Salut!
Pe un server am remarcat asta in loage:
Oct 19 13:41:27 server kernel: Suspect TCP fragment.
Oct 19 13:41:27 server kernel: eth0 PROTO=6 24.61.142.121:0 my_ip:0 L=40 S=0x00 I=0
F=0x0001 T=237 (#0)
In sursele kernelului am gasit urmatoarea explicatie partiala:
src/linux/net/ipv4/ip_fw.c:
/*
* Don't allow a fragment of TCP 8 bytes in. Nobody
* normal causes this. Its a cracker trying to break
* in by doing a flag overwrite to pass the
* direction
* checks.
*/
Va rog sa-mi explicati un pic mai pe larg urmatoarele:
(1) Ce s-a incercat de fapt sa se faca aici? Exista vreu exploit cu modul
asta de lucru?
(2) Mesajul inseamna ca kernelul a sesizat incorectitudinea pachetului si
l-a dat dracului?
(3) Cum naiba de a trecut de firewall (ipchains/kernel 2.2.19/RH 6.2):
DENY tcp ------ anywhere anywhere any -> 0:1023
(firewall-ul nu a dat rateuri pana acum)
(4) Cat de tare tre sa fiu ingrijorat de mesaje de genul asta? E ceva ce
pot face (sunt cu update-urile la zi)
(5) Ce altceva imi mai puteti spune despre asta?
Va multumesc,
Radu Filip
---
Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to
unsubscribe from this list.
