SMURF ?? Cosa diamine è? (e anche LAND)

[temugin73]

Che l'altro pc dia problemi può darsi.

E' un'opzione da tenere in considerazione.
Anche se i log ci dicono che i TCP-DYN erano indirizzati alle porte di aMule e quindi poco dovevano avere a che fare con il portatile. Comunque...
Appena possibile controllerò le impostazioni del portatile con Vista per capire se è impostato su dhcp e in caso contrario lo indirizzerò alla bisogna..
Altrimenti indagherò ancora sul router.
Per adesso grazie mille a tutti.

[yves]

Bloccali tutti su di un IP fisso e almeno non ai dubbi, se vedi un IP "strambo" c'è qualcosa che non va.

Per la cronaca, un router che avevo era impostato sulla "wan" a 192.168.2.1 (sono in collegamento WiFi con il mio provider), avevamo visto entrambi stranezze nella connessione, poi abbiamo scoperto che in realtà il pazzoide si presentava con un IP 192.168.1.5, ora è nella pattumiera  (rotfl)

[temugin73]

Aggiornamenti..

Ieri pomeriggio lascio il pc con aMule attaccato fino a sera.
Adesso sto guardando i log del router.

Ieri sera:

2009-01-23  20:35:55 **Smurf** 217.202.115.255, 55513->> 192.168.2.102, 4662 (from PPPoE1 Inbound)
2009-01-23  20:35:49 **Smurf** 217.202.115.255, 55513->> 192.168.2.102, 4662 (from PPPoE1 Inbound)
2009-01-23  20:35:46 **Smurf** 217.202.115.255, 55513->> 192.168.2.102, 4662 (from PPPoE1 Inbound)
2009-01-23  20:12:53 **Smurf** 217.202.115.255, 54636->> 192.168.2.102, 4662 (from PPPoE1 Inbound)
2009-01-23  20:12:47 **Smurf** 217.202.115.255, 54636->> 192.168.2.102, 4662 (from PPPoE1 Inbound)
2009-01-23  20:12:44 **Smurf** 217.202.115.255, 54636->> 192.168.2.102, 4662 (from PPPoE1 Inbound)
2009-01-23  19:52:31 **Smurf** 217.202.115.255, 53751->> 192.168.2.102, 4662 (from PPPoE1 Inbound)
2009-01-23  19:52:25 **Smurf** 217.202.115.255, 53751->> 192.168.2.102, 4662 (from PPPoE1 Inbound)
2009-01-23  19:52:22 **Smurf** 217.202.115.255, 53751->> 192.168.2.102, 4662 (from PPPoE1 Inbound)
2009-01-23  19:31:31 **Smurf** 217.202.115.255, 8644->> 192.168.2.102, 51998 (from PPPoE1 Inbound)
2009-01-23  19:31:25 **Smurf** 217.202.115.255, 8644->> 192.168.2.102, 51998 (from PPPoE1 Inbound)
2009-01-23  19:31:22 **Smurf** 217.202.115.255, 8644->> 192.168.2.102, 51998 (from PPPoE1 Inbound)
2009-01-23  19:31:10 **Smurf** 217.202.115.255, 8644->> 192.168.2.102, 51998 (from PPPoE1 Inbound)
2009-01-23  19:31:04 **Smurf** 217.202.115.255, 8644->> 192.168.2.102, 51998 (from PPPoE1 Inbound)
2009-01-23  19:31:01 **Smurf** 217.202.115.255, 8644->> 192.168.2.102, 51998 (from PPPoE1 Inbound)
2009-01-23  19:27:10 **Smurf** 217.202.115.255, 52892->> 192.168.2.102, 4662 (from PPPoE1 Inbound)
2009-01-23  19:27:04 **Smurf** 217.202.115.255, 52892->> 192.168.2.102, 4662 (from PPPoE1 Inbound)
2009-01-23  19:27:01 **Smurf** 217.202.115.255, 52892->> 192.168.2.102, 4662 (from PPPoE1 Inbound)

Gli smurf indirizzati sulla porta 4662 sono ovviamente indirizzati ad aMule e l'IP di provenienza dovrebbe essere un qualche server tipo eDonkey2 o simili, per intenderci..
Mi pare un pochetto strano che lo stesso server provi per un po' a mandare i pacchetti (o segmenti) verso un'altra porta che non c'entra una fava, ma tant'è...  Succede anche ad altri?

Poi vedo la stranezza vera e propria:

2009-01-24  11:18:26 **Smurf** 169.254.255.255->> 169.254.120.178, Type:3, Code:3 (from PPPoE1 Outbound)
2009-01-24  11:18:24 **Smurf** 169.254.255.255->> 169.254.120.178, Type:3, Code:3 (from PPPoE1 Outbound)
2009-01-24  11:18:23 **Smurf** 169.254.255.255->> 169.254.120.178, Type:3, Code:3 (from PPPoE1 Outbound)
2009-01-24  11:18:21 **Smurf** 169.254.255.255->> 169.254.120.178, Type:3, Code:3 (from PPPoE1 Outbound)
2009-01-24  11:18:21 sending ACK to 192.168.2.101
2009-01-24  11:18:20 **Smurf** 169.254.255.255->> 169.254.120.178, Type:3, Code:3 (from PPPoE1 Outbound)

Stamattina il pc con Ubuntu era spento, ed infatti l'indirizzo IP che si collega (192.168.2.101)è quello del portatile con Vista.
Tale portatile, per inciso, non ha programmi P2P sopra... Quindi gli smurf non possono essere attribuiti a loro.
Invece i due indirizzi indicati nell'avviso di smurf non mi dicono nulla di nulla.
Qualcuno sa cosa possono indicare??
Intanto andrò a trovare i miei e chiedergli che stavano facendo, giusto per levarmi ogni dubbio.

EDIT: il pc, pur connettendosi di default al router, non è stato utilizzato sulla rete con programmi "coscienti". Anche se ovviamente sappiamo che ce ne sono una ventina che la usano in background.

Intanto ho beccato sta spiegazioncina sulla tipologia di indirizzi indicati nello smurf: http://www.lesswire.it/index.php/2008/0 ... nifica-ip/
e anche questa: http://it.wikipedia.org/wiki/Classi_di_indirizzi_IP

Pare ci sia un problema di comunicazione tra il router e il portatile con Vista: il portatile chiede un indirizzo dhcp ma non riceve risposta e quindi si autosetta un indirizzo IP privato. 
E via di nuovo a grufolare nel router...