SMURF ?? Cosa diamine è? (e anche LAND)

Sicurezza del sistema: firewall, antispam, antivirus, ssh, patch, bug, eccetera.
Avatar utente
temugin73
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 358
Iscrizione: domenica 4 maggio 2008, 21:14

Re: SMURF ?? Cosa diamine è? (e anche LAND)

Messaggio da temugin73 »

Che l'altro pc dia problemi può darsi.

E' un'opzione da tenere in considerazione.
Anche se i log ci dicono che i TCP-DYN erano indirizzati alle porte di aMule e quindi poco dovevano avere a che fare con il portatile. Comunque...
Appena possibile controllerò le impostazioni del portatile con Vista per capire se è impostato su dhcp e in caso contrario lo indirizzerò alla bisogna..
Altrimenti indagherò ancora sul router.
Per adesso grazie mille a tutti.
Ultima modifica di temugin73 il venerdì 23 gennaio 2009, 16:55, modificato 1 volta in totale.
Asus Maximus V Gene, Intel I5 3550, 8 GB RAM, WD-CG 320 GB Trusty Tahr, WD-CG 320 GB Seven.
Avatar utente
yves
Rampante Reduce
Rampante Reduce
Messaggi: 5422
Iscrizione: domenica 25 dicembre 2005, 2:23
Località: Argentina - BsAs
Contatti:

Re: SMURF ?? Cosa diamine è? (e anche LAND)

Messaggio da yves »

Bloccali tutti su di un IP fisso e almeno non ai dubbi, se vedi un IP "strambo" c'è qualcosa che non va.

Per la cronaca, un router che avevo era impostato sulla "wan" a 192.168.2.1 (sono in collegamento WiFi con il mio provider), avevamo visto entrambi stranezze nella connessione, poi abbiamo scoperto che in realtà il pazzoide si presentava con un IP 192.168.1.5, ora è nella pattumiera  (rotfl)
Al giorno d'oggi i cani di razza muovono la coda solo per interesse. Ma io sono un bastardo... Tuxliberty
Riscopri il PC, installa ed usa Linux ;-) - Linux != Windows Linux User # 16486 - Jabber: yvesBsAs@jabber.org
Avatar utente
temugin73
Scoppiettante Seguace
Scoppiettante Seguace
Messaggi: 358
Iscrizione: domenica 4 maggio 2008, 21:14

Re: SMURF ?? Cosa diamine è? (e anche LAND)

Messaggio da temugin73 »

Aggiornamenti..

Ieri pomeriggio lascio il pc con aMule attaccato fino a sera.
Adesso sto guardando i log del router.

