Re: Hacker de la red, ¿quien esta enviando/reciviendo paquetes en mi PC?

[Cesar Rincon <crincon@et.com.mx>]

On Fri, 2003-01-31 at 20:42, Borxa Varela wrote:

> xuvenka:/home/borxa# tcpdump -nxX -i ppp0
> tcpdump: listening on ppp0
> 03:39:37.110504 195.242.103.231.2727 > 80.103.153.85.4662: S
> 3344191268:3344191268(0) win 16384 <mss 1420,nop,nop,sackOK> (DF)
> 0x0000   4500 0030 eec0 4000 7206 0471 c3f2 67e7       
...

Hum...

Ese log que enviaste está positivamente extraño.  Exáctamente ¿cómo es
la configuración de tu red?  ¿Tienes más de una PC conectada a través de
xuvenka?

El log que enviaste (una pena que el protocolo no sea reconocible;
posiblemente capturaste sólo segmentos de datos binarios en medio de una
transmisión ya establecida... sería interesante tener un SYN y cuatro o
cinco paquetes subsecuentes) muestra interacciones entre las siguientes
máquinas:

 195.242.103.231 > 80.103.153.85
 80.103.153.45   > 80.103.153.85
 80.129.23.87    > 80.103.153.194
 80.103.153.45   > 80.103.153.194
 213.161.66.179  > 80.103.153.45
 80.103.153.45   > 213.161.66.17
 62.83.42.23     > 80.103.153.45
 80.103.153.45   > 62.83.42.23
 217.127.81.42   > 80.103.153.47
 80.103.153.45   > 80.103.153.47
 81.172.51.235   > 80.103.153.45
 80.103.153.45   > 81.172.51.235

¿Alguna de éstas es tuya?  El segmento 80.103.153.0/24 parece ser el
denominador común, pero el punto es que estás viendo interacciones entre
varias máquinas.  Y son conexiones establecidas, no intentos de conexión
rechazados (no se ven resets).

Lo único que se me ocurre es que (1) realmente eres parte de un LAN, y
no nos lo habías dicho, y estás ruteando ese LAN a través de tu conexión
PPP o algo así (en cuyo caso mi recomendación del netstat aplicaría para
todas las máquinas del LAN).  O (2), tu proveedor de acceso te está
enviando tráfico que no es para ti.

Sobre este último caso, la única vez que he visto tal marranada es con
proveedores de acceso por cable: los más sucios tienden a conectar toda
una colonia en un LAN, usando el cable como una especie de ethernet, de
forma que puedes esnifear el tráfico de tu vecino.  De forma que ¿qué
clase de conexión estás usando? (y disculpa, es que "wanadoo por RTB" no
le dice nada a un güey de este lado del charco).

Si en efecto tienes ese problema, quizá la razón por la que tu pppd no
parece caerse a pesar de tu "active-filter" es porque estás recibiendo
los queries de DNS de otras máquinas.  Quizá deberías meter la
restricción adicional de que el emisor sea tu propia máquina (lo cual
requerirá un poquito de hackeo, si tu IP es dinámica).

> Y el netstat -pA inet:

Nada interesante.  Puedes usar -up, para ver por UDP.  Pero me suena a
que no es por ahí la cosa.

Sobre bloquear el puerto, y la recomendación que te dieron por ahí, y el
error que posteaste... ¿qué kernel estás usando?  Si es un 2.2, usa
ipchains(8) en vez de iptables.  Si es un 2.4, asegúrate de tener el
paquete iptables, y soporte en el kernel (los kerneles "oficiales" de
Debian tienen todo lo necesario --sólo me preocuparía por eso si
estuvieras usando un kernel hecho en casa).

También puedes querer bloquear más que sólo TCP (¿ese donkey no usa
UDP?).

Que te sea leve.

 -CR

P.D. ¿Sería mucho problema apagar el HTML en tu cliente de correo?  El
mío se hace camotes al citar tus mensajes cuando los respondo.