Hallo, in die Runde, nein, mit iptables und firewalls hatte ich mich bisher noch nicht sehr beschaeftigt, ich hielt es schlicht fuer unoetig, meinen Einzelplatz-Bastel-PC damit auszustatten. Nun habe ich mich, mehr aus Neugier, doch mit iptables beschaeftigt, und mir gestern einige Regeln aus dem HOWTO angeeignet: ,----[ firewall ]- | #!/bin/sh | INTERFACE=ppp0 | | iptables -F | | iptables -N block | iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT | iptables -A block -m state --state NEW -i ! $INTERFACE -j ACCEPT | iptables -A block -i $INTERFACE -j LOG -m limit --log-prefix "Bad | Packet from $INTERFACE " | iptables -A block -i ! $INTERFACE -j LOG -m limit --log-prefix "Bad | Packet not from $INTERFACE " | iptables -A block -j DROP | iptables -A INPUT -j block | iptables -A FORWARD -j block | | iptables -A POSTROUTING -t nat -o $INTERFACE -j MASQUERADE | echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all `---- Nunja, ich startete die Modemverbindung, und waehrend /etc/ppp/ip-up.local seinen Job erledigte, holte ich mir einen Kaffee. Als ich mit der Tasse an den Rechner zurueckkam, prangte eine neue Erkenntnis mit Root-Tail am Bildschirmhintergrund: #--------------------------------------------------------------------- Sep 14 12:12:42 comone kernel: Bad Packet from ppp0 IN=ppp0 OUT= MAC= SRC=217.106.60.205 DST=217.4.44.81 LEN=48 TOS=0x00 PREC=0x00 TTL=111 ID=52528 DF PROTO=TCP SPT=1243 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0 Sep 14 12:12:48 comone kernel: Bad Packet from ppp0 IN=ppp0 OUT= MAC= SRC=217.106.60.205 DST=217.4.44.81 LEN=48 TOS=0x00 PREC=0x00 TTL=111 ID=52954 DF PROTO=TCP SPT=1243 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0 #--------------------------------------------------------------------- IN, SRC, DST und PROTO verstehe ich ja, SPT wird den Port bezeichnen, und SYN ist, meine ich, ein Paket mit SYN-Flag, das den Verbindungsaufbau gestaltet. Die Quell-IP fuehrt uebrigens nach Russland. Trotzdem leuchtet mit die Meldung nicht ganz ein. Ob einer von Euch mir eine Uebersetzung der Meldung geben kann, oder einen Schluessel zeigt, mit dem ich in Zukunft solche Geschichten aufdroesele? Mit besten Gruessen, Andreas -- : Kneibs Notizen :: http://www.kolumne.ixy.de
Andreas Kneib schrieb am Freitag den 14. September 2001:
#--------------------------------------------------------------------- Sep 14 12:12:42 comone kernel: Bad Packet from ppp0 IN=ppp0 OUT= MAC= SRC=217.106.60.205 DST=217.4.44.81 LEN=48 TOS=0x00 PREC=0x00 TTL=111 ID=52528 DF PROTO=TCP SPT=1243 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0
Sep 14 12:12:48 comone kernel: Bad Packet from ppp0 IN=ppp0 OUT= MAC= SRC=217.106.60.205 DST=217.4.44.81 LEN=48 TOS=0x00 PREC=0x00 TTL=111 ID=52954 DF PROTO=TCP SPT=1243 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0 #---------------------------------------------------------------------
IN, SRC, DST und PROTO verstehe ich ja, SPT wird den Port bezeichnen, und SYN ist, meine ich, ein Paket mit SYN-Flag, das den Verbindungsaufbau gestaltet. Die Quell-IP fuehrt uebrigens nach Russland. Trotzdem leuchtet mit die Meldung nicht ganz ein. Ob einer von Euch mir eine Uebersetzung der Meldung geben kann, oder einen Schluessel zeigt, mit dem ich in Zukunft solche Geschichten aufdroesele?
Beides sind Verbindungsanforderungen (SYN) mit Protokoll TCP an Deinen Rechner Port 80 (DPT). Ein Blick in die /etc/services verrät: Port 80 = http. Jemand wollte also was von Deinem Webserver haben. Ich tippe stark auf den CodeRed, der immer noch nicht ausgemerzt ist... Gruß Jens -- printf("*** system failure failed.\n");
Hi,
* Jens Tautenhahn
Beides sind Verbindungsanforderungen (SYN) mit Protokoll TCP an Deinen Rechner Port 80 (DPT). Ein Blick in die /etc/services verrät: Port 80 = http. Jemand wollte also was von Deinem Webserver haben.
Ich tippe stark auf den CodeRed, der immer noch nicht ausgemerzt ist...
