Security Log

**cichity74** · 16-10-2005, 17:45

Security Log

Sun, 2005-10-16 15:53:08 - TCP Packet - Source:87.1.123.28,1911 Destination:***.**.**.***,6348 - [DOS]
Sun, 2005-10-16 15:53:09 - TCP Packet - Source:151.46.42.230,4047 Destination:***.**.**.***,6348 - [DOS]
Sun, 2005-10-16 15:53:09 - TCP Packet - Source:218.208.236.207,35650 Destination:***.**.**.***,6348 - [DOS]
Sun, 2005-10-16 15:53:10 - TCP Packet - Source:80.67.117.153,4733 Destination:***.**.**.***,6348 - [DOS]
Sun, 2005-10-16 15:53:10 - TCP Packet - Source:82.51.127.101,4047 Destination:***.**.**.***,6348 - [DOS]
Sun, 2005-10-16 15:53:12 - TCP Packet - Source:87.3.212.86,3005 Destination:***.**.**.***,6348 - [DOS]
Sun, 2005-10-16 15:53:16 - TCP Packet - Source:80.67.117.153,4733 Destination:***.**.**.***,6348 - [DOS]
Sun, 2005-10-16 15:53:17 - TCP Packet - Source:80.117.106.252,2794 Destination:***.**.**.***,6348 - [DOS]
Sun, 2005-10-16 15:53:25 - TCP Packet - Source:87.3.227.34,3715 Destination:***.**.**.***,6348 - [DOS]
Sun, 2005-10-16 15:53:30 - TCP Packet - Source:82.55.66.102,4362 Destination:***.**.**.***,6348 - [DOS]
Sun, 2005-10-16 15:53:31 - TCP Packet - Source:82.54.146.234,3025 Destination:***.**.**.***,6348 - [DOS]
Sun, 2005-10-16 15:53:31 - TCP Packet - Source:82.59.46.242,2072 Destination:***.**.**.***,6348 - [DOS]
Sun, 2005-10-16 15:53:32 - TCP Packet - Source:87.2.143.15,3281 Destination:***.**.**.***,6348 - [DOS]
Sun, 2005-10-16 15:53:32 - TCP Packet - Source:84.56.46.83,4813 Destination:***.**.**.***,6348 - [DOS]
Sun, 2005-10-16 15:53:33 - TCP Packet - Source:218.208.236.207,35650 Destination:***.**.**.***,6348 - [DOS]
Sun, 2005-10-16 15:53:39 - TCP Packet - Source:82.55.66.102,4362 Destination:***.**.**.***,6348 - [DOS]
Sun, 2005-10-16 15:53:42 - TCP Packet - Source:83.176.8.76,2001 Destination:***.**.**.***,6348 - [DOS]
Sun, 2005-10-16 15:53:44 - TCP Packet - Source:87.3.231.58,1127 Destination:***.**.**.***,6348 - [DOS]

Questa è solo una minima parte di una LUNGA lista.
Vorrei sapere quale è la linea d'azione da seguire, credo che tali tentativi provengano da sistemi
corrotti a loro volta da soft che vagano in rete alla ricerca di sistemi violabili.

cichity74

**Habanero** · 16-10-2005, 20:19

usi software p2p? Usi Limewire?
La porta TCP 6348 è usata da alcuni programmi di file sharing (Limewire, Gnutella...).

Se usi tali programmi, quelli rilevati sono tentativi da parte di altri peer di contattarti. Questa situazione può capitare per esempio nel caso tu abbia usato fino a poco tempo prima il programma e poi tu lo abbia chiuso. Il tuo IP rimane ancora per un certo periodo nei server e gli altri client credendo tu sia ancora online cercano di raggiungerti.

Nel caso in cui invece non usi Limewire ma hai un IP assegnato dinamicamente dal tuo provider può succedere che all'atto della connessione ti venga assegnato un indirizzo IP che fino a poco tempo prima era assegnato ad un utente p2p... da cui nuovamente quanto sopra.

**cichity74** · 17-10-2005, 15:55

il Security Log
che ho postato è generato dal mio Router
(Netgear DG834v2 ADSL Firewall Router)
link: --> http://kbserver.netgear.com/products/dg834v2.asp

Non utilizzo soft P2P, l'unico soft "strano" che potrebbe generare questi tentativi di connessione è Ragnarock un gioco on line, la cosa che non mi spiego che Ragnarock è un gioco a carattere geografico...
mi spiego meglio... la versione che utilizzo è quella per utenti europei, la cosa strana è che spesso ricevo tentativi da IP extra UE almeno questo è quello che mi viene segnalato da http://www.visualroute.it/vr.asp

Se i tentativi di connessione derivassero dal gioco gli IP logati dovrebbero essere entro la UE ma spesso sono EX UE
sinceramente ancora no mi spiego se il Security Log sia un falso
positivo o no

Help

cichity74

**Habanero** · 17-10-2005, 20:54

Le uniche informazioni che ho trovato congruenti con quel tipo di log è l'azione di qualche software p2p (Gnutella,Limewire,Sherazaa).

Ma spiegami una cosa. Quegli "attacchi" vengono rilevati di continuo o solo a momenti?

In ogni caso devi capire cosa significa in questo caso attacco DoS. Semplicemente il tuo router rileva un elevato numero (rispetto alla norma) di connessioni fallite da parte di sistemi su internet. Questo viene rilevato come attacco perchè in altissimi volumi questi pacchetti possono congestionare il sistema (in questo caso il router) paralizzandolo.

Il traffico da te rilevato non è enorme anche se lo ritengo decisamente superiore ad un traffico "fisiologico" (praticamente uno al secondo)

Non ho trovato riferimenti che associassero Ragnarock alla porta 6348.

Contro questo tipo di "attacchi" c'è comunque poco che tu possa realmente fare. Continua a monitorare la situazione.

Non so che altro dirti... se mi viene in mente qualcosa ti faccio sapere.

**cichity74** · 18-10-2005, 04:06

Originariamente inviato da Habanero
....Continua a monitorare la situazione.
Non so che altro dirti... se mi viene in mente qualcosa ti faccio sapere.

Grazie per i suggerimenti...
l'ultimo al momento che scrivo:

UDP Packet - Source:16.14.113.36,52624 Destination:***.**.**.*,1025 - [DOS]
UDP Packet - Source:16.14.113.36,52624 Destination:***.**.**.*,1026 - [DOS]
UDP Packet - Source:9.16.90.169,23952 Destination:***.**.**.*,1025 – [DOS]
ce ne ho per 17 kb a singolo report e me ne arrivano a pacchi.... una al minuto
-----------------------------------------------------------
I:
http://www.dnsstuff.com/tools/city.ch?ip=16.14.113.36
***
IP: 16.14.113.36
Country: United States
City: Unknown

Country Code: US
Currency: USD [United States Dollars]
Private IP? No
Known Proxy? No
***
II:
http://www.dnsstuff.com/tools/city.ch?ip=9.16.90.169
***
IP: 9.16.90.169
Country: United States
City: White Plains, New York

Country Code: US
Currency: USD [United States Dollars]
Private IP? No
Known Proxy? No
***

Ce ne sono dalla Cina, Corea, India, Russia, etc.. etc..
Per capire realmente cosa fa Ragnarock dovrei mettermi li con Ethereal a spacchettare tutto ma non ne ho le capacità ..
e sinceramente mi sembra anomalo un traffico dl genere dietro a un gioco...

cichity74

**cichity74** · 23-10-2005, 17:34

Questa notte ho ricevuto centinaia di tentativi su le seguenti
porte:
--------------------
411
412
1025
1026
1027
1032
1079
1147
4662
6346
11379
16554
20989
23600
23617
26107
--------------------
vedi: http://www.iana.org/assignments/port-numbers

Help

cichity74

**thomas_anderson** · 23-10-2005, 18:37

http://www.sans.org/index.php

Qui puoi trovare molti articoli sul tuo problema. Quello che non ho capito è se questi attacchi ti bloccano la navigazione o semplicemente se si tratta di tentativi droppati dal firewall. Cmq non è detto che tu debba usare per forza Ethereal. Se usi Linux c'è sempre tcpdump. Non ho capito se tu hai un server o un pc home...