Ieri sera:
2009-01-23  20:35:55 **Smurf** 217.202.115.255, 55513->> 192.168.2.102, 4662 (from PPPoE1 Inbound)
2009-01-23  20:35:49 **Smurf** 217.202.115.255, 55513->> 192.168.2.102, 4662 (from PPPoE1 Inbound)
2009-01-23  20:35:46 **Smurf** 217.202.115.255, 55513->> 192.168.2.102, 4662 (from PPPoE1 Inbound)
2009-01-23  20:12:53 **Smurf** 217.202.115.255, 54636->> 192.168.2.102, 4662 (from PPPoE1 Inbound)
2009-01-23  20:12:47 **Smurf** 217.202.115.255, 54636->> 192.168.2.102, 4662 (from PPPoE1 Inbound)
2009-01-23  20:12:44 **Smurf** 217.202.115.255, 54636->> 192.168.2.102, 4662 (from PPPoE1 Inbound)
2009-01-23  19:52:31 **Smurf** 217.202.115.255, 53751->> 192.168.2.102, 4662 (from PPPoE1 Inbound)
2009-01-23  19:52:25 **Smurf** 217.202.115.255, 53751->> 192.168.2.102, 4662 (from PPPoE1 Inbound)
2009-01-23  19:52:22 **Smurf** 217.202.115.255, 53751->> 192.168.2.102, 4662 (from PPPoE1 Inbound)
2009-01-23  19:31:31 **Smurf** 217.202.115.255, 8644->> 192.168.2.102, 51998 (from PPPoE1 Inbound)
2009-01-23  19:31:25 **Smurf** 217.202.115.255, 8644->> 192.168.2.102, 51998 (from PPPoE1 Inbound)
2009-01-23  19:31:22 **Smurf** 217.202.115.255, 8644->> 192.168.2.102, 51998 (from PPPoE1 Inbound)
2009-01-23  19:31:10 **Smurf** 217.202.115.255, 8644->> 192.168.2.102, 51998 (from PPPoE1 Inbound)
2009-01-23  19:31:04 **Smurf** 217.202.115.255, 8644->> 192.168.2.102, 51998 (from PPPoE1 Inbound)
2009-01-23  19:31:01 **Smurf** 217.202.115.255, 8644->> 192.168.2.102, 51998 (from PPPoE1 Inbound)
2009-01-23  19:27:10 **Smurf** 217.202.115.255, 52892->> 192.168.2.102, 4662 (from PPPoE1 Inbound)
2009-01-23  19:27:04 **Smurf** 217.202.115.255, 52892->> 192.168.2.102, 4662 (from PPPoE1 Inbound)
2009-01-23  19:27:01 **Smurf** 217.202.115.255, 52892->> 192.168.2.102, 4662 (from PPPoE1 Inbound)
Gli smurf indirizzati sulla porta 4662 sono ovviamente indirizzati ad aMule e l'IP di provenienza dovrebbe essere un qualche server tipo eDonkey2 o simili, per intenderci..
Mi pare un pochetto strano che lo stesso server provi per un po' a mandare i pacchetti (o segmenti) verso un'altra porta che non c'entra una fava, ma tant'è...  Succede anche ad altri?

Poi vedo la stranezza vera e propria:
2009-01-24  11:18:26 **Smurf** 169.254.255.255->> 169.254.120.178, Type:3, Code:3 (from PPPoE1 Outbound)
2009-01-24  11:18:24 **Smurf** 169.254.255.255->> 169.254.120.178, Type:3, Code:3 (from PPPoE1 Outbound)
2009-01-24  11:18:23 **Smurf** 169.254.255.255->> 169.254.120.178, Type:3, Code:3 (from PPPoE1 Outbound)
2009-01-24  11:18:21 **Smurf** 169.254.255.255->> 169.254.120.178, Type:3, Code:3 (from PPPoE1 Outbound)
2009-01-24  11:18:21 sending ACK to 192.168.2.101
2009-01-24  11:18:20 **Smurf** 169.254.255.255->> 169.254.120.178, Type:3, Code:3 (from PPPoE1 Outbound)
Stamattina il pc con Ubuntu era spento, ed infatti l'indirizzo IP che si collega (192.168.2.101)è quello del portatile con Vista.
Tale portatile, per inciso, non ha programmi P2P sopra... Quindi gli smurf non possono essere attribuiti a loro.
Invece i due indirizzi indicati nell'avviso di smurf non mi dicono nulla di nulla.
Qualcuno sa cosa possono indicare??
Intanto andrò a trovare i miei e chiedergli che stavano facendo, giusto per levarmi ogni dubbio.

EDIT: il pc, pur connettendosi di default al router, non è stato utilizzato sulla rete con programmi "coscienti". Anche se ovviamente sappiamo che ce ne sono una ventina che la usano in background.

Intanto ho beccato sta spiegazioncina sulla tipologia di indirizzi indicati nello smurf: http://www.lesswire.it/index.php/2008/0 ... nifica-ip/
e anche questa: http://it.wikipedia.org/wiki/Classi_di_indirizzi_IP

Pare ci sia un problema di comunicazione tra il router e il portatile con Vista: il portatile chiede un indirizzo dhcp ma non riceve risposta e quindi si autosetta un indirizzo IP privato. 
E via di nuovo a grufolare nel router...
Ultima modifica di temugin73 il sabato 24 gennaio 2009, 14:32, modificato 1 volta in totale.
Asus Maximus V Gene, Intel I5 3550, 8 GB RAM, WD-CG 320 GB Trusty Tahr, WD-CG 320 GB Seven.
Scrivi risposta

Ritorna a “Sicurezza”

Chi c’è in linea

Visualizzano questa sezione: 0 utenti iscritti e 2 ospiti