pacchetti in arrivo nel server

Naviga le tue risposte
5

Ho abilitato la registrazione di iptables per i pacchetti provenienti dall'esterno 

-A INPUT ! -s 192.168.218.0/24 -j LOG

Ora vedo molti pacchetti in arrivo da indirizzi sconosciuti 

Jun  5 14:54:56 localhost kernel: [572504.888953] IN=eth1 OUT= MAC=... SRC=91.189.88.140 DST=192.168.218.101 LEN=1500 TOS=0x00 PREC=0x00 TTL=55 ID=49833 DF PROTO=TCP SPT=80 DPT=47954 WINDOW=295 RES=0x00 ACK URGP=0 
Jun  5 14:54:56 localhost kernel: [572504.916382] IN=eth1 OUT= MAC=... SRC=91.189.88.140 DST=192.168.218.101 LEN=1500 TOS=0x00 PREC=0x00 TTL=55 ID=49834 DF PROTO=TCP SPT=80 DPT=47954 WINDOW=295 RES=0x00 ACK URGP=0 
Jun  5 14:54:56 localhost kernel: [572504.916425] IN=eth1 OUT= MAC=... SRC=91.189.88.140 DST=192.168.218.101 LEN=1000 TOS=0x00 PREC=0x00 TTL=55 ID=49835 DF PROTO=TCP SPT=80 DPT=47954 WINDOW=295 RES=0x00 ACK PSH URGP=0 
Jun  5 14:54:56 localhost kernel: [572505.051902] IN=eth1 OUT= MAC=... SRC=91.189.88.140 DST=192.168.218.101 LEN=1500 TOS=0x00 PREC=0x00 TTL=55 ID=49836 DF PROTO=TCP SPT=80 DPT=47954 WINDOW=295 RES=0x00 ACK URGP=0 
Jun  5 14:54:56 localhost kernel: [572505.184949] IN=eth1 OUT= MAC=... SRC=91.189.88.140 DST=192.168.218.101 LEN=52 TOS=0x00 PREC=0x00 TTL=55 ID=49837 DF PROTO=TCP SPT=80 DPT=47954 WINDOW=295 RES=0x00 ACK FIN URGP=0 
Jun  5 14:55:05 localhost kernel: [572513.916617] IN=eth1 OUT= MAC=... SRC=64.34.119.12 DST=192.168.218.101 LEN=52 TOS=0x00 PREC=0x00 TTL=52 ID=29430 DF PROTO=TCP SPT=80 DPT=45598 WINDOW=62 RES=0x00 ACK FIN URGP=0 
Jun  5 14:55:14 localhost kernel: [572523.037537] IN=eth1 OUT= MAC=... SRC=64.34.119.12 DST=192.168.218.101 LEN=52 TOS=0x00 PREC=0x00 TTL=52 ID=0 DF PROTO=TCP SPT=80 DPT=45598 WINDOW=62 RES=0x00 ACK URGP=0 
Jun  5 14:55:35 localhost kernel: [572544.026368] IN=eth1 OUT= MAC=... SRC=64.34.119.12 DST=192.168.218.101 LEN=60 TOS=0x00 PREC=0x00 TTL=52 ID=0 DF PROTO=TCP SPT=80 DPT=48218 WINDOW=5792 RES=0x00 ACK SYN URGP=0 
Jun  5 14:55:35 localhost kernel: [572544.149415] IN=eth1 OUT= MAC=... SRC=64.34.119.12 DST=192.168.218.101 LEN=451 TOS=0x00 PREC=0x00 TTL=52 ID=20682 DF PROTO=TCP SPT=80 DPT=48218 WINDOW=63 RES=0x00 ACK PSH URGP=0 
Jun  5 14:55:50 localhost kernel: [572559.133253] IN=eth1 OUT= MAC=... SRC=64.34.119.12 DST=192.168.218.101 LEN=52 TOS=0x00 PREC=0x00 TTL=52 ID=20683 DF PROTO=TCP SPT=80 DPT=48218 WINDOW=63 RES=0x00 ACK FIN URGP=0

Ho disabilitato tutto il port forwarding dal mio router (ssh 22 e openvpn 1194), quindi non capisco come questi pacchetti lo facciano alla casella 192.168.218.101 (il mio computer ha chiamato "localhost")

ho provato ad aggiungere tcpdump per esaminare questi pacchetti con 

sudo tcpdump "(dst net 192.168.218.0/24 and ! src net 192.168.218.0/24)"

ma non restituisce una singola riga di output

Qualche idea sul perché questi pacchetti stiano attraversando il router? il router è una casa D-Link Dir-600, ho disabilitato il port forwarding e nessuna regola firewall, DMZ disabilitato

che tipo di diagnostica posso fare per sapere qual è il carico utile in questi pacchetti? perché tcpdump non mostra nulla?

    
posta lurscher 05.06.2011 - 22:06
fonte

2 risposte

10

Gli indirizzi di origine non sono completamente sconosciuti: il primo è da canonical.com , che ospita i pacchetti di Ubuntu (quindi suppongo che il tuo sistema esegua Ubuntu, e attualmente cerchi di vedere se ci sono aggiornamenti disponibili per i tuoi pacchetti installati). Il secondo indirizzo è stackoverflow.com , un sito noto in queste parti. Molto probabilmente, questi pacchetti sono solo una parte delle connessioni client dal tuo computer a Internet in generale, per le quali il tuo router gira NAT (che è il suo compito principale). Il port forwarding è per le connessioni in entrata (dall'esterno al tuo sistema).

Il registro mostra che i pacchetti attraversano la tua scheda di rete eth1 . Su un sistema Linux, questo è l'adattatore secondo , il primo è eth0 (possibilmente hai un'interfaccia ethernet e un adattatore WiFi e usi quest'ultimo). tcpdump usa eth0 per impostazione predefinita, il che spiegherebbe perché non si vede alcun pacchetto con esso. Prova a utilizzare l'opzione -i per tcpdump (consulta la pagina man).

    
risposta data 05.06.2011 - 22:53
fonte
6

Solo per aggiungere la risposta di @Thomas. i pacchetti che hai in quell'acquisizione sembrano essere risposte alle richieste dalla tua macchina per un paio di motivi.

Porte. Hanno una porta di destinazione 80 porta di destinazione [qualcosa nella gamma alta]. questo è uno schema tipico per una connessione a un server web dalla macchina (quindi probabile che questi pacchetti siano risposte.

Anche bandiere TCP. il flag ACK specificato di solito indica (supponendo che qualcuno non stia generando traffico artificiale) una parte in corso di una connessione TCP. Se le connessioni fossero nuove (in genere se qualcuno stesse tentando di connettersi a un servizio in esecuzione sul tuo computer) vedresti il set di flag SYN.

    
risposta data 06.06.2011 - 09:41
fonte

Leggi altre domande sui tag

Vuoi andare con SSD o Disco Rigido? Esiste un nome comune per un difetto software che porta a un trasferimento imprevisto di segreti sul filo?