Live Support My forum, my way! Il forum dei newsgroup: Linux » OT Forse tentativo di intrusione?
My forum, my way! Il forum dei newsgroup
Fast Uncompromising Discussions.Newsgroup FUDforum will get your users talking.

Loading
Utenti      F.A.Q.    Registrati    Login    Home
Home » Computer » Linux » OT Forse tentativo di intrusione?
OT Forse tentativo di intrusione? [messaggio #34208] mer, 08 dicembre 2010 13:50 Messaggio successivo
Alessandro  è attualmente disconnesso Alessandro
Messaggi: 147
Registrato: aprile 2009
Senior Member
Salve, posto qui la mia domanda perché non saprei a chi altro chiedere.

Il mio firewall (firestarter) ha rilevato in rosso una intrusione (credo).
Questi i dati che rileva:
-IP Sorgente: 172.23.0.1
-Protocollo: ICMP
-Servizio: DNS

-Uso linux mint 9.
-Utilizzo un router wireless.
-Uso Opendns.

Avete idea di cosa succede? mi ha rilevato questi tentativi di accesso dalle 5
di questa mattina.

Grazie.
Re: OT Forse tentativo di intrusione? [messaggio #34210 è una risposta a message #34208] mer, 08 dicembre 2010 14:18 Messaggio precedenteMessaggio successivo
Lorenzo Mainardi  è attualmente disconnesso Lorenzo Mainardi
Messaggi: 28
Registrato: dicembre 2010
Junior Member
Il Wed, 08 Dec 2010 13:50:17 +0100, Alessandro scrisse:

> -IP Sorgente: 172.23.0.1
> -Protocollo: ICMP

Un ping?

--
"Never underestimate the bandwidth of a station wagon full of tapes
hurtling down the highway" - Andrew S. Tanenbaum
http://blog.mainardi.me
python -c "print 'bG9ybWF5bmFAZ21haWwuY29t'.decode('base64')"
Re: OT Forse tentativo di intrusione? [messaggio #34212 è una risposta a message #34208] mer, 08 dicembre 2010 14:57 Messaggio precedenteMessaggio successivo
mario  è attualmente disconnesso mario
Messaggi: 52
Registrato: febbraio 2008
Member
Il 08/12/2010 13:50, Alessandro ha scritto:
> Salve, posto qui la mia domanda perché non saprei a chi altro chiedere.
>
> Il mio firewall (firestarter) ha rilevato in rosso una intrusione (credo).
> Questi i dati che rileva:
> -IP Sorgente: 172.23.0.1
> -Protocollo: ICMP
> -Servizio: DNS
>
> -Uso linux mint 9.
> -Utilizzo un router wireless.
> -Uso Opendns.
>
> Avete idea di cosa succede? mi ha rilevato questi tentativi di accesso
> dalle 5 di questa mattina.
>
> Grazie.

Non preoccuparti per il tentativo di intrusione, è praticamente
impossibile che un computer non ne sia oggetto durante anche pochi
minuti di connessione, puoi comunque capire da dove provengono digitando
sul programma Whois di "Strumenti di rete" il numero di IP sorgente.
Opendns è utilizzato frequentemente dagli spammatori, quindi le tue
email potrebbero erroneamente essere considerate spam da alcuni antivirus.
Saluti Mario
Re: OT Forse tentativo di intrusione? [messaggio #34214 è una risposta a message #34212] mer, 08 dicembre 2010 15:02 Messaggio precedenteMessaggio successivo
Lorenzo Mainardi  è attualmente disconnesso Lorenzo Mainardi
Messaggi: 28
Registrato: dicembre 2010
Junior Member
Il Wed, 08 Dec 2010 14:57:08 +0100, mario scrisse:

> Opendns è utilizzato frequentemente dagli spammatori, quindi le tue
> email potrebbero erroneamente essere considerate spam da alcuni
> antivirus.

