Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

hosting en interdominios
107 lecturas y 10 respuestas
  • Cerrado

    A ver que os parece este log del iptables:

    Apr 10 00:16:56 Unknown kernel: IN=eth0 OUT= MAC=00:50:fc:a2:e6:f6:00:04:76:a7:61:47:08:00 SRC=80.44.211.96 DST=1.2.3.4 LEN=56 TOS=0x00 PREC=0x00 TTL=113 ID=13067 PROTO=ICMP TYPE=3 CODE=3 [SRC=1.2.3.4 DST=80.44.211.96 LEN=766 TOS=0x00 PREC=0x00 TTL=117 ID=4647 PROTO=UDP SPT=28307 DPT=1026 LEN=746 ]

    Antes de nada he cambiado mi IP pública por la IP 1.2.3.4, y mi router no hace ningun tipo de NAT. :)

    Todo paquete que sea considerado por el state-full iptables como NEW o INVALID se loguea religiosamente, como es el caso.

    Yo juraria que el paquete udp que ha generado este icmp de error de vuelta no lo he mandado yo. Más que otra cosa por el valor del TTL, por que yo gasto de GNU/Linux:

    SRC=1.2.3.4 DST=80.44.211.96 LEN=766 TOS=0x00 PREC=0x00 TTL=117 ID=4647 PROTO=UDP SPT=28307 DPT=1026 LEN=746

    Bueno teneis alguna idea? teorias? :D

    Saludos 8)
    P.D: Se aceptan apuestas... x_DD

    Este tema es antiguo y puede contener información obsoleta. Abre un nuevo tema para publicar tu mensaje.
      • Cerrado

        Me he estado mirando el log como me has pedido, hasta he…

        Me he estado mirando el log como me has pedido, hasta he hecho pruebas intentando acceder a esa IP y todo, pero no se me ocurre nada.

        Ciertamente, es algo raro que te ponga ese TTL como tuyo...
        :-( No se me ocurre mucho que decir... Comprueba tu TTL (/proc/sys/net/ipv4/ip_default_ttl), pero como dices debería ser 64...

        De todas formas no creo que alguien ganara mucho enviándote un icmp (al menos de puerto inalcamzable, como es éste).

        Lo único que se me ocurre, y es un poco retorcido, es que si tienes direcciones IP dinámicas, ese ICMP de error se haya retrasado y sea de un usuario anterior... :-?

    • Cerrado

      [Editado]

      Ya que también yo recibia intentos de conexión hacia mi IP…

      Ya que también yo recibia intentos de conexión hacia mi IP con puerto destino udp 1026 ( ¿ una casualidad ?, pues no :) ), he buscado un poco al respecto con San Google y he encontrado algunas cosillas interesantes:

      www.broadbandreports.com/forum/remark,98…23~mode=flat
      www.mynetwatchman.com/kb/news/2003-triangulation.htm
      www.lurhq.com/popup_spam.html
      www.linklogger.com/UDP1026.htm

      Mi primera suposición era cierta. No habia sido mi máquina quien habia enviado el paquete udp que habia generado el icmp de error de vuelta. Lo que pasa es que habian hecho spoofing usando mi IP como origen, y la máquina destino de ese paquete al no tener el puerto 1026 udp abierto me habia enviado el icmp de error a mi. 8)

      Por lo visto toda esta movida viene por un tipo de spam que usa el Messenger Service de los guindous como método para enviarse. ( Estas cosas con GNU/Linux no pasan :P )

      Lo curioso es que ese no es el único icmp que me ha llegado últimamente de este tema:

      Apr 9 23:57:23 Unknown kernel: IN=eth0 OUT= MAC=00:50:fc:a2:e6:f6:00:04:76:a7:61:47:08:00 SRC=217.137.232.115 DST=1.2.3.4 LEN=56 TOS=0x00 PREC=0x00 TTL=109 ID=8294 PROTO=ICMP TYPE=3 CODE=3 [SRC=1.2.3.4 DST=217.137.232.115 LEN=766 TOS=0x00 PREC=0x00 TTL=102 ID=25620 PROTO=UDP SPT=30315 DPT=1026 LEN=746 ]

      Debe ser que mi IP tiene mucho éxito entre los spammers... x_DDD

      Saludos 8)
      P.D: Ahora solo falta descubrir el otro misterio del ping.
      Alé!, a dormir que ya toca x_DDD

      • Cerrado

        Buenas noches Revisando mis logs, tambien me encuentro con…

        Buenas noches

        Revisando mis logs, tambien me encuentro con cosas estrañas.
        Lo que ocurre es que no los analizo tan en serio como tu, sino me estaría
        noches sin dormir. :)

        El caso es que te encuentras con lindezas de esta indole.
        Un scaneo en toda regla, desde 80.58.7.106(proxycache) hacia mi maquina.Con puerto origen 8080 .

        Yo desde luego me lo creo. :)

        Un saludo

        • Cerrado

          [Editado]

          Más que otra cosa porque son cosas dirigidas a sistemas…

          Más que otra cosa porque son cosas dirigidas a sistemas guindous, por eso cuando veo los logs me entra la risa floja. :P

          Lo que pasa es que tengo siempre un aterm con un tail de los logs del iptables en las X's, y el otro día vi por pura casualidad este log curioso del icmp y me dio que pensar. Pero bueno de todo se aprende ;)

          Por cierto, el log al que haces referencia debe ser un paquete "residual" del proxicache de Telefónica. Lo más seguro que justamente sea ese el proxy que usas tú para navegar, a que si? ;)

          A mi también me pasaba lo que a ti, por eso tengo esta regla antes de la regla para loguear, para que el tráfico "basurilla" no "contamine" los logs del iptables (con el mldonkey me pasa dos cuartos de los mismo) :

          # No se loguea el tráfico erroneo/basura? del proxy-cache de telefónica ni de servidores web
          $IPTABLES -A INPUT -i $EX_IF -p tcp -m state --state NEW \
          -m multiport --source-port 8080,80 -j DROP

          Saludos 8)

            • Cerrado

              pero no era como decias tú. Yo estaba en lo cierto en decir…

              pero no era como decias tú. Yo estaba en lo cierto en decir que ese paquete udp no lo habia generado yo, y no tenia nada que ver con el tema del protocolo cap (fecha). Pero bueno nunca viene mal refrescar el tema de los puertos ;)

              Saludos 8)

          • Cerrado

            Buenas tardes Tomo nota, pero el caso es que llevo 664…

            Buenas tardes

            Tomo nota, pero el caso es que llevo 664 paquetes residuales en 13 dias de logs, y el joio se empella en mandar paquetes desde el 8080 al 32XXX-33XXX desde las 17h a las 23h como máximo.

            En fin, que tomo nota. :)
            Debe de ser alguna comprobación estupida o paquetes residuales, lo que está claro es que me llegan. :)

            Un saludo

            • Cerrado

              Es un coñazo la cantidad de paquetes que envia el proxy. Yo…

              Es un coñazo la cantidad de paquetes que envia el proxy. Yo filtro esos paquetes porque sino me "falseaba" las estadísticas que hago de los logs del iptables :P

              Saludos 8)