[Lugge] R: Re: R: Log di Linux

  • From: "Gianluka ThEbLaCkAnGeL" <theblackangel@xxxxxxxx>
  • To: <lugge@xxxxxxxxxxxxx>
  • Date: Tue, 21 Oct 2003 21:03:46 +0200

> se mi sbaglio correggetemi 
> ;-)
Sicuramente :D

> se ho detto castroneria correggetemi SUBITO!
> :D
Allora devo intervenire subito perchè ci sono inesattezze e imprecisioni.
Il fatto che ci sia un mac address non implica che sia un pacchetto
locale...fidati se ti dico così e non sto qui a spiegare il motivo perchè mi
ci vorrebbe tutta la serata, semmai lo faccio in un workshop serale se vi
va. :D

Analizziamo i log che ci propone il nostro spacedom
- Jun 15 04:08:56 xyxyxy kernel: IN=eth1 OUT=
MAC=aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa
SRC=ttt.yyy.uuu.eee DST=xxx.yyy.vvv.iii LEN=78 TOS=0x00 PREC=0x00 TTL=128
ID=xcvbn PROTO=UDP SPT=137 DPT=137 LEN=58 

- Jun 15 04:08:57 xyxyxy kernel: IN=eth1 OUT=
MAC=aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa
SRC=fff.hhh.jjj.mmm DST=xxx.yyy.vvv.iii LEN=78 TOS=0x00 PREC=0x00 TTL=128
ID=eirut PROTO=UDP SPT=137 DPT=137 LEN=58 

- Jun 15 04:08:57 xyxyxy kernel: IN=eth1 OUT=
MAC=aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa
SRC=iii.ppp.aaa.qqq DST=xxx.yyy.vvv.iii LEN=78 TOS=0x00 PREC=0x00 TTL=128
ID=opdod PROTO=UDP SPT=137 DPT=137 LEN=58 

- Jun 15 04:11:04 xyxyxy kernel: IN=eth1 OUT= MAC= SRC=sss.eee.ttt.qqq
DST=xxx.yyy.vvv.iii LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP
SPT=1031 DPT=137 LEN=58


- Jun 18 13:29:12 xyxyxy kernel: IN=eth1 OUT=
MAC=aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa
SRC=qqq.eee.ttt.yy DST=xxx.yyy.vvv.iii LEN=48 TOS=0x00 PREC=0x80 TTL=112
ID=adkfi DF PROTO=TCP SPT=64795 DPT=8081 WINDOW=64240 RES=0x00 SYN URGP=0

I dati principali che differenziano i primi 3 dagli ultimi 2, oltre che agli
IP di sorgente e destinazione sono 
PROTO tale campo indica che tipo di protocollo viene instradato da IP. I
protocolli principali sono UDP - TCP, ce ne sono altri tipo ICMP, ma
riflettiamo su questi un momento.Sono molto diversi tra loro in particolare
per il fatto che UDP è un connection-less protocol mentre TCP è un
connection oriented protocol.

SPT La porta sorgente UDP/TCP Può variare 
DPT La porta di destinazione, ci rivela il servizio a cui ci stiamo
connettendo, esistono delle well-known port che identificano i servizi
standard, ad esmpio la 80 sta per il web,la 21 per l'ftp, la 23 telnet, 22
ssh, 69 finger ,137-139 NetBios,169 snmp,ecc.ecc Trovi maggiori info nel
file /etc/services.

Sostanzialmente questi sono i + importanti, altri tipo il DF che vedi sono
finezze.
I primi tre pacchetti che mostri, ad esempio a naso potrebbero essere i
pacchetti inviati da una macchina windows durante l'accensione per farsi
vedere nel dominio/workgroup, oppure una semplice apertura di una cartella
condivisa.
La porta 8081 potrebbe essere un proxy, anche se di norma gira sulla 8080,
oppure Tomcat ma così alla cieca non so dirti.
Per capire come mettere in relazione questi log con potenziali attacchi beh,
bisogna studiare un pochetto.....il mio consiglio è quello di studiare un pò
le basi sul networking e poi approfondire come sono fatti gli header
IP/TCP/UDP

Ora scappo che sono di fretta ma appena posso ti posto qualche link da cui
iniziare.
Ciao
gianluka

---
Outgoing mail is certified Virus Free.AVG Antivirus@Leonardo  
Checked by AVG anti-virus system (http://www.grisoft.com).
Version: 6.0.528 / Virus Database: 324 - Release Date: 16/10/2003
 



--
Email.it, the professional e-mail, gratis per te: http://www.email.it/f

Sponsor:
Il pacchetto classicissimi - 15 grandi classici della letteratura
Sconto del 52% sul prezzo di mercato.
Clicca qui: http://adv.email.it/cgi-bin/foclick.cgi?mid=1903&d=21-10
========----------

 Prima di scrivere in m-list per favore leggi il regolamento
 http://www.lugge.net/soci/index.php?link=manifesto

 Archivio delle e-mail postate in lista
 http://www.freelists.org/archives/lugge/

 Modifica dell'account sulla lista LUGGe
 http://www.lugge.net/soci/index.php?link=manifesto.htm#list


Other related posts: