Re: cos' questo? ping?
On Tue, Oct 14, 2003 at 12:25:12AM +0200, Andrea Capriotti wrote: Il lun, 2003-10-13 alle 23:42, Leonardo Canducci ha scritto: Oct 13 23:34:03 cervellone kernel: Dropping: IN=ppp0 OUT= MAC= SRC=192.168.100.1 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0xC0 TTL=1 ID=23579 PROTO=2 perchè dovrebbe forwardare dei pacchetti attraverso il mio IP? Questo _sembra_ traffico multicast. Forse è relativo alla gestione IGMP nel router del tuo ISP. ma il multicast non dovrebbe avere come dest xxx.xxx.xxx.0? cos'è IGMP? perchè continuo a vedere questi messaggi? Oct 13 23:37:34 cervellone kernel: Dropping: IN=ppp0 OUT= MAC= SRC=80.183.122.157 DST=80.183.122.239 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=55203 DF PROTO=TCP SPT=4715 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=0 ^^^ E' la porta tcp usata da windows per smb: # cat /etc/services | grep 445 microsoft-ds445/tcp # Microsoft Naked CIFS microsoft-ds445/udp # Microsoft Naked CIFS E, viste le vulnerabilità, direi che non sei il solo a loggare tentativi di accesso su quella porta: http://www1.dshield.org/port_report.php?port=445 ora guardo. grazie! dove trovo un po' di documentazione per capire l'output di questi log? fino a MAC, SRC, DST ci arrivavo, ma che DPT era la porta no. ciao e grazie -- Leonardo Canducci - [EMAIL PROTECTED] GPG Key ID: 429683DA
Re: cos' questo? ping?
On Tue, Oct 14, 2003 at 12:25:12AM +0200, Andrea Capriotti wrote: E, viste le vulnerabilità, direi che non sei il solo a loggare tentativi di accesso su quella porta: http://www1.dshield.org/port_report.php?port=445 Windows XP with port 445 open allows remote attackers to cause a denial of service (CPU consumption) via a flood of TCP SYN packets containing possibly malformed data. a quanto pare non l'avevo sparata troppo grossa! -- Leonardo Canducci - [EMAIL PROTECTED] GPG Key ID: 429683DA
Re: cos' questo? ping?
di strano trovo anche questo. la destinazione non è il mio IP e la sorgente invece è il ptp del mio modem. da ifconfig ppp0: (inet addr:80.183.122.xxx P-t-P:192.168.100.1 Mask:255.255.255.255) Oct 13 23:34:03 cervellone kernel: Dropping: IN=ppp0 OUT= MAC= SRC=192.168.100.1 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0xC0 TTL=1 ID=23579 PROTO=2 perchè dovrebbe forwardare dei pacchetti attraverso il mio IP? ad ogni modo continuo ad avere questi messaggi (ping?) anche dopo aver modificato le regole di iptables. ho tolto la parte relativa ai ping e ho aggiunto: $IPTABLES -A INPUT -p icmp -j ACCEPT #accetta i ping perchè continuo a vedere questi messaggi? Oct 13 23:37:34 cervellone kernel: Dropping: IN=ppp0 OUT= MAC= SRC=80.183.122.157 DST=80.183.122.239 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=55203 DF PROTO=TCP SPT=4715 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=0 ciao -- Leonardo Canducci - [EMAIL PROTECTED] GPG Key ID: 429683DA
Re: cos' questo? ping?
Alle 00:25, martedì 14 ottobre 2003, Andrea Capriotti ha scritto: E, viste le vulnerabilità, direi che non sei il solo a loggare tentativi di accesso su quella porta: magari è qualcuno a caccia di proxyastri... V. -- Noi difendiamo la libertà perché non si può consentire a chi è stato comunista di andare al governo. [Silvio Berlusconi, Convention di Forza Italia, 11/05/2003] (aggiunta chiedendomi che male ci sia nei comunisti)