SMURF ?? Cosa diamine è? (e anche LAND)

[temugin73]

Allora...
Vado a controllare sul router (usrobotics) per capire come mai non fa connettere il portatile wireless con sopra Vista... Vista mi dice che il router non gli risponde, ma il router stesso fa viaggiare tranquillamente la macchina da cui scrivo, un pc vecchiotto con sopra solo ubuntu 8.04 collegato tramite cavo lan.
Guardo i log del router e noto questa cosa:

2009-01-10  17:46:04 **Smurf** 217.201.155.255, 31996->> 79.42.80.143, 10005 (from PPPoE1 Inbound)

Ora, cosa diamine è uno Smurf ?? O_o

Ho trovato un riferimento sulla wikipedia inglese, ma è una lingua di cui non afferro le finezze (per non dire che la capisco a metà)..

Se qualcuno ne sa di più ed ha piacere di spiegarmelo..
Non si smette mai di imparare.. :P
Grazie!!

[[lost]-Divilinux]

lo smurf e' una tecnica hacker che consiste nell'inviare una grande quantita' di dati da una macchina all'altra con l'intento di bloccare i servizi di quest'ultima. Ma spesso il router interpreta il traffico di rete in maniera del tutto errata..specie se si fa largo uso di software p2p

http://en.wikipedia.org/wiki/Smurf_attack

[kelev]

Meno dettagliato rispetto a quello inglese http://it.wikipedia.org/wiki/Smurf_attack

[temugin73]

Ok..
Ma nel mio caso questo disturbo potrebbe essere la causa della mancata risposta del router alle richieste del portatile?
Oppure sono due eventi non connessi?

[[lost]-Divilinux]

Ok..
Ma nel mio caso questo disturbo potrebbe essere la causa della mancata risposta del router alle richieste del portatile?
Oppure sono due eventi non connessi?

Si che potrebbe..anzi probabilmente lo e'

[temugin73]

visto che mi pare alquanto improbabile che qualcuno cerchi di bloccare i miei pc o il mio router con un attacco smurf, credete che sia possibile evitare questa sorta di auto-difesa del router?

Grazie delle risposte, andrò comunque a grufolare nel sito della casa madre.. ^^

[[lost]-Divilinux]

mha .. a me e' successo una volta in assistenza domiciliare di dover disattivare i logs di un netgear perche' ne avevano saturato la memoria (un router e' essenzialmente un computer con un sistema operativo, o firmware che dir si voglia). Prova a fare lo stesso

[temugin73]

"disattivare i log" è una procedura che mi risulta di difficile comprensione..
E' possibile farlo?
Invece cancellarli è più facile e l'ho appena fatto.
Se la strada da seguire è questa, appena risolvo lo segnalo.

[[lost]-Divilinux]

non conosc il tuo modello di router..ma ci dovrebbe essere un opzione che disattiva i log da parte del router stesso..

[temugin73]

L'opzione non l'ho ancora trovata (solo disattiva firewall), ma nel frattempo sono apparse un fottio di queste simpatiche scritte:

2009-01-12  22:02:41 **LAND** 87.18.81.39, 40670->> 87.18.81.39, 6891 (from PPPoE1 Inbound)

Che diamine è?  Possibile che veramente ci siano dei buontemponi che hackano il mio router, magari inconsapevolmente?  O_o

[temugin73]

Comunque a quanto pare quando il router è connesso via lan con il pc ubuntuiano, il wireless smette di funzionare.

[[lost]-Divilinux]

e' per quello che secondo me ci deve essere qualche servizio che fa tipo flooding
Per controllare il traffico devi installare un programma come wireshark

[temugin73]

e' per quello che secondo me ci deve essere qualche servizio che fa tipo flooding
Per controllare il traffico devi installare un programma come wireshark

Lo faccio subito... ma come si usa e a cosa serve?