**cichity74** · 23-10-2005, 19:02

Originariamente inviato da thomas_anderson

Quello che non ho capito è se questi attacchi ti bloccano la navigazione o semplicemente se si tratta di tentativi droppati dal firewall.

non bloccano nulla....
per fortuna sono tentativi.. altrimenti sarebbero fuori dai log e dentro al mia rete

Non ho capito se tu hai un server o un pc home...

2 Desk | 1 Laptop | 1 serverino di test con Debian.

Se hai altri suggerimenti..... :rollo:
Ci sformo troppo

cichity74

**Habanero** · 23-10-2005, 23:55

chichity74 centinaia di tentativi di connessione in una notte sono assolutamente normali... è fisiologico... a meno che tu ne riceva diverse migliaia in pochi minuti. Il mio firewall dalle 15 alle 17 questo pomeriggio ha bloccato più di 1500 pacchetti. Non me ne curo perchè è normale! Un firewall è fatto per quello, e questo non vuole dire che quesi pacchetti siano per forza pericolosi. La maggior parte è traffico spurio. Poi ci sono tentativi di connessione fatti da worm installati su pc infetti o port scan eseguiti da qualcuno sulla rete. In ogni caso non c'è nulla che tu possa fare . Un firewall che blocca i pacchetti è sintomo che tutto funziona correttamente.

Nel mio primo post avevo preso più a cuore la questione perchè dal tuo log sembrava che fossero indirizzati tutti alla stessa porta. Ora mi viene il sospetto che tu abbia fatto un copia-incolla per mascherare il tuo IP e che sia venuta copiata sempre la stessa porta 6348 in tutte le righe.

Dormi sonni tranquilli.

**cichity74** · 24-10-2005, 14:54

Originariamente inviato da Habanero
Un firewall che blocca i pacchetti è sintomo che tutto funziona correttamente.

Ti ringrazio per i chiarimenti e le rassicurazioni anche se a mio avviso NON è solo “traffico spurio”

Ora mi viene il sospetto che tu abbia fatto un copia-incolla per mascherare il tuo IP e che sia venuta copiata sempre la stessa porta 6348 in tutte le righe.

Si ho mascherato il mio ip con “*” ma sono stato molto attendo a non alterare il resto
vorrei (se hai modo, tempo voglia) il tuo parere su questo log:

codice:

