[Per Esperti] Host stranamente raggiungibile

Rabside · 02-04-2007, 18:55

Ciao a tutti!
Scrivo qui per aver delucidazioni su un problema di rete che ho scoperto oggi e che credo mi toglierà il sonno per un po' di tempo

la mia rete è così composta
pc desktop <----> router wifi-adsl
Tutte le macchine sono attestate sulla rete 192.168.1.0/24.

Oggi, per caso, ho lanciato questo comando

Codice:

fping -g 192.168.0.0/24

e ho trovato viva e vegeta la macchina 192.168.0.254!!!

La cosa bizzarra è che questa macchina ovviamente sia raggiungibile dato che sulla mia rete non esiste e il router fa solo routing verso internet.
mi sono insospettito e ho fatto un po' di test:

Codice:

brainstorm@rabside-desktop:~$ tracepath 192.168.0.254
 1:  192.168.1.2 (192.168.1.2)                              0.131ms pmtu 1492
 1:  192.168.1.1 (192.168.1.1)                              1.243ms 
 2:  213.205.24.86 (213.205.24.86)                        110.607ms 
 3:  213.205.27.178 (213.205.27.178)                       33.831ms 
 4:  213.205.31.13 (213.205.31.13)                         59.661ms 
 5:  no reply
 6:  no reply
 7: ....

gli hop per cui passo sono gli stessi, o molto simili a quelli per cui passo per raggiungere, a esempio, maya.ngi.it:

Codice:

brainstorm@rabside-desktop:~$ tracepath maya.ngi.it
 1:  192.168.1.2 (192.168.1.2)                              0.199ms pmtu 1492
 1:  192.168.1.1 (192.168.1.1)                              0.983ms 
 2:  213.205.24.86 (213.205.24.86)                         33.904ms 
 3:  213.205.27.194 (213.205.27.194)                      198.239ms 
 4:  213.205.31.13 (213.205.31.13)                        100.971ms 
 5:  ge-4-1-0.mil10.ip.tiscali.it (213.205.25.81)         asymm  6  63.637ms 
 6:  inet-gw.ip.tiscali.net (213.200.68.22)               107.737ms 
 7:  212.239.110.46 (212.239.110.46)                      123.431ms 
 8:  shield1-ext.net.ngi.it (81.174.0.246)                 89.711ms 
 9:  no reply
10:  no reply
11:  no reply

Da ciò deduco le macchina si trova su internet, ma mi chiedo come possa raggiungerla. Non utilizzo nemmeno vpn farlocche di qualche tipo, a tal proposito:

Codice:

brainstorm@rabside-desktop:~$ ifconfig 
eth0      Link encap:Ethernet  HWaddr 00:15:F2:26:46:99  
          inet addr:192.168.1.2  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::215:f2ff:fe26:4699/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:5077199 errors:0 dropped:0 overruns:0 frame:0
          TX packets:5009026 errors:0 dropped:0 overruns:4 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:3068328549 (2.8 GiB)  TX bytes:1901418469 (1.7 GiB)
          Interrupt:177 Base address:0xc800 

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:22917 errors:0 dropped:0 overruns:0 frame:0
          TX packets:22917 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:12883021 (12.2 MiB)  TX bytes:12883021 (12.2 MiB)

e

Codice:

brainstorm@rabside-desktop:~$ route -n
Kernel IP routeing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 eth0

infine incuriosito da sta macchina zozzona ho fatto uno scan, ecco i risultati:

Codice:

Starting Nmap 4.10 ( http://www.insecure.org/nmap/ ) at 2007-04-02 18:50 CEST
DNS resolution of 1 IPs took 0.21s.
Initiating SYN Stealth Scan against 192.168.0.254 [1679 ports] at 18:50
Increasing send delay for 192.168.0.254 from 0 to 5 due to 88 out of 292 dropped probes since last increase.
The SYN Stealth Scan took 62.00s to scan 1679 total ports.
Warning:  OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port
Host 192.168.0.254 appears to be up ... good.
Interesting ports on 192.168.0.254:
Not shown: 1677 closed ports
PORT     STATE    SERVICE     VERSION
135/tcp  filtered msrpc
1720/tcp filtered H.323/Q.931
Too many fingerprints match this host to give specific OS details
TCP/IP fingerprint:
SInfo(V=4.10%P=i686-pc-linux-gnu%D=4/2%Tm=4611349D%O=-1%C=1)
T5(Resp=Y%DF=N%W=0%ACK=S++%Flags=AR%Ops=)
T6(Resp=N)
T7(Resp=N)
PU(Resp=N)