[[lost]-Divilinux]

anche senza essere degli esperti analizzatri di reti..si capisce dal movimento di pacchetti all'interno della LAN se qualcosa non funziona..Li vedi tutte le comunicazioni interne ed esterne dei vari dispositivi della rete (router, server, switch, workstation etc..)
Una guida in italiano:

http://www.areanetworking.it/index_docs ... da_lezione

[temugin73]

La guida non è completa.. E infatti, pur avendo capito il senso delle lezioni (ci ho messo un paio di ore..) non sono sicuro di riuscire ad interpretare i dati catturati da wireshark.
Però gli errori sono segnalati in rosso, e li riporto:
User Datagram Protocol, Src Port: 49856 (49856), Dst Port: 46384 (46384)
Source port: 49856 (49856)
Destination port: 46384 (46384)
Length: 1300
Checksum: 0xa86c [incorrect, should be 0xe419 (maybe caused by "UDP checksum offload"?)]
Good Checksum: False
Bad Checksum: True

Quindi mi chiedo cosa possa essere questo "UDP checksum offload"..

[temugin73]

Ho notato un'altra cosa..
Se guardo il monitor di sistema mi dice che la mia macchina è sempre in upload, di circa 180 KB/s..
Questo probabilmente da quando gli ho cambiato la scheda di rete, che era difettosa, perchè prima son sicuro che non lo facesse.
Le cose possono essere collegate?
E come si può pensare di risolvere, o dove conviene cominciare a guardare?

[[lost]-Divilinux]

Codice: Seleziona tutto

2009-01-12  22:02:41 **LAND** 87.18.81.39, 40670->> 87.18.81.39, 6891 (from PPPoE1 Inbound)

Qui sembra un indirizzo ip di quelli che utilizza telecom. Mentre la porta 6891, se non dico una fesseria, dovrebbe essere legata ai software di p2p e torrent in particolare.
Non stai usando software di p2p vero? nemmeno un bit-torrent che gira in background...

[temugin73]

Al momento della registrazione del pacchetto il torrent non era attivo...
ho attaccato solo amsn, firefox e per poco tempo amule, se non erro, che utilizza porte differenti.
Ho controllato e anche Transmission usa una porta differente, che ho aperto apposta sul router.

Intanto il fenomeno continua....

2009-01-15  14:04:01 **Smurf** 217.202.15.0, 19838->> 82.55.92.135, 37381 (from PPPoE1 Inbound)
2009-01-15  14:02:01 **Smurf** 217.202.15.0, 19838->> 82.55.92.135, 37381 (from PPPoE1 Inbound)

2009-01-14  21:09:06 **LAND** 79.32.80.118, 49316->> 79.32.80.118, 6891 (from PPPoE1 Inbound)
2009-01-14  15:38:23 **LAND** 79.32.80.118, 37579->> 79.32.80.118, 6891 (from PPPoE1 Inbound)
2009-01-14  15:29:16 **LAND** 79.32.80.118, 53130->> 79.32.80.118, 6891 (from PPPoE1 Inbound)
2009-01-14  15:29:13 **LAND** 79.32.80.118, 53130->> 79.32.80.118, 6891 (from PPPoE1 Inbound)
2009-01-14  14:28:04 **LAND** 79.32.80.118, 39707->> 79.32.80.118, 6891 (from PPPoE1 Inbound)

[[lost]-Divilinux]

scrivi il modello del router. si cerca il manuale e si legge dove si disabilitano i log (se si puo')

[temugin73]

Ricapitolando:

Ubuntu 8.04.1 su asus a7a266-e, athlon xp 2000+ viaggiante a 1350 Mhz, con 1,5 GB di RAM 100Mhz e 300 GB di hdd.
Router usrobotics 5463 wireless, connesso alla macchina tramite lan.

Quando la macchina con ubuntu, che è collegata via lan al router, è accesa, il router stesso smette di funzionare in wireless per gli altri pc.
I log del router danno segni di SMURF e di LAND, apparentemente non collegati a programmi P2P.
La macchina con ubuntu, a cui è stata sostituita la scheda di rete, risulta sempre essere in upload, anche con tutti le utilità internet disattivate (almeno quelle non automatiche).
Wireshark segnala un errore, che però io non capisco.

Questi i dati, ad ora.

P.S. il manualetto ce l'ho, ma non c'è scritto nulla a proposito del settaggio.