Attacco LAND UDP su lan

[hdd]

Ciao Raga e' un po di giorni che nella mia rete lan di circa 20pc, nel log del firewall ( uno zywall5) ci sono 20-30 attacchi al giorno di questo tipo:

2007-07-03 22:27:31 land UDP (Repeated: 2) 0.0.0.0:623 0.0.0.0:162 ATTACK

ma e' un'attacco che viene dall'esterno cioe' da internet o e' qualche pc in rete che fa il furbo?

Grazie!!!

[W.S.]

Con quegli ip viene sicuramente dall'interno, altrimenti i pacchetti non serebbero in grado di raggiungere la tua rete.

P.S.: se hai la possibilità verifica il mac sorgente, magari ti va bene e non è spooffato

[hdd]

Grazie W.S. ! come posso verificare il mac sorgente, e cosa intendi x "spoffato"??

[W.S.]

attaccati con uno sniffer (es. ethereal) e vedi di intercettare quei pacchetti in modo da leggere il frame ethernet (mac address compreso).

Per "spooffato" intendo che l'attaccante (reale o automatizzato che sia) potrebbe modificare il mac address sorgente dei frame in modo da non essere rintracciabile così facilmente. Se non l'ha fatto ti basta verificare quale macchina ha quel mac address per capire la fonte del problema. Se l'ha fatto la cosa è un pò + laboriosa, ma con 20 macchine ce la si cava relativamente bene

[hdd]

grazie di nuovo... ho scaricato e installato ethereal..pero' potresti darmi qualche info su come usarlo???? ciauzzz

[W.S.]

...

Capture -> scegli l'interfaccia di rete su cui ascoltare -> capture

Dopo un pò di pacchetti catturati fai stop ed ethereal ti elenca tutto quello che ha visto.

EDIT: ricordo (scusa la banalità ma visto che hai chiesto come usare ethereal non posso dare per scontato che tu lo sappia) che è meglio sniffare il traffico sullo stesso segmento di rete del firewall, altrimenti non è detto che i pacchetti che vorresti leggere arrivino a te, dipende dagli switch e da come sono fatti i pacchetti.

[hdd]

Grazie a te ho scoperto questo:

No. Time Source Destination Protocol Info
3423 1017.816906 0.0.0.0 0.0.0.0 SNMP TRAP-V1 SNMPv2-SMI::enterprises.3183.1.1.1

Frame 3423 (156 bytes on wire, 156 bytes captured)
Ethernet II, Src: Intel_b1:0d:0e (00:04:23:b1:0d:0e), Dst: 00:00:00_00:00:00 (00:00:00:00:00:00)
Internet Protocol, Src: 0.0.0.0 (0.0.0.0), Dst: 0.0.0.0 (0.0.0.0)
User Datagram Protocol, Src Port: 623 (623), Dst Port: snmptrap (162)
Simple Network Management Protocol

adesso so qual'e' il pc (che e' il server win2000) come posso risolvere, cos'e' che genera tutto cio?? Grazie

[W.S.]

Quote:

Originariamente inviato da hdd

Grazie a te ho scoperto questo:

No. Time Source Destination Protocol Info
3423 1017.816906 0.0.0.0 0.0.0.0 SNMP TRAP-V1 SNMPv2-SMI::enterprises.3183.1.1.1

Frame 3423 (156 bytes on wire, 156 bytes captured)
Ethernet II, Src: Intel_b1:0d:0e (00:04:23:b1:0d:0e), Dst: 00:00:00_00:00:00 (00:00:00:00:00:00)
Internet Protocol, Src: 0.0.0.0 (0.0.0.0), Dst: 0.0.0.0 (0.0.0.0)
User Datagram Protocol, Src Port: 623 (623), Dst Port: snmptrap (162)
Simple Network Management Protocol

adesso so qual'e' il pc (che e' il server win2000) come posso risolvere, cos'e' che genera tutto cio?? Grazie

SNMP è un protocollo usato per monitorare i sistemi, è probabile che non ci sia alcun attacco ma che il server sia impostato per inviare quelle informazioni ... anche se mi sfugge il motivo per cui il mac di destinazione è 00:00:00:00:00:00, magari s'è incastrato il demone snmp e continua a creare pacchetti del genere.
Il firewall lo rileva come attacco land perchè l'ip src e dst sono uguali ma potrebbe essere un falso positivo, prova a disattivare il demone snmp sul server.

[hdd]

che strano...ho controllato: ho un servizio "SNMP Trap" che pero' e' arrestato, poi altri servizi snmp non ne ho visti...