PDA

View Full Version : Kernel Intrusion: valangate di log

Stelix
27-07-2007, 23:25
Più che un problema il mio vuole essere un confronto con voi,
il log del mio router ogni giorno registra decine e decine di "Kernel Intrusion", dai più svariati IP (la maggior parte comuqnue della stessa classe) e nelle più svariate porte, a tutte le ore del giorno (anche quando non c'è nessun PC connesso).
Quasi tutti gli ip sorgenti sono Italiani, molto spesso anche se con ip diversi dalla stessa zona.

Ok, si tratta dei soliti che si divertono a fare port-scanning ma anche voi registrate la stessa quantità di log del genere?
O ci possono essere altre possibili cause?
Sì insomma, è nella norma o il mio è un caso patologico?
Per farvi un esempio questo è il mio report di oggi (ovviamente ho nascosto gli ip) dalle 16:00 alle 23:00...booh....



Jul 27 23:00:07 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=84.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=114 ID=1795 DF PROTO=TCP SPT=1457 DPT=4662 WINDOW=65535 RES=0x00 SYN URGP=0
Jul 27 22:48:23 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=7647 DF PROTO=TCP SPT=4948 DPT=5800 WINDOW=16384 RES=0x00 SYN URGP=0
Jul 27 22:44:11 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=28330 DF PROTO=TCP SPT=4609 DPT=5800 WINDOW=16384 RES=0x00 SYN URGP=0
Jul 27 22:28:24 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=30229 DF PROTO=TCP SPT=4525 DPT=445 WINDOW=32768 RES=0x00 SYN URGP=0
Jul 27 22:18:57 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=40 TOS=0x00 PREC=0x00 TTL=121 ID=24588 PROTO=TCP SPT=22608 DPT=139 WINDOW=16384 RES=0x00 SYN URGP=0
Jul 27 22:18:13 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=65531 DF PROTO=TCP SPT=4100 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0
Jul 27 22:18:10 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=65308 DF PROTO=TCP SPT=4100 DPT=135 WINDOW=16384 RES=0x00 SYN URGP=0
Jul 27 22:17:50 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=63808 DF PROTO=TCP SPT=3766 DPT=139 WINDOW=16384 RES=0x00 SYN URGP=0
Jul 27 22:17:47 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=63565 DF PROTO=TCP SPT=3766 DPT=139 WINDOW=16384 RES=0x00 SYN URGP=0
Jul 27 22:17:10 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=60776 DF PROTO=TCP SPT=3194 DPT=139 WINDOW=16384 RES=0x00 SYN URGP=0
Jul 27 22:17:08 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=60550 DF PROTO=TCP SPT=3194 DPT=139 WINDOW=16384 RES=0x00 SYN URGP=0
Jul 27 22:17:02 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=60106 DF PROTO=TCP SPT=3070 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=0
Jul 27 22:16:59 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=59863 DF PROTO=TCP SPT=3070 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=0
Jul 27 22:15:07 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=40 TOS=0x00 PREC=0x00 TTL=121 ID=27659 PROTO=TCP SPT=24009 DPT=139 WINDOW=16384 RES=0x00 SYN URGP=0
Jul 27 22:04:13 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=40 TOS=0x00 PREC=0x00 TTL=121 ID=3708 PROTO=TCP SPT=22608 DPT=139 WINDOW=16384 RES=0x00 SYN URGP=0
Jul 27 21:56:08 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=21229 DF PROTO=TCP SPT=3812 DPT=139 WINDOW=16384 RES=0x00 SYN URGP=0
Jul 27 21:46:51 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=121.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=100 ID=42509 DF PROTO=TCP SPT=2487 DPT=4662 WINDOW=65535 RES=0x00 SYN URGP=0
Jul 27 21:35:58 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=81.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=115 ID=43153 DF PROTO=TCP SPT=3681 DPT=4662 WINDOW=65535 RES=0x00 SYN URGP=0
Jul 27 21:35:52 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=81.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=115 ID=42593 DF PROTO=TCP SPT=3681 DPT=4662 WINDOW=65535 RES=0x00 SYN URGP=0
Jul 27 21:35:49 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=81.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=115 ID=42301 DF PROTO=TCP SPT=3681 DPT=4662 WINDOW=65535 RES=0x00 SYN URGP=0
Jul 27 21:34:00 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=81.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=23508 DF PROTO=TCP SPT=2395 DPT=4662 WINDOW=16384 RES=0x00 SYN URGP=0
Jul 27 21:33:57 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=81.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=23421 DF PROTO=TCP SPT=2395 DPT=4662 WINDOW=16384 RES=0x00 SYN URGP=0
Jul 27 21:29:46 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=200.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=50857 DF PROTO=TCP SPT=2988 DPT=4662 WINDOW=65535 RES=0x00 SYN URGP=0
Jul 27 21:29:43 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=200.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=50780 DF PROTO=TCP SPT=2988 DPT=4662 WINDOW=65535 RES=0x00 SYN URGP=0
Jul 27 21:29:19 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=64 TOS=0x00 PREC=0x00 TTL=39 ID=45788 DF PROTO=TCP SPT=4269 DPT=135 WINDOW=53760 RES=0x00 SYN URGP=0
Jul 27 21:29:17 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=64 TOS=0x00 PREC=0x00 TTL=39 ID=45382 DF PROTO=TCP SPT=4269 DPT=135 WINDOW=53760 RES=0x00 SYN URGP=0
Jul 27 21:29:12 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=40 TOS=0x00 PREC=0x00 TTL=121 ID=30448 PROTO=TCP SPT=24009 DPT=139 WINDOW=16384 RES=0x00 SYN URGP=0
Jul 27 21:24:21 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=90.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=32477 DF PROTO=TCP SPT=3703 DPT=4662 WINDOW=16384 RES=0x00 SYN URGP=0
Jul 27 21:24:20 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=84.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=114 ID=4805 DF PROTO=TCP SPT=2972 DPT=4662 WINDOW=65535 RES=0x00 SYN URGP=0
Jul 27 21:24:18 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=84.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=114 ID=4397 DF PROTO=TCP SPT=2972 DPT=4662 WINDOW=65535 RES=0x00 SYN URGP=0
Jul 27 21:24:15 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=90.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=32327 DF PROTO=TCP SPT=3703 DPT=4662 WINDOW=16384 RES=0x00 SYN URGP=0
Jul 27 21:24:12 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=90.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=116 ID=32220 DF PROTO=TCP SPT=3703 DPT=4662 WINDOW=16384 RES=0x00 SYN URGP=0
Jul 27 21:14:38 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=87.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=50312 DF PROTO=TCP SPT=3327 DPT=4662 WINDOW=65535 RES=0x00 SYN URGP=0
Jul 27 21:12:10 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=81.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=115 ID=60073 DF PROTO=TCP SPT=18231 DPT=4662 WINDOW=65535 RES=0x00 SYN URGP=0
Jul 27 21:07:52 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=40 TOS=0x00 PREC=0x00 TTL=121 ID=32507 PROTO=TCP SPT=24009 DPT=139 WINDOW=16384 RES=0x00 SYN URGP=0
Jul 27 21:03:40 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=64 TOS=0x00 PREC=0x00 TTL=39 ID=47534 DF PROTO=TCP SPT=4256 DPT=135 WINDOW=53760 RES=0x00 SYN URGP=0
Jul 27 21:03:37 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=64 TOS=0x00 PREC=0x00 TTL=39 ID=47105 DF PROTO=TCP SPT=4256 DPT=135 WINDOW=53760 RES=0x00 SYN URGP=0
Jul 27 20:51:43 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=64 TOS=0x00 PREC=0x00 TTL=40 ID=1437 DF PROTO=TCP SPT=1549 DPT=445 WINDOW=53760 RES=0x00 SYN URGP=0
Jul 27 20:51:40 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=64 TOS=0x00 PREC=0x00 TTL=40 ID=1199 DF PROTO=TCP SPT=1549 DPT=445 WINDOW=53760 RES=0x00 SYN URGP=0
Jul 27 20:34:39 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=37330 DF PROTO=TCP SPT=4493 DPT=445 WINDOW=32768 RES=0x00 SYN URGP=0
Jul 27 20:34:36 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=37268 DF PROTO=TCP SPT=4493 DPT=445 WINDOW=32768 RES=0x00 SYN URGP=0
Jul 27 20:16:47 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=32487 DF PROTO=TCP SPT=4898 DPT=445 WINDOW=65535 RES=0x00 SYN URGP=0
Jul 27 20:16:44 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=32210 DF PROTO=TCP SPT=4898 DPT=445 WINDOW=65535 RES=0x00 SYN URGP=0
Jul 27 19:54:25 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=40 TOS=0x00 PREC=0x00 TTL=121 ID=30193 PROTO=TCP SPT=11654 DPT=139 WINDOW=16384 RES=0x00 SYN URGP=0
Jul 27 19:52:08 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=40 TOS=0x00 PREC=0x00 TTL=121 ID=18044 PROTO=TCP SPT=11654 DPT=139 WINDOW=16384 RES=0x00 SYN URGP=0
Jul 27 19:43:01 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=35727 DF PROTO=TCP SPT=3748 DPT=445 WINDOW=32768 RES=0x00 SYN URGP=0
