Freesco, NND, CDN, EOS
http://forum.freesco.pl/

Obce adresy w ip_conntrack
http://forum.freesco.pl/viewtopic.php?f=22&t=16456		 Strona 1 z 1
Autor:  Osfald [ niedziela, 20 stycznia 2008, 16:01 ]
Tytuł:  Obce adresy w ip_conntrack
Od pewnego czasu zaczely pojawiac sie u mnie w jednej z sieci lokalnych adresy spoza klasy uzywanej w tym LANie... obce adresy dominuja w postaci 192.168.x.x i pojawiaja sie tylko na interfejsie od strony LAN, a ich obecnosc jest dosc losowa.... zarowno jesli chodzi o czas, jak i sam obcy adres IP...

W ip_conntrack wpisy tych obcych adresow uwidaczniaja jedno polaczenie TCP ktorego celem jest moj serwer (adres bramy... nie proboja wychodzi poza siec). ARP nie wskazuje zadnego MAC'a powiazanego z obcym adresem...

Cala wykorzystywana przeze mnie grupa adresow w LANie jest poblokowana po MACach, a dodatkowo od wczoraj dolozylem jeszcze dwie reguly eliminujace polaczenia spoza tej grupy:

: [/] [] ()
    iptables -I INPUT -i eth1 -s ! 192.168.20.0/24 -j DROP
    iptables -I FORWARD -i eth1 -s ! 192.168.20.0/24 -j DROP
GeSHi © Codebox Plus


regula dla lancucha INPUT zdropowala przez noc kilkaset pakietow... regula dla lancucha FORWARD wogole nie zostala odpalona...

jednak jest to leczenie skutkow, a nie przyczyn... no i tu jest moje pytanie

co moze powodowac pojawianie sie takich adresow? wirol? trojan?
jak wysledzic winowajce w LANie skoro ARP nie podaje mi MAC'a tego adresu, nie daje sie on ani pingowac, ani arpingowac, netstat-nat tez nic nie wskazuje... dodatkowo bardzo szybko nastepuja zmiany adresu na inny...
Autor:  pectosol [ niedziela, 20 stycznia 2008, 18:55 ]
Tytuł: 
moze ktos wlaczył w sieci dodatkowy serwer dhcp (np w AP, bramce VOIP, źle ustawonym kompie)

Jeśli masz na sztywno przypisane ARP to nie odczytasz MACka ale z całą pewnością musi jakiś byc - tyle że może byc fałszywy :?
Swoja drogą jaki masz wpis w /etc/ethers skoro i tak pakiety dochodzą do do wyższej warstwy.
Możesz użyc jakiegoś snifeffera na zewnętrznej maszynie (np tcdumpa) aby np poznac te dane.
Jeśli masz siec kablową opartą na prostych swichach to zadanie może byc kłopotliwe aby ustalic winowajcę zwłaszcza jeśli siec jest rozległa.
Mozna by w czasie "ataku" odłączac podejrzane końcówki i zobaczy czy atak ustaje, i tak po nitce do kłębka.

Mógłbyś w końcu dopuścic taki IP do neta w sposób kontrolowany i baaardzo dokladnie przejrzec każdy pakiet jaki taki delikwent wysyła.
Mozna wtedy ustalic nr gg, maile itp - a potem odezwac sie do niego.

A jeszcze mógł paśc ci jakis swich - np po przepięciu...Doświadczylem taki przypadek na własnej skórze, potrafił zablokowac wtedy cały segment sieci.
Autor:  Osfald [ niedziela, 20 stycznia 2008, 20:02 ]
Tytuł: 
pectosol pisze:
A jeszcze mógł paśc ci jakis swich - np po przepięciu...Doświadczylem taki przypadek na własnej skórze, potrafił zablokowac wtedy cały segment sieci.


kurka... chyba trafiles...

