> se mi sbaglio correggetemi > ;-) Sicuramente :D > se ho detto castroneria correggetemi SUBITO! > :D Allora devo intervenire subito perchè ci sono inesattezze e imprecisioni. Il fatto che ci sia un mac address non implica che sia un pacchetto locale...fidati se ti dico così e non sto qui a spiegare il motivo perchè mi ci vorrebbe tutta la serata, semmai lo faccio in un workshop serale se vi va. :D Analizziamo i log che ci propone il nostro spacedom - Jun 15 04:08:56 xyxyxy kernel: IN=eth1 OUT= MAC=aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa SRC=ttt.yyy.uuu.eee DST=xxx.yyy.vvv.iii LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=xcvbn PROTO=UDP SPT=137 DPT=137 LEN=58 - Jun 15 04:08:57 xyxyxy kernel: IN=eth1 OUT= MAC=aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa SRC=fff.hhh.jjj.mmm DST=xxx.yyy.vvv.iii LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=eirut PROTO=UDP SPT=137 DPT=137 LEN=58 - Jun 15 04:08:57 xyxyxy kernel: IN=eth1 OUT= MAC=aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa SRC=iii.ppp.aaa.qqq DST=xxx.yyy.vvv.iii LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=opdod PROTO=UDP SPT=137 DPT=137 LEN=58 - Jun 15 04:11:04 xyxyxy kernel: IN=eth1 OUT= MAC= SRC=sss.eee.ttt.qqq DST=xxx.yyy.vvv.iii LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=1031 DPT=137 LEN=58 - Jun 18 13:29:12 xyxyxy kernel: IN=eth1 OUT= MAC=aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa:aa SRC=qqq.eee.ttt.yy DST=xxx.yyy.vvv.iii LEN=48 TOS=0x00 PREC=0x80 TTL=112 ID=adkfi DF PROTO=TCP SPT=64795 DPT=8081 WINDOW=64240 RES=0x00 SYN URGP=0 I dati principali che differenziano i primi 3 dagli ultimi 2, oltre che agli IP di sorgente e destinazione sono PROTO tale campo indica che tipo di protocollo viene instradato da IP. I protocolli principali sono UDP - TCP, ce ne sono altri tipo ICMP, ma riflettiamo su questi un momento.Sono molto diversi tra loro in particolare per il fatto che UDP è un connection-less protocol mentre TCP è un connection oriented protocol. SPT La porta sorgente UDP/TCP Può variare DPT La porta di destinazione, ci rivela il servizio a cui ci stiamo connettendo, esistono delle well-known port che identificano i servizi standard, ad esmpio la 80 sta per il web,la 21 per l'ftp, la 23 telnet, 22 ssh, 69 finger ,137-139 NetBios,169 snmp,ecc.ecc Trovi maggiori info nel file /etc/services. Sostanzialmente questi sono i + importanti, altri tipo il DF che vedi sono finezze. I primi tre pacchetti che mostri, ad esempio a naso potrebbero essere i pacchetti inviati da una macchina windows durante l'accensione per farsi vedere nel dominio/workgroup, oppure una semplice apertura di una cartella condivisa. La porta 8081 potrebbe essere un proxy, anche se di norma gira sulla 8080, oppure Tomcat ma così alla cieca non so dirti. Per capire come mettere in relazione questi log con potenziali attacchi beh, bisogna studiare un pochetto.....il mio consiglio è quello di studiare un pò le basi sul networking e poi approfondire come sono fatti gli header IP/TCP/UDP Ora scappo che sono di fretta ma appena posso ti posto qualche link da cui iniziare. Ciao gianluka --- Outgoing mail is certified Virus Free.AVG Antivirus@Leonardo Checked by AVG anti-virus system (http://www.grisoft.com). Version: 6.0.528 / Virus Database: 324 - Release Date: 16/10/2003 -- Email.it, the professional e-mail, gratis per te: http://www.email.it/f Sponsor: Il pacchetto classicissimi - 15 grandi classici della letteratura Sconto del 52% sul prezzo di mercato. Clicca qui: http://adv.email.it/cgi-bin/foclick.cgi?mid=1903&d=21-10 ========---------- Prima di scrivere in m-list per favore leggi il regolamento http://www.lugge.net/soci/index.php?link=manifesto Archivio delle e-mail postate in lista //www.freelists.org/archives/lugge/ Modifica dell'account sulla lista LUGGe http://www.lugge.net/soci/index.php?link=manifesto.htm#list