Chiarimento log del firewall

[AntonySavax]

Ciao a tutti.

Ricevo costantemente degli strani messaggi dal router FWG114P della Netgear.

codice:

[Wed, 2004-05-12 23:12:13] - TCP Packet - Source:212.97.59.136,80[HTTP] ,WAN - Destination:192.168.0.2,1966 ,LAN [Drop] - [First TCP Packet not SYN]
[Wed, 2004-05-12 23:33:35] - Send out NTP Request to 12.7.210.177
[Wed, 2004-05-12 23:33:36] - Receive NTP Reply from 12.7.210.177
[Thu, 2004-05-13 00:02:36] - TCP Packet - Source:212.170.227.232,80[HTTP] ,WAN - Destination:192.168.0.2,1205 ,LAN [Drop] - [First TCP Packet not SYN]
[Thu, 2004-05-13 00:02:36] - TCP Packet - Source:212.170.227.232,80[HTTP] ,WAN - Destination:192.168.0.2,1206 ,LAN [Drop] - [First TCP Packet not SYN]
[Thu, 2004-05-13 01:34:34] - Send out NTP Request to 12.7.210.177
[Thu, 2004-05-13 01:34:35] - Receive NTP Reply from 12.7.210.177
[Thu, 2004-05-13 03:35:33] - Send out NTP Request to 12.7.210.177

Come si devono interpretare esattamente?

Grazie.

[makuro]

potrebbe essere un port scanning "mascherato" (il pacchetto tcp non inizia con un SYN per il three way handshack)...

Ciao,
Roberto

[AntonySavax]

Grazie Roberto. Avevo pensato anch'io ad una cosa del genere. Nonostante tutte le porte del firewall siano chiuse ricevo costantemente questi messaggi. COn un firewall Linux based non avrei di questi problemi.

Questo problema delle scansioni da remoto causa anche un'intasamento del registro eventi del server. Ci può essere soluzione a questo?
Ciao e grazie.

[makuro]

l'unico sistema sarebbe non loggare questo tipo di attaccchi, anche se non è mai bene ignorare queste cose...daltronde se si intasano i log di sistema, è chiaro che la poca studiabilità dei log per tutto questo "sporco" diminuisce notevolmente la loro utilità...
Se dai log che hai deduci che le scansioni sono automatizzate (non un attacco persistente e diretto al tuo sistema...), prova a pensare ad un filtro...

Ripeto però, è sempre un rischio...

Ciao,
Roberto