SOHO *Security Alert*

[ddmaster]

Il firewall hw mi ha mandato questo messaggio

SOHO *Security Alert*

2005-09-08 05:55:52 - TCP Flood - Source:192.168.0.3
,2381,LAN - Destination:192.0.34.161,80,WAN

il pc che mi viene segnalato l'ho controllato praticamente con tutti i tools a mia disposizione (compresi gli antivirus on line come kav, bit def.. trend, panda... ecc.) senza avere alcun risultato di infezione da malware ed il "Destination" è l'ip di internic, quindi risulterebbe un attacco DoS.

Ho però uno strano dubbio.

Gli orari segnalati corrispondono... più o meno... all'orario in cui ho installato una versione di Office su quel pc (ho controllato gli orari di creazione dei file) che peraltro è una versione assolutamente originale acquistata in CDC

può esserci qualche attinenza o è solo una coincidenza???
dopo l'analisi con almeno una decina di tools come procedereste per capirci qualcosina in più???

Grazie in anticipo...

[makuro]

probabile che sia spoofato l'indirizzo di partenza del flood...

[ddmaster]

Originariamente inviato da makuro
probabile che sia spoofato l'indirizzo di partenza del flood...

mmmmmm che vordì???

[ddmaster]

ok capito il concetto di spoofing... ma viene dalla lan che peraltro adesso è composta da due soli pc e non dalla wan...
chi mi spiega meglio che succede???
grazie

[ddmaster]

dimenticavo.... tutte le opzioni:
Respond to ICMP (ping) on WAN interface
Allow IPsec
Allow PPTP
Allow L2TP
sono disabilitate infatti il firewall non permette neppure il ping dall'esterno e da controlli fatti dalla rete la lan risulta correttamente protetta (controllato col tools di simantech e trand micro)

quindi l'attacco deve venire da una delle 2 macchine in rete...

[Habanero]

ma sai a volte è difficile dire cosa sia un vero attacco e cosa non lo sia...
Bisogna vedere come si comporta il tuo FW e cosa intende esattamente per TCP flooding...
In pratica lui rivela un attacco in uscita da un ip della lan verso il sito web di internic... un tcp flooding potrebbe essere anche semplicemente un tentativo di fare numerose connessioni contemporanee al sito di internic (non chiedermi il motivo...)

Se è successo una sola volta non mi preoccuperei più di tanto, soprattutto se dici che il pc in questione sembra pulito.

Se la cosa è ripetitiva verifica che gli ip sorgente e destinazione del flooding siano sempre gli stessi.

Se la cosa si ripete spesso e se vuoi indagare meglio bisogna capire che tipo di richiesta viene fatta, le info del firewall sono piuttosto scarse e generiche. In questo caso potresti installare sul pc in questione un analizzatore di pacchetto (Ethereal per es) impostando un filtro per rilevare solo quel tipo di collegamento e da li analizzare la richiesta HTTP e vedere che succede...

Come ti ho detto, se è successo una sola volta probabilmente non ne vale la pena.

[ddmaster]

grazie haba ma devo per forza di cose approfondire....
perchè andando a spulciare tra i log file backuppati del fw ho trovato un precedente...
sempre dal pc 192.168.0.3

2005-08-24 05:20:48 - TCP Flood - Source:192.168.0.3
,1493,LAN - Destination:195.210.93.172,80,WAN

in questo caso il flood è diretto verso il sito di libero

quindi è abbastanza chiaro che è da quel pc che partono attacchi ben definiti verso "obbiettivi sensibili" (internic, libero)

il problema è che non si verificano con sistemicità ma solo saltuariamente... infatti i casi che ho riportato sono gli unici che a tutt'oggi mi sono capitati

provo a vedere se riesco in qualche modo a seguire la procedura consigliata... poi esporrò le conclusioni