Che c'entra un servizio DNS con l'invio dello spam?

--
"Never underestimate the bandwidth of a station wagon full of tapes
hurtling down the highway" - Andrew S. Tanenbaum
http://blog.mainardi.me
python -c "print 'bG9ybWF5bmFAZ21haWwuY29t'.decode('base64')"
Re: OT Forse tentativo di intrusione? [messaggio #34216 è una risposta a message #34214] mer, 08 dicembre 2010 15:23 Messaggio precedenteMessaggio successivo
mario  è attualmente disconnesso mario
Messaggi: 52
Registrato: febbraio 2008
Member
Il 08/12/2010 15:02, Lorenzo Mainardi ha scritto:
> Il Wed, 08 Dec 2010 14:57:08 +0100, mario scrisse:
>
>> Opendns è utilizzato frequentemente dagli spammatori, quindi le tue
>> email potrebbero erroneamente essere considerate spam da alcuni
>> antivirus.
>
> Che c'entra un servizio DNS con l'invio dello spam?
>

Opendns svincola la connessione dal controllo del provider (e ciò e
anche un vantaggio per la privacy).Tale servizio fu lanciato nel 2006
dall'hacker David Ulevitch.
Ciao Mario
Re: OT Forse tentativo di intrusione? [messaggio #34217 è una risposta a message #34208] mer, 08 dicembre 2010 16:05 Messaggio precedenteMessaggio successivo
Davide Bianchi  è attualmente disconnesso Davide Bianchi
Messaggi: 95
Registrato: novembre 2010
Member
On 2010-12-08, Alessandro <alessandro@mail.invalid> wrote:
> Salve, posto qui la mia domanda perché non saprei a chi altro chiedere.
>
> Il mio firewall (firestarter) ha rilevato in rosso una intrusione (credo).
> Questi i dati che rileva:
> -IP Sorgente: 172.23.0.1
> -Protocollo: ICMP
> -Servizio: DNS

Quello e' un blocco "privato" e non routabile. Verifica da dove ti e'
arrivato il ping perche' se non ti e' arrivato dal tuo provider e'
arrivato dalla tua rete.

Davide

--
Bill Gates to his broker:
"You idiot, I said $150 million on SNAPPLE!!!"
Re: OT Forse tentativo di intrusione? [messaggio #34227 è una risposta a message #34217] mer, 08 dicembre 2010 18:58 Messaggio precedenteMessaggio successivo
Alessandro  è attualmente disconnesso Alessandro
Messaggi: 147
Registrato: aprile 2009
Senior Member
Il 08/12/2010 16:05, Davide Bianchi ha scritto:
> On 2010-12-08, Alessandro<alessandro@mail.invalid> wrote:
>> Salve, posto qui la mia domanda perché non saprei a chi altro chiedere.
>>
>> Il mio firewall (firestarter) ha rilevato in rosso una intrusione (credo).
>> Questi i dati che rileva:
>> -IP Sorgente: 172.23.0.1
>> -Protocollo: ICMP
>> -Servizio: DNS
>
> Quello e' un blocco "privato" e non routabile. Verifica da dove ti e'
> arrivato il ping perche' se non ti e' arrivato dal tuo provider e'
> arrivato dalla tua rete.
>
> Davide
>
Come faccio a verificare da dove arriva il ping ?
Ho fatto un whois ma diceva poco, e cercando su google sembra essere un
servizio standard DSN, quello che mettono certi provider di default.
Re: OT Forse tentativo di intrusione? [messaggio #34245 è una risposta a message #34227] gio, 09 dicembre 2010 09:49 Messaggio precedente
Alessandro Selli  è attualmente disconnesso Alessandro Selli
Messaggi: 242
Registrato: novembre 2010
Senior Member
Alessandro ha scritto:
> Il 08/12/2010 16:05, Davide Bianchi ha scritto:
>> On 2010-12-08, Alessandro<alessandro@mail.invalid> wrote:
>>> Salve, posto qui la mia domanda perché non saprei a chi altro chiedere.
>>>
>>> Il mio firewall (firestarter) ha rilevato in rosso una intrusione
>>> (credo).
>>> Questi i dati che rileva:
>>> -IP Sorgente: 172.23.0.1
>>> -Protocollo: ICMP
>>> -Servizio: DNS
>>
>> Quello e' un blocco "privato" e non routabile. Verifica da dove ti e'
>> arrivato il ping perche' se non ti e' arrivato dal tuo provider e'
>> arrivato dalla tua rete.
>>
>> Davide
>>
> Come faccio a verificare da dove arriva il ping ?

Gl'indirizzi 172.16.0.0/12 sono indirizzi provati che non devono
essere mai presenti su Internet. O il tuo provider ha dei problemi (e
se si la cosa deve essergli comunicata), o il ping proviene dalla *tua*
rete privata.

> Ho fatto un whois ma diceva poco,

Ti dice proprio che quel blocco di indirizzi è privato:

Comment: This block is used as private address space.
Comment: Addresses from this block can be used by
Comment: anyone without any need to coordinate with
Comment: IANA or an Internet registry. Addresses from
Comment: this block are used in multiple, separately
Comment: operated networks.
Comment: This block was assigned by the IETF in the
Comment: Best Current Practice document, RFC 1918
Comment: which can be found at:
Comment: http://www.rfc-editor.org/rfc/rfc1918.txt


> e cercando su google sembra essere un
> servizio standard DSN, quello che mettono certi provider di default.

Il DNS standard usa pacchetti UDP o TCP, non ICMP:

ftp://ftp.rfc-editor.org/in-notes/rfc1034.txt

In the Internet, queries are carried in UDP datagrams or over
TCP connections.

ICMP non compare da nessuna parte esplicitamente nel documento. C'è,
è vero, questo servizio DNS che viaggia su ICMP:

ftp://ftp.rfc-editor.org/in-notes/rfc1788.txt

ICMP Domain Name Messages

È però un protocollo sperimentale, ed è rimasto in questo stato senza
aggiornamenti dalla sua prima versione del 1995 e usa due ICMP-type (37,
Domain Name Request e 38, Domain Name Reply) che non trovo siano stati
definiti in nessuna RFC (e che infatti iptables -p icmp -h non elenca);
sarei sorpreso che il tuo provider lo usi. Ma in ogni caso, pacchetti
dalla rete 172.16.0.0/12 in ingresso da un'interfaccia con IP pubblico
non ne devono mai arrivare.

Per essere sicuro che questi paccehtti entrino dalla tua interfaccia
pubblica (o da quella verso il tuo modem) puoi usare tcpdump. Ad
esempio, potresti fare (da root), nell'ipotesi che la tua interfaccia di
rete di cui sopra sia la eth0:

tcpdump -i eth0 'icmp[icmptype] != icmp-echo and icmp[icmptype] !=
icmp-echoreply'

Questo ti fa vedere tutti i pacchetti ICMP non ping che transitano
sulla tua interfaccia. Oppure usi src net 172.16.0.0/12 per vedere ogni
genere di pacchetto proveniente da quella rete, o tutte e due le cose.


Ciao,


--
Alessandro Selli http://alessandro.route-add.net
AVVERTENZA: i messaggi inviati a "trappola" non mi arriveranno.
WARNING: messages sent to "trappola" will never reach me.
Argomento precedente:ALle prime armi, metto solo linux...
Argomento successivo:kubuntu-trasparenze e figli
Vai al forum:
  


Ora corrente: sab ago 13 11:31:42 CEST 2022

Tempo totale richiesto per generare la pagina: 0.01617 secondi
.:: Contatti :: Home ::.

Powered by: FUDforum 3.0.2.
Copyright ©2001-2010 FUDforum Bulletin Board Software

Live Support