log router e domande

aleanto · 09-12-2005, 10:29

Ho visto il log del mio router ed ho trovato queste cose:

12/07/2005 00:59:32 **SYN Flood to Host** 192.168.0.110, 2052->> 151.1.141.96, 80 (from ATM Outbound)

12/07/2005 00:11:53 **UDP flood** 201.248.241.216, 4672->> 192.168.0.30, 4672 (from ATM Inbound)

12/06/2005 23:38:38 **ICMP Redirect** 84.121.9.247->> 81.75.228.161, Type:5, Code:1 (from ATM Inbound)

12/06/2005 23:37:12 **Smurf** 217.76.116.0, 62147->> 192.168.0.30, 4672 (from ATM Inbound)

12/06/2005 16:30:24 **Smurf** 217.76.116.0, 62147->> 192.168.0.30, 4672 (from ATM Inbound)

12/06/2005 10:07:03 **LAND** 81.75.228.161, 80->> 81.75.228.161, 2429 (from ATM Inbound)

Mi devo preoccupare? (per l'ultimo non credo visto che ho un server web interno) però gli altri ho cercato su internet ma non capisco se sono cose normali o meno...

wgator · 09-12-2005, 11:53

Ciao,

in quel log sono riportati i più comuni attacchi ai quali noi tutti siamo sottoposti quotidianamente. Possono essere diretti e intenzionali (da parte di un pirata informatico) oppure più frequentemente vengono "sferrati" da macchine "vittime" (i cosiddetti Zombie) che hanno beccato qualche tipo di virus scritto appositamente e che sparano casualmente "nel mucchio".

In particolare SYN Flood, UDP flood, ICMP flood, Smurf e Land sono attacchi di tipo "Denial of Service"
Lo scopo è di causare l'esaurimento delle risorse (memoria, banda...) e vengono realizzati per bloccare router e rete a causa dell'eccesso di traffico generato.

Se il firewall del tuo router è impostato correttamente e il tuo web server utilizza tecniche di limitazione di banda non corri rischi particolari

aleanto · 09-12-2005, 12:52

Quali sono le tecniche di limitazione di banda del webserver?

wgator · 09-12-2005, 15:04

Ciao,

per esempio Apache ha degli "adds-on" che si occupano della limitazione di banda tuttavia se non hai ricevuto attacchi DoS ben organizzati tali da buttarti off line penso non servano neppure. Io uso Apache 1.33.3 e sono ininterrottamente on line da oltre 6 mesi con una macchina sperimentale (vedi sign). Nessuno ha ancora ritenuto utile bombardarmi con un bel DoS "distribuito"

Evidentemente il mio sito non è molto importante. I dossatori di professione preferiscono prendersela con microsoft.com e con google.com piuttosto che con wgator.it

Log di tentati DoS ne leggo almeno una decina al giorno sulla mia rete, tutti probabilmente provenienti da ignari utenti ADSL che magari hanno beccato il Netsky o il Mydoom e cercano altre macchine da rendere zombie a loro volta

Stev-O · 09-12-2005, 17:00

Quote:

Originariamente inviato da aleanto

Ho visto il log del mio router ed ho trovato queste cose:

12/07/2005 00:59:32 **SYN Flood to Host** 192.168.0.110, 2052->> 151.1.141.96, 80 (from ATM Outbound)

12/07/2005 00:11:53 **UDP flood** 201.248.241.216, 4672->> 192.168.0.30, 4672 (from ATM Inbound)

12/06/2005 23:38:38 **ICMP Redirect** 84.121.9.247->> 81.75.228.161, Type:5, Code:1 (from ATM Inbound)

12/06/2005 23:37:12 **Smurf** 217.76.116.0, 62147->> 192.168.0.30, 4672 (from ATM Inbound)

12/06/2005 16:30:24 **Smurf** 217.76.116.0, 62147->> 192.168.0.30, 4672 (from ATM Inbound)

12/06/2005 10:07:03 **LAND** 81.75.228.161, 80->> 81.75.228.161, 2429 (from ATM Inbound)

Mi devo preoccupare? (per l'ultimo non credo visto che ho un server web interno) però gli altri ho cercato su internet ma non capisco se sono cose normali o meno...

che router è ?

l'ultimo, land, sfruttava credo un vecchio baco di win 95b non patchato, in pratica una mancata protezione di loopback che mandava rapidamente in crash il sistema (schermate blu e reset obbligati): ne parlo al passato perchè ormai è difficile trovare sistemi vulnerabili a questo tipo di nuke, ma svariati anni fa mieteva molte vittime.

aleanto · 09-12-2005, 17:03

3com office connect
ma la porta 80 è aperta verso il web server

Stev-O · 09-12-2005, 17:08

Quote:

Originariamente inviato da aleanto

3com office connect
ma la porta 80 è aperta verso il web server

ah beh non puoi farne a meno....