Mon, 2005-10-24 00:50:12 - UDP Packet - Source:221.208.208.7,33952 Destination:***.**.**.***,1027 - [DOS]
Mon, 2005-10-24 00:50:12 - UDP Packet - Source:221.208.208.7,33952 Destination:***.**.**.***,1026 - [DOS]
Mon, 2005-10-24 00:50:40 - UDP Packet - Source:64.124.159.122,34408 Destination:***.**.**.***,1026 - [DOS]
Mon, 2005-10-24 00:50:40 - UDP Packet - Source:64.124.159.122,34408 Destination:***.**.**.***,1027 - [DOS]
Mon, 2005-10-24 00:50:40 - UDP Packet - Source:64.124.159.122,34408 Destination:***.**.**.***,1026 - [DOS]
Mon, 2005-10-24 00:50:40 - UDP Packet - Source:64.124.159.122,34408 Destination:***.**.**.***,1027 - [DOS]
Mon, 2005-10-24 00:50:40 - UDP Packet - Source:64.124.159.122,34408 Destination:***.**.**.***,1026 - [DOS]
Mon, 2005-10-24 00:50:40 - UDP Packet - Source:82.216.231.182,62765 Destination:***.**.**.***,4672 - [DOS]
Mon, 2005-10-24 00:50:41 - UDP Packet - Source:83.201.78.240,5555 Destination:***.**.**.***,4672 - [DOS]
Mon, 2005-10-24 00:50:42 - UDP Packet - Source:84.109.165.248,6672 Destination:***.**.**.***,4672 - [DOS]
Mon, 2005-10-24 00:50:46 - UDP Packet - Source:80.137.186.113,4672 Destination:***.**.**.***,4672 - [DOS]
Mon, 2005-10-24 00:50:49 - UDP Packet - Source:80.35.33.152,4672 Destination:***.**.**.***,4672 - [DOS]
Mon, 2005-10-24 00:50:49 - UDP Packet - Source:217.132.222.171,6672 Destination:***.**.**.***,4672 - [DOS]
Mon, 2005-10-24 00:51:21 - UDP Packet - Source:84.181.117.76,4672 Destination:***.**.**.***,4672 - [DOS]
Mon, 2005-10-24 00:51:23 - UDP Packet - Source:88.0.41.163,4672 Destination:***.**.**.***,4672 - [DOS]
Mon, 2005-10-24 00:51:26 - UDP Packet - Source:61.137.117.208,39915 Destination:***.**.**.***,2 - [DOS]
Mon, 2005-10-24 00:51:38 - UDP Packet - Source:213.60.94.72,4672 Destination:***.**.**.***,4672 - [DOS]
Mon, 2005-10-24 00:51:40 - UDP Packet - Source:200.43.23.130,4672 Destination:***.**.**.***,4672 - [DOS]
Mon, 2005-10-24 00:51:40 - UDP Packet - Source:213.98.252.222,4672 Destination:***.**.**.***,4672 - [DOS]
Mon, 2005-10-24 00:52:00 - UDP Packet - Source:219.130.4.174,4672 Destination:***.**.**.***,4672 - [DOS]
Mon, 2005-10-24 00:52:04 - UDP Packet - Source:83.165.17.93,7001 Destination:***.**.**.***,4672 - [DOS]
Mon, 2005-10-24 00:52:10 - UDP Packet - Source:83.26.146.115,4672 Destination:***.**.**.***,4672 - [DOS]
Mon, 2005-10-24 00:52:10 - UDP Packet - Source:201.217.132.206,4672 Destination:***.**.**.***,4672 - [DOS]
Mon, 2005-10-24 00:52:18 - UDP Packet - Source:83.33.162.101,4672 Destination:***.**.**.***,4672 - [DOS]
Mon, 2005-10-24 00:52:19 - UDP Packet - Source:85.59.33.186,4672 Destination:***.**.**.***,4672 - [DOS]
Mon, 2005-10-24 00:52:21 - UDP Packet - Source:62.1.67.6,4672 Destination:***.**.**.***,4672 - [DOS]
Mon, 2005-10-24 00:52:37 - UDP Packet - Source:203.204.0.177,4672 Destination:***.**.**.***,4672 - [DOS]
Mon, 2005-10-24 00:52:37 - UDP Packet - Source:82.223.81.17,4672 Destination:***.**.**.***,4672 - [DOS]
Mon, 2005-10-24 00:52:39 - UDP Packet - Source:82.230.81.3,4672 Destination:***.**.**.***,4672 - [DOS]
Mon, 2005-10-24 00:52:55 - UDP Packet - Source:24.232.250.191,4672 Destination:***.**.**.***,4672 - [DOS]
Mon, 2005-10-24 00:52:56 - UDP Packet - Source:221.208.208.6,32902 Destination:***.**.**.***,1027 - [DOS]