Nmap finished: 1 IP address (1 host up) scanned in 73.581 seconds
               Raw packets sent: 3087 (137.772KB) | Rcvd: 1685 (77.510KB)

molto interessanti il fingerprint e i servizi visibili... forse una macchina win virtualizzata su un sistema linux?

attendo lumi
Ciao!!

stepvr · 02-04-2007, 19:27

Si tratta probabilmente del gateway del gestore. Se il tuo router lo supporta, verifica la tabella arp.

Rabside · 02-04-2007, 19:43

Quote:

Originariamente inviato da stepvr

Si tratta probabilmente del gateway del gestore. Se il tuo router lo supporta, verifica la tabella arp.

Lo pensavo anche io, però nella tabella arp non compare nulla, inoltre col traceroute se fosse un gateway dovrei raggiungerlo in pochissimi hop. non credi?

stepvr · 02-04-2007, 19:55

Dovresti verificare la tabella arp del router non del computer. Ultimamente i gestori stanno configurando le punto-punto dei router su rete privata in modo tale da recuperare un bel po' di IP pubblici. Normalmente le punto-punto sono trasparenti e non dovrebbero vedersi e rispondere ad alcun comando.

Rabside · 02-04-2007, 19:57

Quote:

Originariamente inviato da stepvr

Dovresti verificare la tabella arp del router non del computer. Ultimamente i gestori stanno configurando le punto-punto dei router su rete privata in modo tale da recuperare un bel po' di IP pubblici. Normalmente le punto-punto sono trasparenti e non dovrebbero vedersi e rispondere ad alcun comando.

prima mi riferivo alla tabella arp del mio router, compaiono solo 2 pc attivi della mia sottorete.
In ogni caso dici che non c'è da preoccuparsi? giusto per non essere paranoico

stepvr · 02-04-2007, 20:05

Per curiosita' porta un computer sulla rete 192.168.0.x e verifica. Puoi anche bloccare la rete 192.168.0.x sul router in modo che non esca.

Rabside · 02-04-2007, 20:10

Quote:

Originariamente inviato da stepvr

Per curiosita' porta un computer sulla rete 192.168.0.x e verifica. Puoi anche bloccare la rete 192.168.0.x sul router in modo che non esca.

mmm carina l'idea del blocco, davvero molto
Purtroppo però il router mi consente di bloccare i pc solo della mia sottorete, non ho potere su 192.168.0.x

stepvr · 02-04-2007, 20:41

Dovrebbe essere sufficiente bloccarla sulla tua sotto rete; anche se dalla WAN non impedisci l'ingresso alla rete 192.168.0.x, nessun PC della LAN sara' piu' in grado di rispondere. Se non hai VPN o altri collegamenti, estenderei a tutte le reti private: 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8.

02-04-2007, 19:27	#2
stepvr Senior Member Iscritto dal: Jun 2006 Messaggi: 1260	Si tratta probabilmente del gateway del gestore. Se il tuo router lo supporta, verifica la tabella arp.

02-04-2007, 19:55	#4
stepvr Senior Member Iscritto dal: Jun 2006 Messaggi: 1260	Dovresti verificare la tabella arp del router non del computer. Ultimamente i gestori stanno configurando le punto-punto dei router su rete privata in modo tale da recuperare un bel po' di IP pubblici. Normalmente le punto-punto sono trasparenti e non dovrebbero vedersi e rispondere ad alcun comando.

02-04-2007, 20:05	#6
stepvr Senior Member Iscritto dal: Jun 2006 Messaggi: 1260	Per curiosita' porta un computer sulla rete 192.168.0.x e verifica. Puoi anche bloccare la rete 192.168.0.x sul router in modo che non esca.

02-04-2007, 20:41	#8
stepvr Senior Member Iscritto dal: Jun 2006 Messaggi: 1260	Dovrebbe essere sufficiente bloccarla sulla tua sotto rete; anche se dalla WAN non impedisci l'ingresso alla rete 192.168.0.x, nessun PC della LAN sara' piu' in grado di rispondere. Se non hai VPN o altri collegamenti, estenderei a tutte le reti private: 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8.

Strumenti
Mostra una versione stampabile Invia questa pagina per email