Stev-O · 09-12-2005, 17:09

Quote:

Originariamente inviato da wgator

Nessuno ha ancora ritenuto utile bombardarmi con un bel DoS "distribuito"

Evidentemente il mio sito non è molto importante. I dossatori di professione preferiscono prendersela con microsoft.com e con google.com piuttosto che con wgator.it

Il giorno dopo....

wgator · 09-12-2005, 17:19

Quote:

Originariamente inviato da aleanto

3com office connect
ma la porta 80 è aperta verso il web server

Ciao,

si, tutto regolare. Ti ho fatto un veloce "port scan" ed ho visitato il tuo sito (Si***d Automazione, l'ho asteriscato per tutelare la tua privacy)
Se non usi anche un server FTP, chiudi dal router la porta 21 (risulta aperta ma non raggiungibile) per il resto non vedo bachi di sicurezza

09-12-2005, 10:29	#1
aleanto Senior Member Iscritto dal: Mar 2005 Messaggi: 366	log router e domande Ho visto il log del mio router ed ho trovato queste cose: 12/07/2005 00:59:32 SYN Flood to Host 192.168.0.110, 2052->> 151.1.141.96, 80 (from ATM Outbound) 12/07/2005 00:11:53 UDP flood 201.248.241.216, 4672->> 192.168.0.30, 4672 (from ATM Inbound) 12/06/2005 23:38:38 ICMP Redirect 84.121.9.247->> 81.75.228.161, Type:5, Code:1 (from ATM Inbound) 12/06/2005 23:37:12 Smurf 217.76.116.0, 62147->> 192.168.0.30, 4672 (from ATM Inbound) 12/06/2005 16:30:24 Smurf 217.76.116.0, 62147->> 192.168.0.30, 4672 (from ATM Inbound) 12/06/2005 10:07:03 LAND 81.75.228.161, 80->> 81.75.228.161, 2429 (from ATM Inbound) Mi devo preoccupare? (per l'ultimo non credo visto che ho un server web interno) però gli altri ho cercato su internet ma non capisco se sono cose normali o meno...

09-12-2005, 11:53	#2
wgator Senior Member Iscritto dal: Mar 2004 Città: Rimini Messaggi: 10296	Ciao, in quel log sono riportati i più comuni attacchi ai quali noi tutti siamo sottoposti quotidianamente. Possono essere diretti e intenzionali (da parte di un pirata informatico) oppure più frequentemente vengono "sferrati" da macchine "vittime" (i cosiddetti Zombie) che hanno beccato qualche tipo di virus scritto appositamente e che sparano casualmente "nel mucchio". In particolare SYN Flood, UDP flood, ICMP flood, Smurf e Land sono attacchi di tipo "Denial of Service" Lo scopo è di causare l'esaurimento delle risorse (memoria, banda...) e vengono realizzati per bloccare router e rete a causa dell'eccesso di traffico generato. Se il firewall del tuo router è impostato correttamente e il tuo web server utilizza tecniche di limitazione di banda non corri rischi particolari __________________ sometimes they come back * Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3"** I5 2435M SSD Samsung 830-256GB

09-12-2005, 15:04	#4
wgator Senior Member Iscritto dal: Mar 2004 Città: Rimini Messaggi: 10296	Ciao, per esempio Apache ha degli "adds-on" che si occupano della limitazione di banda tuttavia se non hai ricevuto attacchi DoS ben organizzati tali da buttarti off line penso non servano neppure. Io uso Apache 1.33.3 e sono ininterrottamente on line da oltre 6 mesi con una macchina sperimentale (vedi sign). Nessuno ha ancora ritenuto utile bombardarmi con un bel DoS "distribuito" Evidentemente il mio sito non è molto importante. I dossatori di professione preferiscono prendersela con microsoft.com e con google.com piuttosto che con wgator.it Log di tentati DoS ne leggo almeno una decina al giorno sulla mia rete, tutti probabilmente provenienti da ignari utenti ADSL che magari hanno beccato il Netsky o il Mydoom e cercano altre macchine da rendere zombie a loro volta __________________ sometimes they come back * Life Happens! - (Professionista I.T. - Tecnico Telecomunicazioni) Latitude E6420 I7 2760QM SSD Crucial M4-512GB --- Tecra R840 I5 2520M SSD Samsung 830-256GB --- Macbook Pro 13,3"** I5 2435M SSD Samsung 830-256GB

09-12-2005, 12:52	#3
aleanto Senior Member Iscritto dal: Mar 2005 Messaggi: 366	Quali sono le tecniche di limitazione di banda del webserver?

09-12-2005, 17:03	#6
aleanto Senior Member Iscritto dal: Mar 2005 Messaggi: 366	3com office connect ma la porta 80 è aperta verso il web server

Strumenti
Mostra una versione stampabile Invia questa pagina per email