, di quale pc parli?
intendi il portatile con vista che si dovrebbe collegare via wireless?
funziona correttamente se lo connetto direttamente con il modem.

qual é il PC che impalla il router? quello che ha sempre traffico in upload? ecc. ecc.

Ripeto, quando si avvia il pc con sistema ubuntu, il router non risponde più ai segnali wireless degli altri pc.
La manifestazione del problema è questa, ben definita.
Purtroppo.

questo lo abbiamo capito, cosa cerchiamo di scoprire é la causa..

[temugin73]

Fai tu, il router che si impalla é il tuo, il mio va da dio, la mia idea era solo di fare una ricerca mirata, ma se Wireshark ti ha giá spiegato tutto, amen.. Wireshark non cerca di certo rootkit, Rkhunter si

Non so cosa sia rootkit e volevo capire cosa si fa senza seguire pedissequamente istruzioni come una scimmietta. 
Comunque wireshark, che ho provato seguendo consigli avuti in questo post, mi risulta incomprensibile. Perchè dovrebbe essere diverso con questi altri programmi? ^^
Per questo necessito di spiegazioni più approfondite, per poter utilizzare gli strumenti che mi vengono consigliati.

qual é il PC che impalla il router? quello che ha sempre traffico in upload? ecc. ecc.

Perchè rispondere ad una domanda con un'altra domanda? Dimmelo e stop. 
Se il principale "scherzo" accusato è quello del router, se attacco la macchina con ubuntu direttamente al modem e stacco il router mi pare ovvio che il router staccato non possa impallarsi. E' spento.
Quindi non ho afferrato pienamente cosa mi hai suggerito di provare.
In pratica si tratta di collegare il pc al modem e poi controllarne il traffico con i programmi suggeriti?
E quali? Tutti oppure uno a scelta?

P.S. il reset del router l'ho già fatto due volte, provandone varie configurazioni, ma il risultato non cambia.

[temugin73]

Vabbè, visto che provando il pc con il cd live il problema non si presenta, piallo tutto salvandomi la home e via..
Può darsi che il problema dipenda dai cambi di scheda ethernet effettuati oppure da chissà cosa....
..E contrariamente a quanto suggerito da qualcuno, credo mi comprerò un bel paio di manuali su linux e le applicazioni che uso.
Almeno quando seguirò le istruzioni capirò cosa sto facendo, almeno spero.
Amen.
Grazie a tutti dell'interessamento.

[temugin73]

Ok...
Ci sono novità.

E sono interessanti per tutti, non solo per me in particolare, credo.

Ho reinstallato Ubuntu 8.04.1 sulla macchina oramai in perfetto ordine.
Ho scaricato ed effettuato tutti gli aggiornamenti.
Installati i programmi che si usano di solito, più o meno frequentemente, quali aMsn, aMule e Pan.

Il pc gira sul velluto e il router non presenta più malfunzionamenti. Per ora.
Evidentemente il pc aveva digerito male il cambio della scheda di rete e alcuni pastrocchi per tentare di risolvere vecchi problemi di crash.
Ottimo.

Ma...

Stamattina ho guardato di sfuggita i log del router ed ho individuata un'unica scritta SMURF, avvenuta ieri sera verso mezzanotte.

Purtroppo non ho avuto tempo di controllare i log del pc, cosa che farò nel pomeriggio, ma se dovesse dipendere dal pc sarebbe evidente che anche Ubuntu perfettamente settato può infastidire la rete.
Le porte per aMule sono aperte. Anche quella per Transmission, che comunque non ho usato, è aperta. Mi rimane solo da fissare le porte per Pan e aMsn, anche se non credo sia così necessario.
E dopo ricontrollare.

Perchè ho visto che l'adsl di Telecom ha problemi di portante: la linea saltella spesso e a volte sparisce per qualche minuto.
Comincio ad avere il sospetto che mentre i problemi alla rete wireless dipendevano da un malfunzionamento di Ubuntu, le segnalazioni di SMURF e di LAND possano invece dipendere dalla linea Telecom.
Inizio a sgrufolare nel forum alla ricerca di conferme..

