Re: (OT)Suche Rat zu verdächtigen IP Packeten (ausgehend)

To: debian-user-german@lists.debian.org
Subject: Re: (OT)Suche Rat zu verdächtigen IP Packeten (ausgehend)
From: Matthias Houdek <linux@houdek.de>
Date: Fri, 24 Sep 2004 18:42:15 +0200
Message-id: <[🔎] 200409241842.15554.linux@houdek.de>
In-reply-to: <[🔎] 20040924102654.GA10575@Pinguin.wug-glas.de>
References: <[🔎] 200409241203.15767.tim.ruehsen@gmx.de> <[🔎] 20040924102654.GA10575@Pinguin.wug-glas.de>

Am Freitag 24 September 2004 12:26 schrieb Andreas Kretschmer:
> am  24.09.2004, um 12:03:15 +0200 mailte Tim Ruehsen folgendes:
> > Hallo Liste,
> >
> > von einem unserer internen Rechner (gepatchtes SuSE Linux 8.1) kommen
> > TCP/IP Packete mit SPT=80. Auf diesem Port lief bis vor kurzem Apache
> > 1.3.26 (SuSE gepatchet). Hier ein firewall Eintrag als Beispiel:
>
> Ah ja.
>
> > Sep 24 10:43:23 oms-net kernel: REJECT NEW SYN/ACK: IN=eth0 OUT=eth2
> > SRC=192.168.11.70 DST=66.196.90.50 LEN=60 TOS=0x00 PREC=0x00 TTL=63
> > ID=51378 DF PROTO=TCP SPT=80 DPT=53595 WINDOW=5792 RES=0x00 ACK SYN
> > URGP=0
>
> SYN und ACK : Bestätigung Aufbauwunsch.

... oder mitten in einer TCP-Verbingung.

Sowas kann man auch faken. Denn es scheint ja wohl vorher kein 
Verbindungsaufbau angefragt worden zu sein. (Oder hab ich da was 
überlesen?).

> > Nachdem ich den apache gestoppt habe, war erst einmal Ruhe. Bis eben,
> > da kam ein einzelnes Packet:
> >
> > Sep 24 11:34:15 oms-net kernel: DROP NEW NOT SYN: IN=eth0 OUT=eth2
> > SRC=192.168.11.70 DST=62.109.118.250 LEN=40 TOS=0x08 PREC=0x00 TTL=63
> > ID=16752 DF PROTO=TCP SPT=80 DPT=10618 WINDOW=0 RES=0x00 ACK RST
> > URGP=0
>
> Mmh, da lief vielleicht noch eine Instanz, die dann die Verbindung
> beenden wollte?

Jepp, denn das Datensegment düfte leer sein (nur Füllbytes bei einer 
LEN=40). 

Ich hatte ja zuerst an mein Erlebnis vor ein paar Wochen gedacht, da hat 
in schönster Regelmäßigkeit infolge einer DNS-Anfrage (Absender-IP war 
meine vorhergehende dyn. IP aus dem Internet) eine ISDN-Verbindung 
aufgebaut - und zwar immer 6-15 Minuten und in dem Takt weiter, nachdem 
ich im Netz war. Hab ich dann DoD abgeschaltet, war Ruhe - auch nach dem 
Wiedereinschalten. Bis irgendwann nach einem Verbindungsaufbau das Ganze 
von vorne losging.

Gefunden habe ich nix, es klopfte auch nix Außergewöhnliches an meiner 
Firewall (außer den fast schon obligatorischen Portscans und ein paar 
MS-Popup-Messages - von innen war totale Ruhe). 
Nach einem Reboot war Schluss dann Schluss mit dem Spuk. Wahrscheinlich 
hätte es auch gereicht, den Verbindungsaufbau nur für ausgewählte Nutzer 
zuzulassen.

-- 
Gruß
		MaxX
Hinweis: PMs an diese Adresse werden automatisch vernichtet (Filter 
nach /dev/null).

Reply to:

References:
- (OT)Suche Rat zu verdächtigen IP Packeten (ausgehend)
  - From: Tim Ruehsen <tim.ruehsen@gmx.de>
- Re: (OT)Suche Rat zu verdächtigen IP Packeten (ausgehend)
  - From: Andreas Kretschmer <andreas.kretschmer@schollglas.com>

Prev by Date: Thinkpad 600 und Sound
Next by Date: Re: MP3-CDs: Gute Bestandssoftware
Previous by thread: Re: (OT)Suche Rat zu verdächtigen IP Packeten (ausgehend)
Next by thread: [SOLVED] (OT)Suche Rat zu verdächtigen IP Packeten (ausgehend)
Index(es):
- Date
- Thread