BandaAncha

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate
Fijo

Ataques desde 127.0.0.1 (loopback)

1
BocaDePez

Si posteo esto aquí es porque es posible que sí sea un defecto de la red de R. Normalmente a diario recibimos montañas de ataques (la mayoría desde otras IPs de R, es decir, otros usuarios), son PCs que se han infectado con virus o troyanos y están escaneando en búsqueda de nuevas víctimas (o un usuario que lo hace deliberadamente). Pero desde el sábado, detecto en mi cortafuegos un ataque rarísimo proveniente de la dirección... ¡127.0.0.1! Los tengo con la misma frecuencia que los ataques "normales" (desde IP "normales").

Buscando información por ahí -lo primero que pensé es que tenía algún conflicto interno-, y tras descartar tener cualquier virus o troyano (o conflictos de software), he localizado esto en los propios foros de usuarios de mi cortafuegos (Agnitum Outpost):

outpostfirewall.com/forum/showthread.php…ht=127.0.0.1

(es curioso, el tío del post original fue haciendo exactamente lo mismo que yo)

An attacker can alter the source address on packets they send out to conceal their identity. This can also include setting the address to 127.0.0.1 to make it appear that attacked system is itself the source. In this case, the attacker would have to use the Source Routing option to specify what route IP packets should follow to reach their target - this is then reversed for responses allowing the attacker to receive a reply regardless of what "sender address" they have used.

Outpost does not (but should in my view) block packets with Source Routing (if you agree, please make a suggestion to Agnitum) - in practice most ISPs will drop source routed packets at the boundary of their network. This may explain why you are only seeing this with one ISP.

¿Alguien le ha pasado esto? ¿Podría considerarse una vulnerabilidad "grave" de la red de R? No tengo claro si sería positivo que este tipo de ataques (si es que son ataques) fuesen bloqueados por la red (como cuando cerraron el puerto del Blaster).

Cualquier opinión es bienvenida.

P.S. aprovecho para postear que sólo esta tarde me han atacado exhaustivamente desde (y sólo las de R) 213.60.25.171, 213.60.154.41, 213.60.150.245, 213.60.37.140, 213.60.32.114, 213.60.21.195 y 213.60.17.69. Si alguno/a que lea esto tiene esta IP, que sepa que tiene que pasarse un antivirus con urgencia.

Este tema está cerrado a nuevas respuestas. Abre un nuevo tema para retomar la conversación.
quetzal

Lo de los atackes provenientes de 127.0.0.1, si, puede ser alguien con muy mala leche o bien utilizando algun exploit de tu firewall, o modificando alguna trama/paquete de datos.

Lo de los ataques entre usuarios de una misma red, creo que es la cosa mas normal del mundo, cientos de PCs estamos en la red de R, cada PC y usuario son un mundo. A saber la de intentos de acceso que recibe mi PC al dia por culpa de los tipicos virus que se propagan por la misma red.
Yo siempre recomiendo poner una contraseña de administrador a los Windows 2000 o XP ya que sin ella es muy facil que te entre alguno de estos virus/troyanos/gusanos (incluso con contraseñas chorras como 123, 1234, admin ... ).

Saludos ;).

DonR

Perdona, pero las vulnerabilidades y los ataques son cosas totalmente distintas. La gente no parece querer que R le filtre nada, puesto que si lo hiciesen podríamos decir adios a la mulita y compañía (al menos en lo que a rendimiento se refiere). Si hay ataques, cada uno debe cuidar de su equipo y proteger el culo, no tiene que ser R la que se encargue de ello.
Lo de la lluvia de ataques pasa con todos los operadores, sólo que como la gente no monta firewalls (en gran parte, la culpa de que haya tantos problemas) no se entera. A mi me llegan paquetes de todo tipo, con orígenes y destinos incorrectos, y con todas las pifias que te puedas imaginar, pero no sólo con R, sino también con la conexión de ADSL de mi hermano. Eso se llama Internet y no vulnerabildiad.

🗨️ 2
BocaDePez

En el post donde explicaban el asunto dan como única solución para un ataque intencionado (que les permita ocultar su IP) que envíen los paquetes con Source Routing, y el propio autor explica que hay ISPs en cuyas redes no dejan entrar paquetes así. Lo que me gustaría saber es exactamente qué es eso, para hacerme una idea de si sería positivo o negativo que una red lo filtrase. Precisamente por eso me interesa saberlo, si un día R se decide a filtrar eso argumentando "seguridad para sus usuarios" yo no sabré a qué carta quedarme.

Gracias por las respuestas.

🗨️ 1
DonR

R puede introducir muchísimos filtros, pero tampoco van a mejorar las seguridad para lo que importa (las auténticas amenazas que hay en la Red) por lo que es un poco ridículo.
Simplemente, si un programa como el eMule funciona ya tienes una vulnerabilidad tremenda en tu equipo, puesto que puede trabajar en cualquier puerto y puede acceder al disco duro. Lo mismo se podría aplicar a programas de mensajería instantánea. Se ve que la seguridad y las funcionalidades no son muy compatibles. Al final, si quieres tener un sistema seguro en Internet, como mucho sólo puedes dejar navegar por la web mediante un proxy, y todo lo que pase de ahí ya será una potencial brecha de seguridad... así de chungo está el panorama.
Yo, personalmente, prefiero que R filtre lo mínimo, o sea, que como mucho evite ataques de denegación de servicio a su red, y cosas por el estilo.

eLToPo1

veo normal q sean los propios ususarios de "R" los que ataquen,mucha gente ya esta cambiando de compañia porque a dia de hoy "R" ya no se le puede llamar ni cable tube 56ks y funcionaba mejor pero bueno halla ellos con su politica de ganar pasta y joder al cliente y no pongo en duda que si yo mismo supiera realizar estos ataques no me importaria joder mas a "R" porque ellos me han jodido vivo a mi,y desde aqui animo a todos los coruñeses o gallegos en su defecto contrateis comunitel(empresa gallega) porque doblega la calidad del cable y es lo que todos los gamers estabamos esperando un ping decente para una competicion decente.