-El Sáb 17 May 2003 11:23, Rafael Grimán escribió:
Hola :)
Sharek wrote:
Aprovechando que habeis sido tan rapidos y tan incisivos con la respuesta, aqui os propongo otro reto :) Vereis... tengo un ADSL con ip fija que está conectada las 24 horas... Todo va perfecto, pero llevo dias observando un parpadeo a intervalos regulares del router Los primeros dias era en horas donde todos estaban conectados y no le di mayor importancia (flujo de datos) un buen dia al cerrar y estar yo solo en la planta me di cuenta que ese parpadeo seguia... y a intervalos regulares ante la duda, fui maquina por maquina para ver si algun usuario se habia dejado un programa encendido (tipo soulseek o emule) que explicara el pq
No tiene por que ser un ataque, aunque siempre mosquea eh? entra en el router y mira a ver con quien está hablando o corre netstat en cada una de las maquinas a ver si aparece un stablished raro fuera de la LAN sí ves que hay alguna conexion establecida pilla un buen snifer y echale un ojo a las tramas a ver que sacas en claro
el ADSL está transmitiendo datos fuera de horas de uso (en teoria lo unico deberia estar encendido en ese momento es el servidor SuSE)... revisé todos los terminales windows y no vi ningun programa, decidí apagarlos todos... el parpadeo continuaba... como prueba decidí desconectar temporalmente el router del server (alomejor el SuSE estaba buscando updates (la reciente 8.2 tiene un sistema de actualizacion automatica))...
Ahi mi sorpresa el Router seguia parpadeando, solo hay una explicación alguien de fuera intenta analizar que hay mas allá del router (si no lo ha conseguido ya...) El caso es que me huele a portscanner o a ping (los intervalos regulares)
se puede analizar en algun log de linux si alguien está haciendo pings? (lo del portscanner de momento lo veo poco probable... ya que seria un flujo mucho mas rapido) y si accede por ssh dudo que la persona del otro lado del cable se dedique a hacer una tecla cada 2 o 3 segundos.... >XDDD el router está en monopuesto y va directo al linux... el resto de la red va por otro interface de red...
Puedes usar varias herramientas: - ippl - scanlog - snort - iptraf
Las dos primeras loguean a syslog cuando hay escaneos de puertos y similares.
Snort es más complejo y consume bastantes recursos (según la configuración) por lo que mucha gente lo pone como una máquina a parte y con mucho disco libre.
La última opción es una herramienta visual que te va mostrando los paquetes, las IPs, ... en pantalla por lo que tienes que estar sentad delante.
Hay muchas más, ¿cómo no? ;)
Consejos: - entra en la configuración del router y monta un cortafuegos - en la máquina Linux monta otro cortafuegos - monta un proxy en la máquina Linux (opcional) - en la máquina Linux, como tiene Samba, añade en [global]: interfaces = IP bind interfaces only = yes
En la directiva interfaces pon la IP de la tarjeta que apunta a tu LAN, *NO* a la que está conectada al router!!! Puedes poner también 127.0.0.1 por si usas SWAT.
HTH
Rafa
-------------------------------------------------------