[MASOCH-L] Iptables: pacotes "estranhos" com ACK SYN URPG=0 setados e pings suspeitos
Julio Arruda
jarruda-gter at jarruda.com
Sun Feb 10 16:27:49 -03 2008
Sao aparentemente respostas a SYN enviado do 201.x.x.x para o
85.111.0.240, O URGP= 0 seria normal pelo que sei.
Presumo que se alguem estiver spoofing o seu endereco IP, tambem voce
veria estes pacotes, se ele enviar um SYN com origem 201.x.x.x destino
85.111.0.240, voce vai receber a 'continuacao' do 3way handshake.
Obviamente, voce esta 'falando' com a Turquia :-)..so nao sabe ainda
disto..O seu iptables nao deve ter a sessao 'com o turco' na tabela
dele, isto explicaria ele considerar isto 'ilegal'.
O mais curioso aqui, eu acharia o fato deste syn+ack nao ter um MSS
associado..e ter janela oferecida de 0...
casfre at gmail.com wrote:
> Pessoal,
>
> Não sei se deveria perguntar na GTER, mas estou precisando de
> ajuda para "entender" as possíveis causas para a seguinte linha de log
> do iptables ( Slackware 11.0.0 ):
>
> Feb 8 18:52:19 firewall kernel: filter FORWARD DROP UNAUTH: IN=eth0 OUT=eth2
> SRC=85.111.0.240 DST=201.x.x.x LEN=40 TOS=0x00 PREC=0x00 TTL=50 ID=13915
> PROTO=TCP SPT=80 DPT=1024 WINDOW=0 RES=0x00 ACK SYN URGP=0
>
> Onde:
>
> -eth0 -> iface conectada a um roteador e dali para a internet.
> Possui IP 201.y.y.y
> -eth2 -> iface da DMZ. Possui um IP no range 201.x.x.x
> -o forward de eth0 para eth2, salvas exceções explícitas, só é
> permitido através de uma regra -m state --state RELATED, ESTABLISHED.
> -o forward de eth2 para eth0 só é feito para certos IPs do range 201.x.x.x.
> -Há um proxy e uma rede interna, também ligados a esse firewall,
> em outras interfaces eth, usando SNAT. No entanto, o SNAT só é feito
> para 201.y.y.y e para hosts específicos dentro da rede interna e,
> assim mesmo, apenas para determinados destinos e determinados IPs (
> conectividade social, aplicativos que não passam pelo proxy etc).
> -a administração do firewall é feita (ssh) através de outra iface
> eth, em rede fisicamente separada para essa finalidade.
>
> Detalhe importante, o ip 201.x.x.x está dentro do range alocado
> para a DMZ, MAS **nunca** foi usado e **não** há interface com esse IP
> na rede DMZ.
>
> A ocorrência se repete, inúmeras vezes, com fontes (src)
> diversas, para vários hosts (dst) daquela DMZ, todos eles **nunca
> usados** e que **não** estão em uso. Notei que SPT=80 está em todos os
> pacotes. Vi ( nos logs que analisei até agora ) apenas um caso de
> SPT=25.
>
> Já contactei a fornecedora do link/ips, também dona e
> administradora do roteador, mas ajuda, até agora, ainda está bem
> tímida.
>
> Estou capturando pacotes (tcpudmp), para verificação posterior,
> mas o que aparece nos logs do iptables, aparece lá também.
>
> Além da ocorrência em questão, há vários pacotes ICMP ( ping -
> request ) para IPs que **não** estão em uso na DMZ. Ainda não fiz uma
> **ligação** entres as fontes dos pings e a dos pacotes em questão, mas
> pretendo fazê-lo.
>
> Gostaria de saber, de alguém com mais experiência que eu, o que
> pode estar "gerando" (possibilidades de problemas/ataques) essas
> "respostas" que não foram "solicitadas". Indicação de documentação que
> possa me auxiliar na análise dos pacotes capturados, também ajudará (
> já estou com o wireshark na máquina que será usada para a análise ).
>
> De antemão, já estou estudando uma forma de usar algo como o
> fail2ban, para bloquear os ips que causarem tais ocorrências ( pacotes
> estranhos e pings suspeitos ).
>
> Agradeço pela atenção.
>
> Cássio
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
More information about the masoch-l
mailing list