[temugin73]

Stamane ho deciso di fare una prova ed ho lasciato il pc con amule attaccato, e le sue porte dedicate ovviamente aperte.
Adesso controllo i log del router e balzano all'occhio questi risultati:

2009-01-23  13:55:39 **TCP-SYN with data** 192.168.1.3, 3009->> 192.168.2.102, 4662 (from PPPoE1 Inbound)
2009-01-23  12:38:47 **TCP-SYN with data** 192.168.1.3, 1156->> 192.168.2.102, 4662 (from PPPoE1 Inbound)
2009-01-23  12:37:58 **TCP-SYN with data** 192.168.1.3, 1156->> 192.168.2.102, 4662 (from PPPoE1 Inbound)
2009-01-23  12:37:49 **TCP-SYN with data** 192.168.1.3, 1156->> 192.168.2.102, 4662 (from PPPoE1 Inbound)
2009-01-23  11:19:27 **Smurf** 213.103.132.255->> 192.168.2.102, Type:3, Code:3 (from LAN Outbound)
2009-01-23  10:35:52 **Smurf** 221.210.193.255->> 192.168.2.102, Type:3, Code:3 (from LAN Outbound)

Gli ultimi due, cioè i primi in ordine cronologico, riguardano sicuramente il pc con Ubuntu, identificato da 192.168.2.102, quindi probabilmente riguardano aMule oppure il gestore automatico degli aggiornamenti.
Dico questo perchè a quanto ne so erano gli unici due programmi utilizatori di banda ad essere attivi.
Oltretutto l'outbound presumo indichi la direzione in cui viaggiavano i dati, dal pc verso la rete.
Il codice di errore non lo conosco, cercherò.

Per quanto riguarda gli altri avvisi, che non avevo mai visto e sempre riguardanti il pc con Ubuntu, sono inbound e quindi dalla rete verso il pc.
Però l'ip di origine pare essere il router stesso, o qualcosa di similare. l'ip del router, come molti usrobotics, è 192.168.2.1.....



EDIT:
1)per lo smurf ho trovato delle risposte di questo tenore: http://bandaancha.eu/tema/985362/esto-ataque  ...
Pare che sporadicamente il programmi p2p possano essere interpretati dal router come attacchi.
E fin qui ci eravamo arrivati, la cosa non desta preoccupazione.
2)Molti lo sapranno già ma per me è una scoperta: i TCP-SYN sono i segmenti di una particolare trasmissione dati tra applicazioni ( http://it.wikipedia.org/wiki/SYN_(TCP)#Header_TCP ); in questo caso, dato il flag attivo, si potrebbe pensare a segmenti iniziali di sincronizzazione, ma in genere tali segmenti non hanno dati, al contrario di quanto segnalato.
Ad un'indagine più approfondita (basta leggere, sigh...) ho notato che le porte di ingresso dei segmenti corrisponde alle porte dedicate di aMule.
Quindi incontrovertibilmente il router ha segnalato gli arrivi dei segmenti iniziali di qualche file p2p..
'^^
Non si finisce mai di imparare.

[yves]

Una cosa mi suona strana, il tuo router è in 192.168.2.1, il PC Ubuntu è su 192.168.2.102, che ci fà un IP 192.168.1.3 in quella rete?

[temugin73]

Una cosa mi suona strana, il tuo router è in 192.168.2.1, il PC Ubuntu è su 192.168.2.102, che ci fà un IP 192.168.1.3 in quella rete?

Ti giuro, è quello che sto cercando di capire da mezzora..
Sto impazzendo sulla rete in cerca di notizie illuminanti.. '^^


P.S. Forse non c'entra nulla, ma siamo rimasti due giorni senza connessione, dopo mesi di problemi. Portante che va e viene e connessione idem, a prescindere dalla portante a volte. Meno di un mesetto fa c'erano problemi con i DNS..  Insomma la rete qui era incasinata. Forse hanno risolto, forse.