Mon, 2005-10-24 00:53:12 - UDP Packet - Source:83.45.23.227,4672 Destination:***.**.**.***,4672 - [DOS]
Mon, 2005-10-24 00:53:14 - UDP Packet - Source:200.121.247.69,16729 Destination:***.**.**.***,4672 - [DOS]
Mon, 2005-10-24 00:53:14 - UDP Packet - Source:63.236.161.8,4674 Destination:***.**.**.***,4672 - [DOS]
Mon, 2005-10-24 00:53:15 - UDP Packet - Source:84.142.133.207,4672 Destination:***.**.**.***,4672 - [DOS]
Mon, 2005-10-24 00:53:58 - UDP Packet - Source:82.81.23.53,6672 Destination:***.**.**.***,4672 - [DOS]
Mon, 2005-10-24 00:54:33 - UDP Packet - Source:62.174.223.18,4672 Destination:***.**.**.***,4672 - [DOS]
Mon, 2005-10-24 00:54:33 - UDP Packet - Source:217.216.26.178,4672 Destination:***.**.**.***,4672 - [DOS]
Mon, 2005-10-24 00:54:33 - UDP Packet - Source:84.133.224.102,63272 Destination:***.**.**.***,4672 - [DOS]
Mon, 2005-10-24 00:54:34 - UDP Packet - Source:82.107.183.158,4672 Destination:***.**.**.***,4672 - [DOS]
Mon, 2005-10-24 00:54:42 - UDP Packet - Source:83.32.38.57,4672 Destination:***.**.**.***,4672 - [DOS]
Mon, 2005-10-24 00:54:51 - UDP Packet - Source:221.208.208.3,32783 Destination:***.**.**.***,1027 - [DOS]
Mon, 2005-10-24 00:54:51 - UDP Packet - Source:83.205.22.69,4672 Destination:***.**.**.***,4672 - [DOS]
Mon, 2005-10-24 00:54:51 - UDP Packet - Source:80.51.176.2,4672 Destination:***.**.**.***,4672 - [DOS]
Mon, 2005-10-24 00:54:52 - UDP Packet - Source:84.120.55.150,4672 Destination:***.**.**.***,4672 - [DOS]
Mon, 2005-10-24 00:56:05 - UDP Packet - Source:82.101.133.138,4672 Destination:***.**.**.***,4672 - [DOS]
Mon, 2005-10-24 00:57:14 - UDP Packet - Source:219.134.108.50,1044 Destination:***.**.**.***,4672 - [DOS]
Mon, 2005-10-24 00:57:26 - UDP Packet - Source:80.25.103.155,5672 Destination:***.**.**.***,4672 - [DOS]
Mon, 2005-10-24 00:57:27 - UDP Packet - Source:86.198.70.117,61179 Destination:***.**.**.***,4672 - [DOS]
Mon, 2005-10-24 00:57:37 - UDP Packet - Source:82.213.176.215,4672 Destination:***.**.**.***,4672 - [DOS]
Mon, 2005-10-24 00:57:43 - UDP Packet - Source:84.6.100.116,4672 Destination:***.**.**.***,4672 - [DOS]
Mon, 2005-10-24 00:57:43 - UDP Packet - Source:200.66.157.154,4672 Destination:***.**.**.***,4672 - [DOS]
Mon, 2005-10-24 00:57:46 - UDP Packet - Source:81.203.211.187,4671 Destination:***.**.**.***,4672 - [DOS]
Mon, 2005-10-24 00:57:46 - UDP Packet - Source:84.162.52.45,4682 Destination:***.**.**.***,4672 - [DOS]
Mon, 2005-10-24 00:57:47 - UDP Packet - Source:193.205.206.148,29519 Destination:***.**.**.***,4672 - [DOS]
Mon, 2005-10-24 00:58:16 - UDP Packet - Source:81.62.75.75,54135 Destination:***.**.**.***,4672 - [DOS]
Mon, 2005-10-24 00:58:19 - UDP Packet - Source:62.15.88.34,4672 Destination:***.**.**.***,4672 - [DOS]
Mon, 2005-10-24 00:59:06 - UDP Packet - Source:81.36.141.213,4672 Destination:***.**.**.***,4672 - [DOS]
Mon, 2005-10-24 00:59:49 - UDP Packet - Source:85.59.37.234,4672 Destination:***.**.**.***,4672 - [DOS]
Mon, 2005-10-24 00:59:49 - UDP Packet - Source:217.217.22.97,4672 Destination:***.**.**.***,4672 - [DOS]

Come puoi notare quasi tutti sono indirizzati alla porta 4672
nel mio precedente post ho fatto un sunto di vari log elencando le porte maggiormente bersagliate.
Grazie di nuovo per l'aiuto.

cichity74

Discussione: Security Log

Strumenti discussione

Ricerca discussione

Visualizza

Security Log

Permessi di invio