BandaAncha

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate

A ver que os parece este log del iptables:

1
anthrax

Apr 10 00:16:56 Unknown kernel: IN=eth0 OUT= MAC=00:50:fc:a2:e6:f6:00:04:76:a7:61:47:08:00 SRC=80.44.211.96 DST=1.2.3.4 LEN=56 TOS=0x00 PREC=0x00 TTL=113 ID=13067 PROTO=ICMP TYPE=3 CODE=3 [SRC=1.2.3.4 DST=80.44.211.96 LEN=766 TOS=0x00 PREC=0x00 TTL=117 ID=4647 PROTO=UDP SPT=28307 DPT=1026 LEN=746 ]

Antes de nada he cambiado mi IP pública por la IP 1.2.3.4, y mi router no hace ningun tipo de NAT. :)

Todo paquete que sea considerado por el state-full iptables como NEW o INVALID se loguea religiosamente, como es el caso.

Yo juraria que el paquete udp que ha generado este icmp de error de vuelta no lo he mandado yo. Más que otra cosa por el valor del TTL, por que yo gasto de GNU/Linux:

SRC=1.2.3.4 DST=80.44.211.96 LEN=766 TOS=0x00 PREC=0x00 TTL=117 ID=4647 PROTO=UDP SPT=28307 DPT=1026 LEN=746

Bueno teneis alguna idea? teorias? :D

Saludos 8)
P.D: Se aceptan apuestas... x_DD

Este tema está cerrado a nuevas respuestas. Abre un nuevo tema para retomar la conversación.
anthrax

a ver si se va a caer BA de la sobrecarga... x_DDDDD

Saludos 8)

🗨️ 2
Velaznito

Me he estado mirando el log como me has pedido, hasta he hecho pruebas intentando acceder a esa IP y todo, pero no se me ocurre nada.

Ciertamente, es algo raro que te ponga ese TTL como tuyo...
:-( No se me ocurre mucho que decir... Comprueba tu TTL (/proc/sys/net/ipv4/ip_default_ttl), pero como dices debería ser 64...

De todas formas no creo que alguien ganara mucho enviándote un icmp (al menos de puerto inalcamzable, como es éste).

Lo único que se me ocurre, y es un poco retorcido, es que si tienes direcciones IP dinámicas, ese ICMP de error se haya retrasado y sea de un usuario anterior... :-?

🗨️ 1
anthrax

es estática, y :
[hanuman@Unknown:~]$ cat /proc/sys/net/ipv4/ip_default_ttl
64

Saludos 8)

anthrax

Ya que también yo recibia intentos de conexión hacia mi IP con puerto destino udp 1026 ( ¿ una casualidad ?, pues no :) ), he buscado un poco al respecto con San Google y he encontrado algunas cosillas interesantes:

dslreports.com/forum/r9838723-Odd-persis…it~mode=flat
(link roto)
(link roto)
(link roto)

Mi primera suposición era cierta. No habia sido mi máquina quien habia enviado el paquete udp que habia generado el icmp de error de vuelta. Lo que pasa es que habian hecho spoofing usando mi IP como origen, y la máquina destino de ese paquete al no tener el puerto 1026 udp abierto me habia enviado el icmp de error a mi. 8)

Por lo visto toda esta movida viene por un tipo de spam que usa el Messenger Service de los guindous como método para enviarse. ( Estas cosas con GNU/Linux no pasan :P )

Lo curioso es que ese no es el único icmp que me ha llegado últimamente de este tema:

Apr 9 23:57:23 Unknown kernel: IN=eth0 OUT= MAC=00:50:fc:a2:e6:f6:00:04:76:a7:61:47:08:00 SRC=217.137.232.115 DST=1.2.3.4 LEN=56 TOS=0x00 PREC=0x00 TTL=109 ID=8294 PROTO=ICMP TYPE=3 CODE=3 [SRC=1.2.3.4 DST=217.137.232.115 LEN=766 TOS=0x00 PREC=0x00 TTL=102 ID=25620 PROTO=UDP SPT=30315 DPT=1026 LEN=746 ]

Debe ser que mi IP tiene mucho éxito entre los spammers... x_DDD

Saludos 8)
P.D: Ahora solo falta descubrir el otro misterio del ping.
Alé!, a dormir que ya toca x_DDD

🗨️ 6
Pridebowl

Buenas noches

Revisando mis logs, tambien me encuentro con cosas estrañas.
Lo que ocurre es que no los analizo tan en serio como tu, sino me estaría
noches sin dormir. :)

El caso es que te encuentras con lindezas de esta indole.
Un scaneo en toda regla, desde 80.58.7.106(proxycache) hacia mi maquina.Con puerto origen 8080 .

Yo desde luego me lo creo. :)

Un saludo

🗨️ 5
anthrax

Más que otra cosa porque son cosas dirigidas a sistemas guindous, por eso cuando veo los logs me entra la risa floja. :P

Lo que pasa es que tengo siempre un aterm con un tail de los logs del iptables en las X's, y el otro día vi por pura casualidad este log curioso del icmp y me dio que pensar. Pero bueno de todo se aprende ;)

Por cierto, el log al que haces referencia debe ser un paquete "residual" del proxicache de Telefónica. Lo más seguro que justamente sea ese el proxy que usas tú para navegar, a que si? ;)

A mi también me pasaba lo que a ti, por eso tengo esta regla antes de la regla para loguear, para que el tráfico "basurilla" no "contamine" los logs del iptables (con el mldonkey me pasa dos cuartos de los mismo) :

# No se loguea el tráfico erroneo/basura? del proxy-cache de telefónica ni de servidores web
$IPTABLES -A INPUT -i $EX_IF -p tcp -m state --state NEW \
-m multiport --source-port 8080,80 -j DROP

Saludos 8)

🗨️ 4
Lofter

Si casi t tengo q tatuar n la frente la url d la lista d puertos registrados... hombre podios... xDDDDDD

🗨️ 1
Pridebowl

Buenas tardes

Tomo nota, pero el caso es que llevo 664 paquetes residuales en 13 dias de logs, y el joio se empella en mandar paquetes desde el 8080 al 32XXX-33XXX desde las 17h a las 23h como máximo.

En fin, que tomo nota. :)
Debe de ser alguna comprobación estupida o paquetes residuales, lo que está claro es que me llegan. :)

Un saludo

🗨️ 1