[yves]

no no, quello è un IP interno, o un PC tuo oppure un vicino con un WiFi (se ai un WiFi connesso alla tu rete.).

[utey]

Quello è un IP interno, controlla la netmask, può darsi che il dhcp del tuo router la imposti a 255.255.0.0 il che spiegherebbe come faccia a funzionare quell'indirizzo nella tua rete. è un comportamento anomalo ma non pregiudica il funzionamento della rete.

[temugin73]

no no, quello è un IP interno, o un PC tuo oppure un vicino con un WiFi (se ai un WiFi connesso alla tu rete.).

La rete wireless non è protetta, anche se è impostato il riconoscimento del nome SSID..
E' difficile che un vicino si colleghi, ma non impossibile: alla fine basta solo che azzecchi il nome della rete. ^^
Un pc collegato alla rete wifi effettivamente c'è: un portatile toshiba con sopra il rapidissimo Vista, che io non uso mai.
Lo usano i miei vecchi al piano di sopra e fratelli vari sporadicamente...e sta acceso e connesso mediamente 12 ore al giorno..
Quindi propenderei decisamente per quel pc, se non fosse che risulta regolarmente loggato al router con il suo bravo identificativo ip 192.168.2.101 ....
O no?

Intanto controllo la netmask..

EDIT:

INTERNET                                            Subnet Mask 255.0.0.0

Home Network (LAN)                          Subnet Mask 255.255.255.0

Wireless Router IP Address                  Subnet Mask      255.255.0

[yves]

Codice: Seleziona tutto

Wireless Router IP Address                  Subnet Mask      255.255.0

errore di battitura oppure Utey ha colpito nel segno, imposta decentemente quel router e vedrai meno stranezze  :P

[temugin73]

Codice: Seleziona tutto

Wireless Router IP Address                  Subnet Mask      255.255.0

errore di battitura oppure Utey ha colpito nel segno, imposta decentemente quel router e vedrai meno stranezze  :P

Ehm, colpito ed affondato... Devo solo trovare da dove cambiare le impostazioni e scoprire in cosa cambiarle..
Se non ho capito male devo rendere gli indirizzi della lan e del wireless uguali, tutti e due 255.255.255.0.. Corretto?

[utey]

Codice: Seleziona tutto

Wireless Router IP Address                  Subnet Mask      255.255.0

errore di battitura oppure Utey ha colpito nel segno, imposta decentemente quel router e vedrai meno stranezze  :P

Ehm, colpito ed affondato... Devo solo trovare da dove cambiare le impostazioni e scoprire in cosa cambiarle..
Se non ho capito male devo rendere gli indirizzi della lan e del wireless uguali, tutti e due 255.255.255.0.. Corretto?

Esatto.

[temugin73]

Uhm....

Sono andato a scoprire come cambiare la subnet mask ma una volta arrivato lì ho scoperto di aver letto male l'indirizzo, complice la scritta ultraminuscola della prima cifra.

In effetti la subnet mask lan e wireless corrispondono, e sono 255.255.255.0

Ora, posto che ho irrigidito i permessi sul router permettendo la connessione solo alle schede con MAC ID predefinito, non so che dire..
Provo a spulciarmi tutte le ozpioni del menu usrobotic in cerca di eventuali intrippi del tipo indicato.
Al limite domani faccio un'altra sessione di prova per vedere cosa mi dice.

[utey]

Allora i casi sono due: o tuo router tratta separatamente le reti wired e wireless assegnandogli due diversi indirizzi di rete e poi fa il controllo del traffico anche tra le due reti oppure uno dei pc è configurato con un'indirizzo statico sbagliato e collegandosi al riuter tenta di comunicare ma i suoi pacchetti vengono bloccati.