<br><br><div class="gmail_quote">2008/2/27 Sandro Fabbro <<a href="mailto:fabbrosandro@gmail.com">fabbrosandro@gmail.com</a>>:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
2008/2/26, alessandro (dado) scapuzzi <<a href="mailto:dado70@gmail.com">dado70@gmail.com</a>>:<br>
<div><div></div><div class="Wj3C7c">> Perché su quelle strane porte? Più di una volta? Ad intervalli<br>
> regolari? P.s. Da quando anche te su arclinux<br>
><br>
> 2008/2/26, Sandro Fabbro <<a href="mailto:fabbrosandro@gmail.com">fabbrosandro@gmail.com</a>>:<br>
><br>
> > Ciao a tutti,<br>
> ><br>
> > Controllando un attimo i log del mio serverino domestico ho notato due<br>
> > strani messaggi:<br>
> ><br>
> > 1) UDP: short packet: From <a href="http://81.5.57.52:15478" target="_blank">81.5.57.52:15478</a> 3720/1480 to <a href="http://192.168.178.3:13035" target="_blank">192.168.178.3:13035</a><br>
> > 2) possible SYN flooding on port 6882. Sending cookies.</div></div></blockquote></div><br>scusa, ieri sono stato breve nella risposta perchè ero al cellulare...<br><br>mi domando... se il 'presunto' attaccante sta utilizzando una tecnica di SYN flooding vuol dire che vuole:<br>
a) buttarti giù il serverino <br>b) provare ad entrare<br><br>se non sbaglio funziona così:<br>invio SYN<br>attesa risposta SYN-ACT <br>ACT<br><br>se vuole ottenere una saturazione del tuo server riceveresti una quantità enorme di SYN ... il tuo PC sprecherebbe tanto tempo in SYN-ACT (15 min. sarebbe il time-out in attesa dell' ACT (che ovviamente l'attaccante non invierebbe) )<br>
Allora ti domando: qunti SYN ricevi???? perchè altrimenti è un falso positivo (IMHO)<br><br>se invece volesse entrare potrebbe sfruttare proprio il tempo SYN-ACT ACT per fruttare qualche bug...<br>prova con SNORT (forse occorre quello) per vedere se durante il periodo di 'porta in attesa) lo vedi con netstat ... ti arrivano altri pacchetti da altre parti...<br>
<br>spero di non aver detto cavolate... ;-)<br><br><br><br>-- <br>Alessandro Scapuzzi (dado)<br>Linux User #405965