[MASOCH-L] Iptables: pacotes "estranhos" com ACK SYN URPG=0 setados e pings suspeitos

casfre at gmail.com casfre at gmail.com
Sun Feb 10 16:04:36 BRST 2008


Pessoal,

     Não sei se deveria perguntar na GTER, mas estou precisando de
ajuda para "entender" as possíveis causas para a seguinte linha de log
do iptables ( Slackware 11.0.0 ):

Feb  8 18:52:19 firewall kernel: filter FORWARD DROP UNAUTH: IN=eth0 OUT=eth2
SRC=85.111.0.240 DST=201.x.x.x LEN=40 TOS=0x00 PREC=0x00 TTL=50 ID=13915
PROTO=TCP SPT=80 DPT=1024 WINDOW=0 RES=0x00 ACK SYN URGP=0

     Onde:

    -eth0 -> iface conectada a um roteador e dali para a internet.
Possui IP 201.y.y.y
    -eth2 -> iface da DMZ. Possui um IP no range 201.x.x.x
    -o forward de eth0 para eth2, salvas exceções explícitas, só é
permitido através de uma regra -m state --state RELATED, ESTABLISHED.
    -o forward de eth2 para eth0 só é feito para certos IPs do range 201.x.x.x.
    -Há um proxy e uma rede interna, também ligados a esse firewall,
em outras interfaces eth, usando SNAT. No entanto, o SNAT só é feito
para 201.y.y.y e para hosts específicos dentro da rede interna e,
assim mesmo, apenas para determinados destinos e determinados IPs (
conectividade social, aplicativos que não passam pelo proxy etc).
    -a administração do firewall é feita (ssh) através de outra iface
eth, em rede fisicamente separada para essa finalidade.

     Detalhe importante, o ip 201.x.x.x está dentro do range alocado
para a DMZ, MAS **nunca** foi usado e **não** há interface com esse IP
na rede DMZ.

     A ocorrência se repete, inúmeras vezes, com fontes (src)
diversas, para vários hosts (dst) daquela DMZ, todos eles **nunca
usados** e que **não** estão em uso. Notei que SPT=80 está em todos os
pacotes. Vi ( nos logs que analisei até agora ) apenas um caso de
SPT=25.

     Já contactei a fornecedora do link/ips, também dona e
administradora do roteador, mas ajuda, até agora, ainda está bem
tímida.

     Estou capturando pacotes (tcpudmp), para verificação posterior,
mas o que aparece nos logs do iptables, aparece lá também.

     Além da ocorrência em questão, há vários pacotes ICMP ( ping -
request ) para IPs que **não** estão em uso na DMZ. Ainda não fiz uma
**ligação** entres as fontes dos pings e a dos pacotes em questão, mas
pretendo fazê-lo.

     Gostaria de saber, de alguém com mais experiência que eu, o que
pode estar "gerando" (possibilidades de problemas/ataques) essas
"respostas" que não foram "solicitadas". Indicação de documentação que
possa me auxiliar na análise dos pacotes capturados, também ajudará (
já estou com o wireshark na máquina que será usada para a análise ).

     De antemão, já estou estudando uma forma de usar algo como o
fail2ban, para bloquear os ips que causarem tais ocorrências ( pacotes
estranhos e pings suspeitos ).

     Agradeço pela atenção.

Cássio


More information about the masoch-l mailing list