[MASOCH-L] Iptables: pacotes "estranhos" com ACK SYN URPG=0 setados e pings suspeitos

Sun Feb 10 16:27:49 BRST 2008

Sao aparentemente respostas a SYN enviado do 201.x.x.x para o 
85.111.0.240, O URGP= 0 seria normal pelo que sei.
Presumo que se alguem estiver spoofing o seu endereco IP, tambem voce 
veria estes pacotes, se ele enviar um SYN com origem 201.x.x.x destino 
85.111.0.240, voce vai receber a 'continuacao' do 3way handshake.
Obviamente, voce esta 'falando' com a Turquia :-)..so nao sabe ainda 
disto..O seu iptables nao deve ter a sessao 'com o turco' na tabela 
dele, isto explicaria ele considerar isto 'ilegal'.
O mais curioso aqui, eu acharia o fato deste syn+ack nao ter um MSS 
associado..e ter janela oferecida de 0...

casfre at gmail.com wrote:
> Pessoal,
> 
>      Não sei se deveria perguntar na GTER, mas estou precisando de
> ajuda para "entender" as possíveis causas para a seguinte linha de log
> do iptables ( Slackware 11.0.0 ):
> 
> Feb  8 18:52:19 firewall kernel: filter FORWARD DROP UNAUTH: IN=eth0 OUT=eth2
> SRC=85.111.0.240 DST=201.x.x.x LEN=40 TOS=0x00 PREC=0x00 TTL=50 ID=13915
> PROTO=TCP SPT=80 DPT=1024 WINDOW=0 RES=0x00 ACK SYN URGP=0
> 
>      Onde:
> 
>     -eth0 -> iface conectada a um roteador e dali para a internet.
> Possui IP 201.y.y.y
>     -eth2 -> iface da DMZ. Possui um IP no range 201.x.x.x
>     -o forward de eth0 para eth2, salvas exceções explícitas, só é
> permitido através de uma regra -m state --state RELATED, ESTABLISHED.
>     -o forward de eth2 para eth0 só é feito para certos IPs do range 201.x.x.x.
>     -Há um proxy e uma rede interna, também ligados a esse firewall,
> em outras interfaces eth, usando SNAT. No entanto, o SNAT só é feito
> para 201.y.y.y e para hosts específicos dentro da rede interna e,
> assim mesmo, apenas para determinados destinos e determinados IPs (
> conectividade social, aplicativos que não passam pelo proxy etc).
>     -a administração do firewall é feita (ssh) através de outra iface
> eth, em rede fisicamente separada para essa finalidade.
> 
>      Detalhe importante, o ip 201.x.x.x está dentro do range alocado
> para a DMZ, MAS **nunca** foi usado e **não** há interface com esse IP
> na rede DMZ.
> 
>      A ocorrência se repete, inúmeras vezes, com fontes (src)
> diversas, para vários hosts (dst) daquela DMZ, todos eles **nunca
> usados** e que **não** estão em uso. Notei que SPT=80 está em todos os
> pacotes. Vi ( nos logs que analisei até agora ) apenas um caso de
> SPT=25.
> 
>      Já contactei a fornecedora do link/ips, também dona e
> administradora do roteador, mas ajuda, até agora, ainda está bem
> tímida.
> 
>      Estou capturando pacotes (tcpudmp), para verificação posterior,
> mas o que aparece nos logs do iptables, aparece lá também.
> 
>      Além da ocorrência em questão, há vários pacotes ICMP ( ping -
> request ) para IPs que **não** estão em uso na DMZ. Ainda não fiz uma
> **ligação** entres as fontes dos pings e a dos pacotes em questão, mas
> pretendo fazê-lo.
> 
>      Gostaria de saber, de alguém com mais experiência que eu, o que
> pode estar "gerando" (possibilidades de problemas/ataques) essas
> "respostas" que não foram "solicitadas". Indicação de documentação que
> possa me auxiliar na análise dos pacotes capturados, também ajudará (
> já estou com o wireshark na máquina que será usada para a análise ).
> 
>      De antemão, já estou estudando uma forma de usar algo como o
> fail2ban, para bloquear os ips que causarem tais ocorrências ( pacotes
> estranhos e pings suspeitos ).
> 
>      Agradeço pela atenção.
> 
> Cássio
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l