On Tue, 21 Oct 2003 18:48:55 +0200 spacedom@xxxxxxxxxxx wrote: > >Semmai posta una riga tipo del log che vuoi analizzare, ripulita dei > >dati sensibili, in pratica mascherando gli ip, così sei maggiormente > >sicuro > e > >vedo di essere più preciso e dettagliato nella risposta. > >Ciauz > >gianlu|{a > > > > > - Jun 15 04:08:56 xyxyxy kernel: IN=eth1 OUT= > MAC=aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa SRC=ttt.yyy.uuu.eee > DST=xxx.yyy.vvv.iii LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=xcvbn > PROTO=UDP SPT=137 DPT=137 LEN=58 > > - Jun 15 04:08:57 xyxyxy kernel: IN=eth1 OUT= > MAC=aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa SRC=fff.hhh.jjj.mmm > DST=xxx.yyy.vvv.iii LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=eirut > PROTO=UDP SPT=137 DPT=137 LEN=58 > > - Jun 15 04:08:57 xyxyxy kernel: IN=eth1 OUT= > MAC=aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa SRC=iii.ppp.aaa.qqq > DST=xxx.yyy.vvv.iii LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=opdod > PROTO=UDP SPT=137 DPT=137 LEN=58 tre pacchetti simili ma non uguali (ID) che escono da tre diverse destinazioni ed arrivano (suppongo) al tuo indirizzo di destinazione (quale, locale, remoto, pubblico?), protocollo UDP non hanno il flag SYN quindi dovrebbero essere una risposta ad una tua richiesta. Hanno il MAC address quindi dovrebbero essere di provenienza locale. Suppongo che eth1 sia sulla rete locale. La porta 137 mi pare sia samba > - Jun 15 04:11:04 xyxyxy kernel: IN=eth1 OUT= MAC= SRC=sss.eee.ttt.qqq > DST=xxx.yyy.vvv.iii LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP > SPT=1031 DPT=137 LEN=58 Questo invece non ha un mac address... e non mi pare sia una cosa bella (però potrebbe essere passato attraverso un router layer 3) anche questo sulla porta 137, ha il flag di SYN quindi è un tentativo di connessione. > - Jun 18 13:29:12 xyxyxy kernel: IN=eth1 OUT= > MAC=aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa SRC=qqq.eee.ttt.yy > DST=xxx.yyy.vvv.iii LEN=48 TOS=0x00 PREC=0x80 TTL=112 ID=adkfi DF > PROTO=TCP SPT=64795 DPT=8081 WINDOW=64240 RES=0x00 SYN URGP=0 Ci sono 4 sorgenti IP che sembrano essere provenire dalla stessa scheda di rete... potrebbe essere una VLAN (ogni scheda virtuale ha un IP differente ma il MAC rimane lo stesso). Questo pacchetto è un tentativo di connessione alla porta 8081 (che non so cosa sia ma l'8080 è spesso usata per l'http-proxy). ok, però alcuni numeri sono necessari per capire cosa succede, esempio: 192.168.0.1 è un indirizzo locale... se non vedo che è locale non capisco (user-trojan che cerca di passare il firewall dall'internto?) inoltre indirizzi del tipo xx.yy.zz.0 oppure xx.yy.zz.255 sono indirizzi speciali se non li vedo non capisco. Così come 127.0.0.1, 172.xx.yy.zz. Insomma maschera il tuo IP pubblico così xx.yy.zz.(vero) ma non tutti gli altri ;-) se mi sbaglio correggetemi ;-) se ho detto castroneria correggetemi SUBITO! :D Ciao, -- ,__ ,_ ,___ .-------=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-. ||_) ||\ ||_ / Oh Capitano, Oh mio Capitano | || \ ||¯\ ||¯ linuxgrp: http://www.lugge.net | ¯¯ ¯° ¯¯ ¯° ¯¯ ° homepage: http://digilander.iol.it/robang | \ Roberto A. Foglietta reg num : #219348 by the Linux Counter | `---------------------=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-' ========---------- Prima di scrivere in m-list per favore leggi il regolamento http://www.lugge.net/soci/index.php?link=manifesto Archivio delle e-mail postate in lista //www.freelists.org/archives/lugge/ Modifica dell'account sulla lista LUGGe http://www.lugge.net/soci/index.php?link=manifesto.htm#list