Jul 27 19:24:39 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=40 TOS=0x00 PREC=0x00 TTL=121 ID=6431 PROTO=TCP SPT=28958 DPT=139 WINDOW=16384 RES=0x00 SYN URGP=0
Jul 27 19:17:23 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=40 TOS=0x00 PREC=0x00 TTL=121 ID=24343 PROTO=TCP SPT=11654 DPT=139 WINDOW=16384 RES=0x00 SYN URGP=0
Jul 27 19:14:06 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=16831 DF PROTO=TCP SPT=2781 DPT=135 WINDOW=64240 RES=0x00 SYN URGP=0
Jul 27 19:14:03 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=16660 DF PROTO=TCP SPT=2781 DPT=135 WINDOW=64240 RES=0x00 SYN URGP=0
Jul 27 18:53:11 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=40 TOS=0x00 PREC=0x00 TTL=121 ID=27147 PROTO=TCP SPT=8403 DPT=139 WINDOW=16384 RES=0x00 SYN URGP=0
Jul 27 18:36:27 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=64 TOS=0x00 PREC=0x00 TTL=40 ID=3596 DF PROTO=TCP SPT=1125 DPT=445 WINDOW=53760 RES=0x00 SYN URGP=0
Jul 27 18:29:22 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=40 TOS=0x00 PREC=0x00 TTL=121 ID=16542 PROTO=TCP SPT=8403 DPT=139 WINDOW=16384 RES=0x00 SYN URGP=0
Jul 27 18:15:16 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=7474 DF PROTO=TCP SPT=4366 DPT=445 WINDOW=32768 RES=0x00 SYN URGP=0
Jul 27 18:03:26 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=112 ID=32673 DF PROTO=TCP SPT=4238 DPT=4662 WINDOW=16384 RES=0x00 SYN URGP=0
Jul 27 17:55:03 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=40 TOS=0x00 PREC=0x00 TTL=121 ID=18571 PROTO=TCP SPT=8403 DPT=139 WINDOW=16384 RES=0x00 SYN URGP=0
Jul 27 17:49:20 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=40 TOS=0x00 PREC=0x00 TTL=121 ID=4696 PROTO=TCP SPT=8403 DPT=139 WINDOW=16384 RES=0x00 SYN URGP=0
Jul 27 17:33:24 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=40 TOS=0x00 PREC=0x00 TTL=121 ID=16786 PROTO=TCP SPT=28958 DPT=139 WINDOW=16384 RES=0x00 SYN URGP=0
Jul 27 17:29:53 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=64 TOS=0x00 PREC=0x00 TTL=40 ID=59296 DF PROTO=TCP SPT=2508 DPT=445 WINDOW=53760 RES=0x00 SYN URGP=0
Jul 27 17:19:31 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=64 TOS=0x00 PREC=0x00 TTL=41 ID=608 DF PROTO=TCP SPT=1067 DPT=445 WINDOW=53760 RES=0x00 SYN URGP=0
Jul 27 17:08:00 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=119 ID=31702 DF PROTO=TCP SPT=4664 DPT=445 WINDOW=64240 RES=0x00 SYN URGP=0
Jul 27 16:58:28 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=40 TOS=0x00 PREC=0x00 TTL=121 ID=17322 PROTO=TCP SPT=20465 DPT=139 WINDOW=16384 RES=0x00 SYN URGP=0
Jul 27 16:45:51 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=40 TOS=0x00 PREC=0x00 TTL=121 ID=28826 PROTO=TCP SPT=2643 DPT=139 WINDOW=16384 RES=0x00 SYN URGP=0
Jul 27 16:40:09 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=40 TOS=0x00 PREC=0x00 TTL=125 ID=11627 PROTO=TCP SPT=15910 DPT=139 WINDOW=16384 RES=0x00 SYN URGP=0
Jul 27 16:28:50 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=120 ID=12048 DF PROTO=TCP SPT=3117 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=0
Jul 27 16:13:59 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=40 TOS=0x00 PREC=0x00 TTL=121 ID=11217 PROTO=TCP SPT=28958 DPT=139 WINDOW=16384 RES=0x00 SYN URGP=0
Jul 27 16:04:10 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=40 TOS=0x00 PREC=0x00 TTL=121 ID=21421 PROTO=TCP SPT=8403 DPT=139 WINDOW=16384 RES=0x00 SYN URGP=0
Jul 27 16:02:16 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=274 DF PROTO=TCP SPT=3321 DPT=139 WINDOW=16384 RES=0x00 SYN URGP=0
Jul 27 16:02:12 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=65421 DF PROTO=TCP SPT=3215 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=0
Jul 27 16:02:09 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=65131 DF PROTO=TCP SPT=3215 DPT=445 WINDOW=16384 RES=0x00 SYN URGP=0
Jul 27 15:53:16 user alert kernel: Intrusion -> IN=ppp_8_35_1 OUT= MAC= SRC=151.xxx.xxx.xxx DST=151.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=52557 DF PROTO=TCP SPT=1259 DPT=135 WINDOW=65535 RES=0x00 SYN URGP=0
xcdegasp
27-07-2007, 23:45
normale e potrebbe essere la causa proprio l'ip dinamico..
ogni utente italiano di norma ha un gruppo di 6-8 ip dinamici (dipende dal provider) che può usare per accedere ad internet, l'inconveniente è che questo gruppo di ip non è esclusivo ma in share con altri utenti.. in genere condiviso con altri 4 utenti o più..

il problema è che se ci disconettiamo per un qualsiasi motivo ci verrà assegnato un nuovo ip ma nuovo solo per noi perchè poteva già essere usato pochi secondi prima da un altro cliente..
quindi se questo cliente usava emule, noi subiamo la valanga di richieste da parte della rete emule che conoscieva quell'ip come indirizzo usato dal precedente cliente :)
Stelix
27-07-2007, 23:54
normale e potrebbe essere la causa proprio l'ip dinamico..
ogni utente italiano di norma ha un gruppo di 6-8 ip dinamici (dipende dal provider) che può usare per accedere ad internet, l'inconveniente è che questo gruppo di ip non è esclusivo ma in share con altri utenti.. in genere condiviso con altri 4 utenti o più..il problema è che se ci disconettiamo per un qualsiasi motivo ci verrà assegnato un nuovo ip ma nuovo solo per noi perchè poteva già essere usato pochi secondi prima da un altro cliente..

Si questo è ovvio, il mio range di IP è molto più di 6-8, saranno un migliaio o più senza fare troppi conti con le classi.


quindi se questo cliente usava emule, noi subiamo la valanga di richieste da parte della rete emule che conoscieva quell'ip come indirizzo usato dal precedente cliente :)

Questa è un'ipotesi interessante ;)

Però c'è da dire che il mio router è costantemente connesso ad Internet, il più delle volte è lo stesso provider che riavvia la connessione per cambiarmi IP dopo 4-5 giorni e i log li ricevo comunque costantemente.

Vabbè, il fatto che tu mi dica che è nella norma mi tranquillizza....
xcdegasp
28-07-2007, 00:15
Si questo è ovvio, il mio range di IP è molto più di 6-8, saranno un migliaio o più senza fare troppi conti con le classi.



Questa è un'ipotesi interessante ;)

Però c'è da dire che il mio router è costantemente connesso ad Internet, il più delle volte è lo stesso provider che riavvia la connessione per cambiarmi IP dopo 4-5 giorni e i log li ricevo comunque costantemente.

Vabbè, il fatto che tu mi dica che è nella norma mi tranquillizza....
io i log li ho spenti nel mio router perchè dopo una certa quota di occupazione può far freezzare l'apparato o può causare lo stop del firewall..
tra le altre cose, se qualcosa viene scritto nel log è perchè è stata bloccata quindi nons erve a nulla ;)

non puoi avere avere a disposizione un migliaio di ip per la tua connessione, sono al massimo 8 quelli su cui puoi giocare in modalità random..
un migliaio sono quelli che si schiantano sul tuo router ma non c'entrano na mazza con il mio discorso dell'assegnazione di ip dinamico ;)
xcdegasp
28-07-2007, 09:53
Credo che Stelix abbia il usr-9108, ottimo router..
lo possiedo pure io ma l'esperienza con il usr-9107 mi ha fatto spegnere i log :p
nuovoUtente86
28-07-2007, 17:54
normale e potrebbe essere la causa proprio l'ip dinamico..
ogni utente italiano di norma ha un gruppo di 6-8 ip dinamici (dipende dal provider) che può usare per accedere ad internet, l'inconveniente è che questo gruppo di ip non è esclusivo ma in share con altri utenti.. in genere condiviso con altri 4 utenti o più..

il problema è che se ci disconettiamo per un qualsiasi motivo ci verrà assegnato un nuovo ip ma nuovo solo per noi perchè poteva già essere usato pochi secondi prima da un altro cliente..
quindi se questo cliente usava emule, noi subiamo la valanga di richieste da parte della rete emule che conoscieva quell'ip come indirizzo usato dal precedente cliente :)scusa quale è il vantaggio di utilizzare in maniera random 8 ip per 4 o piu utenti quando il provider potrebbe assegnarne uno random scelto fra tutti i suoi disponibili e liberi in quel momento?
xcdegasp
28-07-2007, 18:49
scusa quale è il vantaggio di utilizzare in maniera random 8 ip per 4 o piu utenti quando il provider potrebbe assegnarne uno random scelto fra tutti i suoi disponibili e liberi in quel momento?
lo share tra 1 o più persone è delineato in base a quanta utenza possiede un provider in quella zona..
se ha 10 utenti complessivamente sicuramente questi 10 utenti avranno range quasi esclusivi.
gli ip sono assegnati dalla centrale a cui ti colleghi quindi uno di milano non può condividere il range di ip con una persona di macerata o di trento o catania... teoricamente è possibile assegnarli diversamente ma si avrebbero difficoltà nell'identificare la regione geografica di un ip e problemi realizzativi.

l'estenderlo all'intero suolo nazionale vorrebbe significare riorganizzare la struttura dei provider perchè dovresti avere uno o più server che come lavoro controllano quali ip siano liberi e quali occupati e il problema è come segnalare alle centrali quali siano utilizzabili e quali no.. senza contare che ci possono essere conflitti perchè esiste un tempo di latenza tra un aggiornamento ed un altro e in quell'istante hai una lista obsoleta.

la gestione degli ip lato centrale e per zona rende le cose notevolmente più semplificate perchè si gioca tutto in casa e la lista degli ip disponibili è aggiornata in qualsiasi istante senza occupare server a fare solo il calcolo degli ip disponibili e senza sprecare banda sulle dorsali nazionali ;)
nuovoUtente86
28-07-2007, 22:14
si effettivamente il costo di gestione è assolutamente meno dispendioso.Però se utilizzi uno di quei localizzatori d ip,ne esiste uno anche di microsoft..solitamente localizzano gli ip tutti a roma o milano,come mai?
Stelix
01-08-2007, 00:40
Anche io ricevo parecchi attacchi con emule acceso:

07/28/2007 01:37:14 192.168.2.6 login success
07/28/2007 01:07:53 **Smurf** 218.68.79.0, 1035->> 192.168.2.6, 50008 (from PPPoE1 Inbound)
07/28/2007 00:22:55 NTP Date/Time updated.
07/27/2007 23:53:04 **Smurf** 217.217.29.0, 2384->> 192.168.2.6, 50007 (from PPPoE1 Inbound)
07/27/2007 23:52:58 **Smurf** 217.217.29.0, 2384->> 192.168.2.6, 50007 (from PPPoE1 Inbound)
07/27/2007 23:52:55 **Smurf** 217.217.29.0, 2384->> 192.168.2.6, 50007 (from PPPoE1 Inbound)
07/27/2007 22:11:30 **Smurf** 213.99.239.255, 10044->> 192.168.2.6, 50008 (from PPPoE1 Inbound)
07/27/2007 21:04:21 **TCP FIN Scan** 192.168.2.6, 1996->> 66.249.93.176, 80 (from PPPoE1 Outbound)
07/27/2007 21:04:21 **TCP FIN Scan** 192.168.2.6, 50007->> 151.73.64.79, 4008 (from PPPoE1 Outbound)
07/27/2007 21:04:21 **TCP FIN Scan** 192.168.2.6, 50007->> 84.4.120.103, 3880 (from PPPoE1 Outbound)
07/27/2007 21:04:21 **TCP FIN Scan** 192.168.2.6, 50007->> 81.182.202.210, 2321 (from PPPoE1 Outbound)
07/27/2007 20:38:42 **Smurf** 222.247.105.0->> 192.168.2.6, Type:3, Code:3 (from PPPoE1 Inbound)
07/27/2007 20:15:14 **Smurf** 219.144.51.0, 4709->> 192.168.2.6, 50008 (from PPPoE1 Inbound)
07/27/2007 20:09:03 **Ping of Death/Tear Drop** 84.220.58.85, 4672->> 192.168.2.6, 50008 (from PPPoE1 Inbound)
07/27/2007 19:47:52 **TCP FIN Scan** 192.168.2.6, 2931->> 81.211.216.13, 17330 (from PPPoE1 Outbound)

