Mi sono appena accorto che in 2 ore di connessione mi hanno attaccato 63 volte, una decina di volte anche da questo ip 10.113.0.1 che non riesco a tracciare.
Forse è meglio se vado a dormire, altrimenti cominciano a bombardarmi adesso.
Mi sono appena accorto che in 2 ore di connessione mi hanno attaccato 63 volte, una decina di volte anche da questo ip 10.113.0.1 che non riesco a tracciare.
Forse è meglio se vado a dormire, altrimenti cominciano a bombardarmi adesso.
Bè, 10.113.0.1 è chiaramente un IP privato, non esiste su internet, esiste solo nelle reti private.Originally posted by cb_123
Mi sono appena accorto che in 2 ore di connessione mi hanno attaccato 63 volte, una decina di volte anche da questo ip 10.113.0.1 che non riesco a tracciare.
Forse è meglio se vado a dormire, altrimenti cominciano a bombardarmi adesso.
Le cose sono 3:
1) il tuo provider ti fa passare da una sua rete privata (Interfree, FastWeb per esempio). Prova a traccaire un qualsiasi IP pubblico a caso, e vedi se i primi HOP sono ip del tipo 10.x.x.x, in tal caso è facile che a mandarti dei pacchetti sia una macchina all'interno della rete privata del provider, ma mica è detto che siano attacchi, posta il pacchetto in questione e se ne ragiona.
2) Il pacchetto non ti è arrivato dal modem ma dalla scheda di rete e guardacaso la tua rete ha IP 10.x.x.x.
3) Il pacchetto ti è arrivato dal modem e sei sicuro che il provider non ti faccia passare da una sua rete privata, allora indubbiamente si tratta di autentico pacchetto spooffato mandato da qualcuno che ti vuole impallare il pc, ma di sicuro non puo entrarti dentro in qualsiasi maniera.
Chiunque abbia un linux si puo divertire a costruirsi i pacchetti come gli pare con hping.
L'attacco mi arriva attraverso il modem sicuramente, perchè la scheda di rete non ce l'ho.
Se mi dici come postare il pacchetto, lo faccio.
Intendi forse postare una schermata del resoconto del firewall che l'ha bloccato?
Se il firewall non ha il dump vero e proprio del pacchetto bruciato, basta anche il log per vedere almeno la porta dove era diretto e il tipo di protocollo
Questa immagine è abbastanza, o serve altro?
bà, quello che t iarriva da 10.x.x.x sono pacchetti segmneti TCP con il flag SYN attivato. Il syn viene utilizzato per syncronizzare la il numero di sequenza dei segmenti TCP, e viene utilizzato per avviare una comunicazione TCP. Sembra che 10.x.x.x dall sua porta 80 voglia connettersi a te sula porta zzzz.
Se di questi paccehtti ne vedi a valanghe, allora direi che si tratta di un SYN flood con ip sorgente spooffato. Se ne vedi pochi, allora non saprei.
Gli ICMP che ti arrivano sono strani, cioè il type 33 non è un tipo comune, come per esempio type 0 (echo reply) e 8 (echo request) (quando fai un ping, fai un icmp type 8 e ti rispondono con un icmp type 0). Type 33 è roba di ipv6, però m'è venuto in mente che esiste un trojan (cioè applicativo client/server) che comunica con gli ICMP anzichè sesioni TCP, cosi anche se fai netstat -an non ti accorgi di avereun trojan in ascolto.
Skydance per esempio usa solo ICMP per comunicare, e di qualsiasi tipo (anche il 33 quindi) e in piu il client puo mandare pacchetti ICMP al server spooffando l'ip sorgente.
Magari c'è qualcuno che prova a vedere se hai il server di skydance o simile installato.....il norton è aggiornato almeno?
Un gere assai professionale, complimenti
A presto
Inte73
Oè, badalo!Originally posted by Intenzo
Un gere assai professionale, complimenti
A presto
Inte73
tnx
Grazie per la spiegazione Geremia.Originally posted by Geremia
bà, quello che t iarriva da 10.x.x.x sono pacchetti segmneti TCP con il flag SYN attivato. Il syn viene utilizzato per syncronizzare la il numero di sequenza dei segmenti TCP, e viene utilizzato per avviare una comunicazione TCP. Sembra che 10.x.x.x dall sua porta 80 voglia connettersi a te sula porta zzzz.
Se di questi paccehtti ne vedi a valanghe, allora direi che si tratta di un SYN flood con ip sorgente spooffato. Se ne vedi pochi, allora non saprei.
Gli ICMP che ti arrivano sono strani, cioè il type 33 non è un tipo comune, come per esempio type 0 (echo reply) e 8 (echo request) (quando fai un ping, fai un icmp type 8 e ti rispondono con un icmp type 0). Type 33 è roba di ipv6, però m'è venuto in mente che esiste un trojan (cioè applicativo client/server) che comunica con gli ICMP anzichè sesioni TCP, cosi anche se fai netstat -an non ti accorgi di avereun trojan in ascolto.
Skydance per esempio usa solo ICMP per comunicare, e di qualsiasi tipo (anche il 33 quindi) e in piu il client puo mandare pacchetti ICMP al server spooffando l'ip sorgente.
Magari c'è qualcuno che prova a vedere se hai il server di skydance o simile installato.....il norton è aggiornato almeno?
Adesso allora aggiorno il norton, visto che sono quasi due mesi che non lo aggiorno.
Va aggiornato una volta alla settimana, ma anche piu spesso, altrimenti e' un programma inutile, e mai fidarsi di nessuno.
A presto
Inte73
Ci sono attualmente 1 utenti che stanno visualizzando questa discussione. (0 utenti e 1 ospiti)