[Gulli] Strani messaggi nel log...Forse ho bisogno di un firewall?

alessandro (dado) scapuzzi dado70@gmail.com
Mer 27 Feb 2008 10:24:19 CET


2008/2/27 Sandro Fabbro <fabbrosandro@gmail.com>:

> 2008/2/26, alessandro (dado) scapuzzi <dado70@gmail.com>:
> > Perché su quelle strane porte? Più di una volta? Ad intervalli
> >  regolari? P.s. Da quando anche te su arclinux
> >
> >  2008/2/26, Sandro Fabbro <fabbrosandro@gmail.com>:
> >
> > > Ciao a tutti,
> >  >
> >  > Controllando un attimo i log del mio serverino domestico ho notato
> due
> >  > strani messaggi:
> >  >
> >  > 1) UDP: short packet: From 81.5.57.52:15478 3720/1480 to
> 192.168.178.3:13035
> >  > 2) possible SYN flooding on port 6882. Sending cookies.
>

scusa, ieri sono stato breve nella risposta perchè ero al cellulare...

mi domando... se il 'presunto' attaccante sta utilizzando una tecnica di SYN
flooding vuol dire che vuole:
a) buttarti giù il serverino
b) provare ad entrare

se non sbaglio funziona così:
invio SYN
attesa risposta SYN-ACT
ACT

se vuole ottenere una saturazione del tuo server riceveresti una quantità
enorme di SYN ... il tuo PC sprecherebbe tanto tempo in SYN-ACT (15 min.
sarebbe il time-out in attesa dell' ACT (che ovviamente l'attaccante non
invierebbe) )
Allora ti domando: qunti SYN ricevi???? perchè altrimenti è un falso
positivo (IMHO)

se invece volesse entrare potrebbe sfruttare proprio il tempo SYN-ACT ACT
per fruttare qualche bug...
prova con SNORT (forse occorre quello) per vedere se durante il periodo di
'porta in attesa) lo vedi con netstat ... ti arrivano altri pacchetti da
altre parti...

spero di non aver detto cavolate... ;-)



-- 
Alessandro Scapuzzi (dado)
Linux User #405965
-------------- parte successiva --------------
Un allegato HTML è stato rimosso...
URL: http://lists.linux.it/pipermail/gulli/attachments/20080227/9fb3d107/attachment.htm 


Maggiori informazioni sulla lista Gulli