dzis powiesil sie 24 portowy switch zarzadzalny... ale dosc dziwnie bo tylko na jednym porcie do ktorego mialem przylaczony blok z 15 komputerami

nie wiem tylko jaki moglby byc mechanizm tego, ze przez takiego "pascia" pojawiaja sie w LANie adresy z nieuzywanej puli... switch EDIMAXa: http://abitech.pl/shop/towar/idt=1033901 i musze powiedzeic ze bylby to pierwszy raz, od kupna (4 lata temu) kiedy mnie zawiodl... z drugiej strony byc moze przestaje juz sobie radzic z ruchem (wszystkie porty zajete, szkielet na Gigabajtach, uzytkownicy i pomniejsze grupy na 10/100) w godzinach szczytu

sprzet mam izolowany od przepiec UPSami (6 jednostek UPS zasila 9 urzadzen aktywnych) w instalacjach zasilajacych aktywne urzadzenia sieci, kable sieciowe uziemnione i w wiekszosci zakopane... wiec to bym raczej wykluczal jako przyczyne

no nic... w poniedzialek podjade i zmienie go na cos nowszego...
odezwe sie czy pomoglo
Autor:  Osfald [ poniedziałek, 21 stycznia 2008, 21:06 ]
Tytuł: 
a jednak to nie switch...

zabralem sie na powaznie za analize wpisow w ip_conntrack i znalazlem cos takiego:

: [/] [] ()
tcp      6 117 SYN_SENT src=192.168.20.13 dst=192.168.1.4 sport=2213 dport=35668 [UNREPLIED] src=192.168.1.4 dst=IP_INTERFACEu_ DO_INTERNETU sport=35668 dport=2213 use=1 mark=0
tcp      6 76 SYN_SENT src=192.168.20.4 dst=192.168.1.10 sport=3562 dport=27708 [UNREPLIED] src=192.168.1.10 dst=IP_INTERFACEu_ DO_INTERNETU sport=27708 dport=3562 use=1 mark=0
tcp      6 64 SYN_SENT src=192.168.20.4 dst=192.168.1.2 sport=3540 dport=31220 [UNREPLIED] src=192.168.1.2 dst=IP_INTERFACEu_ DO_INTERNETU sport=31220 dport=3540 use=1 mark=0
tcp      6 92 SYN_SENT src=192.168.20.4 dst=192.168.1.114 sport=3588 dport=15675 [UNREPLIED] src=192.168.1.114 dst=IP_INTERFACEu_ DO_INTERNETU sport=15675 dport=3588 use=1 mark=0
tcp      6 118 SYN_SENT src=192.168.20.13 dst=192.168.1.35 sport=2220 dport=26948 [UNREPLIED] src=192.168.1.35 dst=IP_INTERFACEu_ DO_INTERNETU sport=26948 dport=2220 use=1 mark=0
GeSHi © Codebox Plus


okazalo sie, ze to swinstwo rozsylaja dwa komputery z mojej sieci.... 192.168.20.4 i 192.168.20.13

jaki wirol/trojan/p2p czy inne cholerstwo generuje takie polaczenia?
Autor:  Maciek [ poniedziałek, 21 stycznia 2008, 22:29 ]
Tytuł: 
O ile ja dobrze pamiętam, to kazaa czy jakoś tak..
Autor:  tasiorek [ poniedziałek, 21 stycznia 2008, 23:14 ]
Tytuł: 
Wszystko co skanuje siec, zatruwa tablice arp itp.
Wylaczyc tych 2 lebow ze switcha, jak wpisow nie bedzie, to poinformowac o syfieniu w sieci i o tym, ze zostana ponownie podlaczeni jak cos z tym zrobia.
Autor:  Osfald [ wtorek, 22 stycznia 2008, 04:00 ]
Tytuł: 
tasiorek pisze:
poinformowac o syfieniu w sieci i o tym, ze zostana ponownie podlaczeni jak cos z tym zrobia.


zrobione... narazie pomoglo :lol:

mam tylko nadzieje, ze to nie jest jakas plaga...

topic mozna wyslac w kosmos, dzieki za pomoc
Strona 1 z 1 Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/