<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

<html>

<head>

  <meta content="text/html;charset=iso-8859-1" http-equiv="Content-Type">

  <title></title>

</head>

<body bgcolor="#ffffff" text="#000000">

Ciao Valerio!<br>

Bello strano il tuo problema.<br>

Ho spulciato anche io un po' internet e mi sono imbattuto in questo

documento.<br>

So che non e' il tuo caso, ma la dinamica d&agrave; da pensare...<br>

Ti allego un estratto da&nbsp;&nbsp;

<a class="moz-txt-link-freetext" href="http://edu.let.unicas.it/lgei/lgei0001/lgei0001_02.html">http://edu.let.unicas.it/lgei/lgei0001/lgei0001_02.html</a><br>

<br>

"... Un altro problema serio&nbsp; scoperto durante la ricerca&nbsp; &egrave;

che chi attacca puo superare l'autenticazione&nbsp; <b>rlogin</b>. Un

maleitezionato

puo creare un pacchetto con un indirizzo di IP falso, uno noto al

sistema

di destinazione. Quando il pacchetto viene inviato, la selezione di CC

permette al pacchetto di essere accettato immediatamente, ed ai dati di

essere passati. Il sistema di destinazione quindi invia un SYNACK al ip

originale. Quando questo SYNACK arriva, il sistema di destinazione

originale

invia un riavvio, come se non fosse in uno stato di SYN-SENT. Ci&ograve;

accade troppo tardi, come se il comando fosse gi&agrave; stato eseguito

sul sistema di destinazione. ...."<br>

<br>

Ora non penso proprio che tu sia in una situazione di SYN Attack, ma mi

fa pensare il discorso della ritrasmissione per SYN-SENT....<br>

Hai verificato che non ti si perdano dei bit nei pacchetti ? o che il

checksum arrivi corretto?<br>

<br>

Se vuoi mandarmi l'output di wireshark ci posso guardare volentieri.<br>

Ciao<br>

Paride (baleF028)<br>

<pre class="moz-signature" cols="72">----

 Tu non pensi quadridimensionalmente, Marty...

----

Linux user # 459656 - Linux machine # 367969

Blog: <a class="moz-txt-link-freetext" href="http://toboldlygowherenoonehasgonebefore.blogspot.com">http://toboldlygowherenoonehasgonebefore.blogspot.com</a>

----

Mailing list info: <a class="moz-txt-link-freetext" href="http://lists.linux.it/listinfo/imolug">http://lists.linux.it/listinfo/imolug</a>

</pre>

<br>

<br>

valerio balbi ha scritto:

<blockquote

 cite="mid:edd0054b0803080300v5eab2425k428b6a83b2502426@mail.gmail.com"

 type="cite">

  <pre wrap="">Ciao a tutta la ML!

Come confidato con alcuni di voi sto giocando all'evoluzione del

firewall LisCO presentato a IF07.

Per precisione sto cercando di implementare "private virtual firewall".

Credo di aver sfrugugliato la rete senza trovare indizi che mi possano aiutare

per cui mi permetto di sottoporvi lo "Strano caso dei Pacchetti Duplicati"

Scena del Crimine

                      -----------------------

I   )    |           |       |       |       |     |      -------

N  (     +-----------+ eth2 -+       +- eth4 +-----|     |       |

T   )    |           |       |       |       |     |-----+       |

E  (     |           |      br0     br1      |     |     |       |

R   )    |           |                       |     |     |       |

N  (     |           |        ipTables       |    [B]     -------

E   )    |           |      kernel 2.6.18    |

T  (    [A]           -----------------------

Ho introdotto i bridge per poter aggiungere le tun dei virtual private

firewall,

ma prima di evolvere allo stadio definitivo ho fatto un po' di prove

che mi hanno

lasciato un po' perplesso. Il pc sulla rete B tenta di fare il

download di un file grosso

(per esempio l'ultima stabile da <a class="moz-txt-link-abbreviated" href="http://www.kernel.org">www.kernel.org</a>), ma dopo un po' il

trasferimento

si blocca e cade rovinosamente. Sul firewall le regole di filtering

sono applicate ai

bridge, come pure le regole di source nat.

Il R.I.S.

Allora ho preso la trace con l'ottimo wireshark sia in A che in B e mi

sono reso conto

che sulla rete B c'erano un sacco di ritrasmissioni... (ho gi&agrave;

cambiato i cavi e l'hub)

In particolare:

1 SYN dal pc a br1 misurato su B

2 SYN da br0 NAT-tato verso Internet misurato su A

3 SYNACK da Internet verso br0 misurato su A

4 SYNACK da Internet verso pc proveniente da br1 misurato su B

5 SYNACK da Internet verso pc proveniente da br1 misurato su B

Il pacchetto 5 non mi convince x niente, secondo me non dovrebbe mica esserci!

Comunque l'unica differenza tra i pacchetti 4 e 5 &egrave; il TTL maggiorato

di 1 nel pacchetto 5

Immagino che questa duplicazione generi un flood che uccide la

sessione se la sessione &egrave;

corposa come un bel download.

Le Accuse

Sto pensando che forse c'&egrave; qualche problema sul driver sundance usato

per comandare

la scheda quadriporta D-Link DFE-580TX, ma non ho trovato evidenze

significative sui NG.

Oppure potrebbe essere una configurazione sbagliata dei parametri

/proc/sys/net/ipv4/conf/br.

Oppure potrebbe essere un limite del virtual bridge integrato nel

kernel (stp disabilitato).

Secondo voi in quale punto del ragionamento sto "prendendo il granchio"?

Grazie per l'Attenzione! Ciao!

  </pre>

</blockquote>

</body>

</html>