Re: (OT)Suche Rat zu verdächtigen IP Packeten (ausgehend)
Am Freitag 24 September 2004 12:26 schrieb Andreas Kretschmer:
> am 24.09.2004, um 12:03:15 +0200 mailte Tim Ruehsen folgendes:
> > Hallo Liste,
> >
> > von einem unserer internen Rechner (gepatchtes SuSE Linux 8.1) kommen
> > TCP/IP Packete mit SPT=80. Auf diesem Port lief bis vor kurzem Apache
> > 1.3.26 (SuSE gepatchet). Hier ein firewall Eintrag als Beispiel:
>
> Ah ja.
>
> > Sep 24 10:43:23 oms-net kernel: REJECT NEW SYN/ACK: IN=eth0 OUT=eth2
> > SRC=192.168.11.70 DST=66.196.90.50 LEN=60 TOS=0x00 PREC=0x00 TTL=63
> > ID=51378 DF PROTO=TCP SPT=80 DPT=53595 WINDOW=5792 RES=0x00 ACK SYN
> > URGP=0
>
> SYN und ACK : Bestätigung Aufbauwunsch.
... oder mitten in einer TCP-Verbingung.
Sowas kann man auch faken. Denn es scheint ja wohl vorher kein
Verbindungsaufbau angefragt worden zu sein. (Oder hab ich da was
überlesen?).
> > Nachdem ich den apache gestoppt habe, war erst einmal Ruhe. Bis eben,
> > da kam ein einzelnes Packet:
> >
> > Sep 24 11:34:15 oms-net kernel: DROP NEW NOT SYN: IN=eth0 OUT=eth2
> > SRC=192.168.11.70 DST=62.109.118.250 LEN=40 TOS=0x08 PREC=0x00 TTL=63
> > ID=16752 DF PROTO=TCP SPT=80 DPT=10618 WINDOW=0 RES=0x00 ACK RST
> > URGP=0
>
> Mmh, da lief vielleicht noch eine Instanz, die dann die Verbindung
> beenden wollte?
Jepp, denn das Datensegment düfte leer sein (nur Füllbytes bei einer
LEN=40).
Ich hatte ja zuerst an mein Erlebnis vor ein paar Wochen gedacht, da hat
in schönster Regelmäßigkeit infolge einer DNS-Anfrage (Absender-IP war
meine vorhergehende dyn. IP aus dem Internet) eine ISDN-Verbindung
aufgebaut - und zwar immer 6-15 Minuten und in dem Takt weiter, nachdem
ich im Netz war. Hab ich dann DoD abgeschaltet, war Ruhe - auch nach dem
Wiedereinschalten. Bis irgendwann nach einem Verbindungsaufbau das Ganze
von vorne losging.
Gefunden habe ich nix, es klopfte auch nix Außergewöhnliches an meiner
Firewall (außer den fast schon obligatorischen Portscans und ein paar
MS-Popup-Messages - von innen war totale Ruhe).
Nach einem Reboot war Schluss dann Schluss mit dem Spuk. Wahrscheinlich
hätte es auch gereicht, den Verbindungsaufbau nur für ausgewählte Nutzer
zuzulassen.
--
Gruß
MaxX
Hinweis: PMs an diese Adresse werden automatisch vernichtet (Filter
nach /dev/null).
Reply to: