come mai sono in costante ricezione di byte?

[vici_1]

Ho la linea ADSL e da ieri sera avviene una strano fenomeno : sono in costante ricezione di pacchetti, intorno ai 200/300 byte con picchi di 600/700.
Inizia appena mi connetto.
La luce RX del modem e' costantemente accesa.
Non mi era mai successo.
Cosa puo' essere?.

Usando il firewall ho scoperto che i pacchetti che ricevo sono di questo tipo : (vedi allegato)

[cionci]

Strano...sono tutti sulla porta 1214 e tutti da ip diversi...secondo em ti stanno floodando... Esisteva un vecchio DoS che usava una lista di host zombie per spedire continuamente pacchetti ad un certo ip...
Oppure potrebbe essere semplicemente un SYN flood da una lista di ip spoofati...
In ogni caso è un attacco volontario...

[vici_1]

Sono poco esperto, quindi non ho capito molto di cio' che mi hai detto(tecnicamente). Riguardo all'attacco credo che tu abbia ragione perche' questa mattina e' tutto regolare(spia RX spenta). La situazione anomala mi si presenta da due sere consecutive, anche cambiando pc(quindi e' esterno) .
Pensi che con questa regola che applico al firewall(kerio - spero che tu lo conosca) posso stare "tranquilo? (ovviamente l'ho applicata dopo la regola che permette al browser e alla posta di lavorare)

Grazie.
Ciao.

[cionci]

Non consco quel firewall, ma sefai così non credo che tu riesca ad utilizzare alcun programma diverso dalla client di posta e dal browser...
Se ti va bene così, non avrai problemi...

Hai un IP statico ? Se non ce l'hai prova a disconnetterti ed a ottenere un altro IP...

[C4rino]

..poterbbe anche non essere un attacco volontario.
Tempo fa, per disattenzione (20 e passa finestre aperte del browser) ho scaricato e installato un prog che, chiaramente a mia insaputa, ha installato uno spyware del cavolo, aggiugnendo anche una barra all'explorer, che continuava a inviare e ricevere pacchetti da un server sconosciuto.........

..questo invio ha satuarto la linea aziendale con relativa caduta del server...

ciao!

[vici_1]

Uso solo il browser e la posta per cui dovrei essere a posto. Cmq. basta spostare la regola, come sequenza, dopo l'eventuale accesso che mi serve.

L IP e' dinamico , ma chissa' come mai e' 2 sere che ho lo stesso IP anche se mi connetto e sconnetto piu' volte.

Ciao.
Grazie.

[C4rino]

..leggevo che solitamente cambia ogni 24h....però non mi è chiaro...

[cionci]

Quote:

Originally posted by "C4rino"

aggiugnendo anche una barra all'explorer, che continuava a inviare e ricevere pacchetti da un server sconosciuto.........
..questo invio ha satuarto la linea aziendale con relativa caduta del server...

Ma qui succede il contrario lui riceve i pacchetti da tanti ip diversi e tutti sulla stessa porta...

Per il cambiamento di ip dipende dal tempo di scadenza del lease del server DHCP...in alcuni casi cambia ad ogni disconnessione in altri alla connessione successiva dopo un tot di ore...

[il Giusti]

beh, cmq per stare sicuro basterebbe bloccare la porta 1214.....credo...

[cionci]

Tra l'altro non si possono nemmeno accorgere che la porta non risponde con l'ACK perchè gli indirizzi sono spoofati...
Purtroppo se se ne accorgono basta cambiare porta...

[recoil]

secondo me per stare tranquillo dovresti impostare il firewall per fare in modo che passino solo determinati programmi, su determinate porte.
almeno, io mi sento abbastanza al sicuro così... se i programmi che uso non sono bacati ho di che stare tranquillo. ma i programmi saranno a posto? mah... ^__^

[vici_1]

Quote:

Originally posted by "cionci"


Ma qui succede il contrario lui riceve i pacchetti da tanti ip diversi e tutti sulla stessa porta...

Per il cambiamento di ip dipende dal tempo di scadenza del lease del server DHCP...in alcuni casi cambia ad ogni disconnessione in altri alla connessione successiva dopo un tot di ore...

Questo spiega perche' finalmente stasera ho l'IP diverso...

[vici_1]

Quote:

Originally posted by "cionci"

Tra l'altro non si possono nemmeno accorgere che la porta non risponde con l'ACK perchè gli indirizzi sono spoofati...
Purtroppo se se ne accorgono basta cambiare porta...

Scusa, ma spoofati casa significa?

Era come se ci fosse un ciclo di indirizzi, poi cambiavano porta, L'esempio era solo una parte del log. C'era al cambio porta (mi sembra) un riciclo degli stessi indirizzi.

Cmq questa sera e' tutto regolare.
Tra l'altro sto facendo dei controlli con spybot per vedere se ci sono spyware.

[cionci]

Fare spoofing significa andare ad inviare un pacchetto IP il cui indirizzo IP sorgente è diverso da tutti quelli della macchina che lo invia...
Chiaramente non si potrà ricevere una risposta dalla macchina di destinazione, ma non serve
Era un attacco di tipo DoS... Denial of service che puntava o a saturare la tua linea oppure viene solitamente usato per saturare le connessioni in ingresso di una macchina che offre certi servizi (provacandone la caduta o l'impossibilità di rispondere alle richieste reali di quei servizi)...
Come ho già detto le cose sono due :
1) L'attacco veniva da host zombie ("ubbidivano" ad un host principale che li controllava) che inviavano dati al tuo PC, quindi gli IP erano reali e non spoofati...in questo caso si tratta di un attacco di tipo DDoS...Distribuited Denial of Service...
2) oppure erano IP spoofati...in questo caso si tratta di un attacco più semplice...un DoS di tipo SYN flood... Il pacchetto SYN è il primo pacchetto TCP che viene inviato da una macchina che vuole stabilire una connessione con una porta dell'host di destinazione... L'host se ha la porta aperta risponde con un pacchetto TCP di tipo ACK... Ovviamente il pacchetto di risposta andrà perso se l'host di destinazione non è reale...o meglio potrebbe arrivare alla macchina di destinazione (se l'ip spoofato esiste davvero), ma verrebbe ignorato perchè non corrisponde ad una richiesta di conenssione fatta da quella macchina...

Nel secondo caso, per fare un SYN flood basta un programmino sotto Linux...quindi anche il primo bamboccio che installa Linux potrebbe farlo...

Nel primo caso, mi sa che ti sei fatto un nemico cattivo

In teoria potresti riconoscere tra il primo e il secondo caso... Infatti se ricevessi un pacchetto del genere su una porta aperta e rispondendo con un pacchetto di ACK...se ci fosse un altro pacchetto di SYN in risposta al tuo ACK allora sarebbe il primo caso... Se non seguisse alcun pacchetto di SYN allora sarebbe il secondo caso...

[vici_1]

Caspita. Intanto grazie per la spiegazione. Con quello che mi hai raccontato hai messo un "sacco di carne al fuoco" ovvero ai stimolato molto la mia curiosita' sull'argomento. Ora sto eseguendo ricerche su internet per reperire materiale per approfondire quello che mi hai spiegato. Ieri sera e anche questa sera l'attivita' sulla mia line sembra ritornata regolare. Ci sono dei pacchetti TCP in "incoming" ma ne arriva uno ogni 3/4 secondi. Non so cosa significhi ma penso che non ci sia da preoccuparsi(spero!).
Vediamo se senza aiuto, ma documentandomi riesco a capire come fare l'operazione che mi consigli per capire a quale tipo di attacco sono andato incontro.

Grazie.
Ciao.

[cionci]

Con Windows è un po' più difficile...servirebbe un packet sniffer o qualcosa di più basso livello...

[vici_1]

Quote:

Originally posted by "cionci"

Con Windows è un po' più difficile...servirebbe un packet sniffer o qualcosa di più basso livello...

Sembra proprio che sia stato un attacco. Oggi altri hanno aperto lo stesso tipo di discussione.
http://forum.hwupgrade.it/viewtopic.php?p=4274649#4274649

Ciao.