Vielen Dank fuer die Aufklaerung. Versuchte Verbindungen zu Port 80 gibt es uebrigens reichlich, von [Sep 14 11:35:48] bis [Sep 15 14:07:05] sind es insgesamt 31, immernach dem gleichen Muster und stets versucht es die Rechner zwei bis drei Mal. Ist das pure Schlamperei der entsprechenden Administratoren, oder wie ist das Phaenomen zu erklaeren, dass CodeRed noch immer on tour laeuft? Mit besten Gruessen, Andreas -- Kneibs Notizen. Diese Woche: 'Der Weihnachtsdetektiv #I' * http://www.kolumne.ixy.de *
Andreas Kneib schrieb am Samstag den 15. September 2001:
Rechner zwei bis drei Mal. Ist das pure Schlamperei der entsprechenden Administratoren, oder wie ist das Phaenomen zu erklaeren, dass CodeRed noch immer on tour laeuft?
IMHO Unwissenheit und/oder Schlamperei. Zwei gefährliche Eigenschaften für einen Serverbetreiber. Wenn man diese Eigenschaften in einer Firma an den Tag legt, sitzt man auf einem wunderbaren Katapultstuhl... Aber, das hat eigentlich auch nun gar nichts mehr mit dem Topic der Liste zu tun. Kommentare bitte nicht in die Liste. Gruß Jens -- .. may the Tux be with you! #130250
Griasdebua! Am Freitag, 14. September 2001 15:37 schrieb Jens Tautenhahn:
Beides sind Verbindungsanforderungen (SYN) mit Protokoll TCP an Deinen Rechner Port 80 (DPT). Ein Blick in die /etc/services verrät: Port 80 = http. Jemand wollte also was von Deinem Webserver haben.
Ist denn auch wirklich ein Webserver am laufen? Meine Firewall-Konfiguration meldet mir sehr viele dieser "Angriffsversuche", wobei ich mal dahingestellt lassen möchte, ob das nun wirklich ein Angriff war, oder ob nur mal jemand meine IP in seinem Browser eingegeben hatte. z.B.: -----8<-----8<-----8<-----8<-----8<-----8<-----8<-----8<-----8<-----8<-----8< PF DENY hourly DROP-TCP report Von: logsurfer@server.local An: bigchief@server.local Datum: Wed, 5 Sep 2001 01:06:05 +0200 Sep 5 00:06:02 server kernel: DROP-TCP IN=ppp0 OUT= MAC= SRC=193.77.125.14 DST=217.80.35.97 LEN=48 TOS=0x00 PREC=0x00 TTL=115 ID=11203 DF PROTO=TCP SPT=3093 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0 -----8<-----8<-----8<-----8<-----8<-----8<-----8<-----8<-----8<-----8<-----8<
Ich tippe stark auf den CodeRed, der immer noch nicht ausgemerzt ist...
Na ja, wäre mir da mal nicht so sicher ... cu, BC
Griasde Andreas! Am Freitag, 14. September 2001 15:08 schrieb Andreas Kneib:
IN, SRC, DST und PROTO verstehe ich ja, SPT wird den Port bezeichnen, und SYN ist, meine ich, ein Paket mit SYN-Flag, das den Verbindungsaufbau gestaltet. Die Quell-IP fuehrt uebrigens nach Russland.
Na ja, da wäre ich mir mal nicht so sicher. Die meisten Adressen, werden wohl gespooft sein. Denn einige der Adressen, die mir logsurfer aus der firewall.log zieht sind z.B. Adressen der t-online-Server. Aber mal 'ne Frage, wie bist DU denn auf Russland gekommen? Wie findest Du denn heraus, welche Adresse zu welchem Netz gehört? Hast Du da eine Tabelle oder eine Suchmaschine? cu, BC
Hi,
* Michael Nausch
Aber mal 'ne Frage, wie bist DU denn auf Russland gekommen? Wie findest Du denn heraus, welche Adresse zu welchem Netz gehört? Hast Du da eine Tabelle oder eine Suchmaschine?
Das erledigt auf der Kommandozeile das Tool "whois" oder "host" in Verbindung mit der IP-Adresse. Viele Gruesse, Andreas -- " If it be poison'd, 'tis the lesser sin That mine eye loves it and doth first begin " Shakespeare, Sonett CXIV
Hallo, * On Sat, Sep 15, 2001 at 06:52 PM (+0200), Michael Nausch wrote:
Na ja, da wäre ich mir mal nicht so sicher. Die meisten Adressen, werden wohl gespooft sein.
Ich denke, dass das Spoofen von IP-Adressen keine triviale Angelegenheit ist. Denn Du moechtest ja vom kontaktierten Server auch eine Antwort bekommen...
Denn einige der Adressen, die mir logsurfer aus der firewall.log zieht sind z.B. Adressen der t-online-Server.
Bist ganz Du sicher, dass es keine IP-Adressen des Dialup-Pools von T-Online sind?
Aber mal 'ne Frage, wie bist DU denn auf Russland gekommen?
