| OT Forse tentativo di intrusione? [messaggio #34208] |
mer, 08 dicembre 2010 13:50  |
 Alessandro
Messaggi: 147
Registrato: aprile 2009 |
Senior Member |
|
|
Salve, posto qui la mia domanda perché non saprei a chi altro chiedere.
Il mio firewall (firestarter) ha rilevato in rosso una intrusione (credo).
Questi i dati che rileva:
-IP Sorgente: 172.23.0.1
-Protocollo: ICMP
-Servizio: DNS
-Uso linux mint 9.
-Utilizzo un router wireless.
-Uso Opendns.
Avete idea di cosa succede? mi ha rilevato questi tentativi di accesso dalle 5
di questa mattina.
Grazie.
|
|
|
|
|
|
|
|
|
| Re: OT Forse tentativo di intrusione? [messaggio #34245 è una risposta a message #34227] |
gio, 09 dicembre 2010 09:49  |
Alessandro Selli
Messaggi: 242
Registrato: novembre 2010 |
Senior Member |
|
|
Alessandro ha scritto:
> Il 08/12/2010 16:05, Davide Bianchi ha scritto:
>> On 2010-12-08, Alessandro<alessandro@mail.invalid> wrote:
>>> Salve, posto qui la mia domanda perché non saprei a chi altro chiedere.
>>>
>>> Il mio firewall (firestarter) ha rilevato in rosso una intrusione
>>> (credo).
>>> Questi i dati che rileva:
>>> -IP Sorgente: 172.23.0.1
>>> -Protocollo: ICMP
>>> -Servizio: DNS
>>
>> Quello e' un blocco "privato" e non routabile. Verifica da dove ti e'
>> arrivato il ping perche' se non ti e' arrivato dal tuo provider e'
>> arrivato dalla tua rete.
>>
>> Davide
>>
> Come faccio a verificare da dove arriva il ping ?
Gl'indirizzi 172.16.0.0/12 sono indirizzi provati che non devono
essere mai presenti su Internet. O il tuo provider ha dei problemi (e
se si la cosa deve essergli comunicata), o il ping proviene dalla *tua*
rete privata.
> Ho fatto un whois ma diceva poco,
Ti dice proprio che quel blocco di indirizzi è privato:
Comment: This block is used as private address space.
Comment: Addresses from this block can be used by
Comment: anyone without any need to coordinate with
Comment: IANA or an Internet registry. Addresses from
Comment: this block are used in multiple, separately
Comment: operated networks.
Comment: This block was assigned by the IETF in the
Comment: Best Current Practice document, RFC 1918
Comment: which can be found at:
Comment: http://www.rfc-editor.org/rfc/rfc1918.txt
> e cercando su google sembra essere un
> servizio standard DSN, quello che mettono certi provider di default.
Il DNS standard usa pacchetti UDP o TCP, non ICMP:
ftp://ftp.rfc-editor.org/in-notes/rfc1034.txt
In the Internet, queries are carried in UDP datagrams or over
TCP connections.
ICMP non compare da nessuna parte esplicitamente nel documento. C'è,
è vero, questo servizio DNS che viaggia su ICMP:
ftp://ftp.rfc-editor.org/in-notes/rfc1788.txt
ICMP Domain Name Messages
È però un protocollo sperimentale, ed è rimasto in questo stato senza
aggiornamenti dalla sua prima versione del 1995 e usa due ICMP-type (37,
Domain Name Request e 38, Domain Name Reply) che non trovo siano stati
definiti in nessuna RFC (e che infatti iptables -p icmp -h non elenca);
sarei sorpreso che il tuo provider lo usi. Ma in ogni caso, pacchetti
dalla rete 172.16.0.0/12 in ingresso da un'interfaccia con IP pubblico
non ne devono mai arrivare.
Per essere sicuro che questi paccehtti entrino dalla tua interfaccia
pubblica (o da quella verso il tuo modem) puoi usare tcpdump. Ad
esempio, potresti fare (da root), nell'ipotesi che la tua interfaccia di
rete di cui sopra sia la eth0:
tcpdump -i eth0 'icmp[icmptype] != icmp-echo and icmp[icmptype] !=
icmp-echoreply'
Questo ti fa vedere tutti i pacchetti ICMP non ping che transitano
sulla tua interfaccia. Oppure usi src net 172.16.0.0/12 per vedere ogni
genere di pacchetto proveniente da quella rete, o tutte e due le cose.
Ciao,
--
Alessandro Selli http://alessandro.route-add.net
AVVERTENZA: i messaggi inviati a "trappola" non mi arriveranno.
WARNING: messages sent to "trappola" will never reach me.
|
|
|
My forum, my way! Il forum dei newsgroup
Utenti
F.A.Q.
Registrati
Login
Home
E-mail ad un amico 