Certo che però tu ne ricevi a manetta. Forse il tuo firewall è migliore?:confused:

Da dire anche che senza il mulo acceso ne ricevo si e no 2/3...e kaspersky fino ad oggi è a zero attacchi bloccati.

Io sia con il mulo spento o acceso ricevo in continuazione valangate di log; boh.
Può essere che il Pc di mio fratello sia zozzo di robaccia ma il problema si verifica pure quando non c'è nessun PC acceso :confused: Boh...
Stelix
01-08-2007, 00:41
Credo che Stelix abbia il usr-9108, ottimo router..
lo possiedo pure io ma l'esperienza con il usr-9107 mi ha fatto spegnere i log :p

Ho il USR-9107A, il wireless non mi interessa, non mi piaceva l'idea di dormire con un antenna sempre accesa accanto al letto ;)
Ad ogni modo ottimo router :)
Stelix
01-08-2007, 00:49
lo share tra 1 o più persone è delineato in base a quanta utenza possiede un provider in quella zona..
se ha 10 utenti complessivamente sicuramente questi 10 utenti avranno range quasi esclusivi.
gli ip sono assegnati dalla centrale a cui ti colleghi quindi uno di milano non può condividere il range di ip con una persona di macerata o di trento o catania... teoricamente è possibile assegnarli diversamente ma si avrebbero difficoltà nell'identificare la regione geografica di un ip e problemi realizzativi.

l'estenderlo all'intero suolo nazionale vorrebbe significare riorganizzare la struttura dei provider perchè dovresti avere uno o più server che come lavoro controllano quali ip siano liberi e quali occupati e il problema è come segnalare alle centrali quali siano utilizzabili e quali no.. senza contare che ci possono essere conflitti perchè esiste un tempo di latenza tra un aggiornamento ed un altro e in quell'istante hai una lista obsoleta.

la gestione degli ip lato centrale e per zona rende le cose notevolmente più semplificate perchè si gioca tutto in casa e la lista degli ip disponibili è aggiornata in qualsiasi istante senza occupare server a fare solo il calcolo degli ip disponibili e senza sprecare banda sulle dorsali nazionali ;)

Sono quasi sicuro che il mio provider (uno dei più comuni) non assegni un determinato range di ip non in base alla zona; (Ipotesi: ho il dubbio che lo faccia in base alla tipologia di contratto/connessione).

Gli ip disponibili che io ho sono ben maggiori di 6-8 (ogni tanto mi segno l'ip assegnatomi in un file, sarò arrivato aquasi una ventina di IP diversi in 2 mesi).
Senza contare che gli ip della quale ricevo i log postati sopra, spesso si trovano nella mia stessa classe di IP (sti geni che fanno port scanning...), e da una facile ricerca ho visto che si trovano spesso in zone dell'italia ben lontana dalla mia...

Boh, ogni provider utilizza un suo criterio e una sua struttura di rete distinta.
xcdegasp
01-08-2007, 07:45
Ho il USR-9107A, il wireless non mi interessa, non mi piaceva l'idea di dormire con un antenna sempre accesa accanto al letto ;)
Ad ogni modo ottimo router :)
prima ho avuto anche io il 9107, veramente un ottimo router, solo che poi volevano darmi il notebook aziendale quindi nell'attesa mi sono dotato del fratellone maggiore (9108) ;)

interessante la tua analisi sul tuo provider, per curiosità mi manderesti via pvt il nome dell'azienda? :p

no tranquillo non è cmq una casusa della tua lan quel numero elevato di scansioni...
xcdegasp
01-08-2007, 07:47
si effettivamente il costo di gestione è assolutamente meno dispendioso.Però se utilizzi uno di quei localizzatori d ip,ne esiste uno anche di microsoft..solitamente localizzano gli ip tutti a roma o milano,come mai?

perchè si limitano a dire la sede della ditta a cui appartiene quel ip :)
ma ci sono servizi che ti dicono molto di più per un ip :)