Schau Dir mal "man whois" an. Oder zum Beispiel: http://www.iana.org/ipaddress/ip-addresses.htm Gruss, Steffen
Griasde Steffen! Am Samstag, 15. September 2001 21:09 schrieb Steffen Moser:
Ich denke, dass das Spoofen von IP-Adressen keine triviale Angelegenheit ist. Denn Du moechtest ja vom kontaktierten Server auch eine Antwort bekommen...
Na ja, ich denke mal es kommt darauf an, was der "Angreifer" denn genau erreichen will, oder?
Bist ganz Du sicher, dass es keine IP-Adressen des Dialup-Pools von T-Online sind?
Also wenn ich dann meinerseits eine http-Verbindung mittels Konqueror auf eine der besagten ip-Adressen unternehme, komme ich bei t-longline heraus. Also schloß ich daraus, daß es sich um eine gespoofte Adresse handelte, oder die Seiten bei t-longline machen irgendetwas "illegales" ...
Schau Dir mal "man whois" an.
Na ja, irgenwie will das teil nicht so recht. Welche Ports benutzt denn "whois" für seinen Anfragen und wie (TCP/ICMP) werden diese nach "draußen" geschickt?
Danke die Adresse ist gut, die hab' ich mir gleich mal notiert ... ttyl, BC
Hallo Michael, * On Sun, Sep 16, 2001 at 04:06 PM (+0200), Michael Nausch wrote:
Griasde Steffen!
Am Samstag, 15. September 2001 21:09 schrieb Steffen Moser:
Ich denke, dass das Spoofen von IP-Adressen keine triviale Angelegenheit ist. Denn Du moechtest ja vom kontaktierten Server auch eine Antwort bekommen...
Na ja, ich denke mal es kommt darauf an, was der "Angreifer" denn genau erreichen will, oder?
Sicher. Aber z.B. zum Scannen, ob auf einem bestimmten Port ein bestimmter Daemon laeuft, eignen sich doch gespoofte IP-Adressen gar nicht, da Du ja mit gefaelschten Source-IP-Adressen keine Antworten zurueckbekommst.
Also wenn ich dann meinerseits eine http-Verbindung mittels Konqueror auf eine der besagten ip-Adressen unternehme, komme ich bei t-longline heraus.
Du meinst also, dass sich dahinter tatsaechlich die IP-Adresse des oder eines Webservers von T-Online verborgen hat? Denn das waere dann in der Tat merkwuerdig.
Schau Dir mal "man whois" an.
Na ja, irgenwie will das teil nicht so recht.
Erhaeltst Du denn eine Fehlermeldung? Zumindest hier (SuSE Linux 7.2) funktioniert "whois" problemlos. Ich kann mich aber daran erinnern, dass ein aelteres "whois" (das, das bei SuSE Linux 7.0 dabei war) von heute auf morgen nicht mehr funktionierte. Vermutlich hatte sich ein Whois-Server-Name geaendert oder sonst etwas. Da es unter SuSE Linux 7.2 aber wieder lief, habe ich mich im Nachhinein nicht mehr darum gekuemmert. Gruss, Steffen
Hi,
Nachtrag:
* Michael Nausch
Na ja, da wäre ich mir mal nicht so sicher. Die meisten Adressen, werden wohl gespooft sein. Denn einige der Adressen, die mir logsurfer aus der firewall.log zieht sind z.B. Adressen der t-online-Server.
Mach IP-Spoofing nicht nur Sinn, um beispielsweise mit 127.0.0.2 eine Firewall zu unterlaufen und Dienste zu nutzen, die nur internen Netz zugelassen sind? Und kommt ueberhaupt eine Verbindung zustande, wenn jemand seinen Absender faelscht? Antwort-Pakete wuerden ja dann gar nicht wie gewuenscht ankommen, oder irre ich mich da? Mit besten Gruessen, Andreas -- Es gibt eine Sorte ungemein ueberlegener Menschen, die gern versichern, alles sei relativ. Das ist natuerlich Unsinn, denn wenn _alles_ relativ waere, gaebe es nichts, wozu es relativ sein koennte. [Russell]
Moin,
* Michael Nausch
Aber mal 'ne Frage, wie bist DU denn auf Russland gekommen? Wie findest Du denn heraus, welche Adresse zu welchem Netz gehört? Hast Du da eine Tabelle oder eine Suchmaschine?
Hatte ich bei meiner ersten Antwort ganz vergessen: Wenn Du das Tool "whois" nicht installiert hast, geht auch ein telnet whois.thur.de 43 Und dann gibst Du Deine Anfrage ein, ob nun Domain oder IP, und quittierst mit der Enter-Taste. Mit besten Gruessen, Andreas -- " If it be poison'd, 'tis the lesser sin That mine eye loves it and doth first begin " Shakespeare, Sonett CXIV
participants (4)
-
Andreas Kneib
-
Jens Tautenhahn
-
Michael Nausch
-
Steffen Moser