Discussioni sulla computer security
 

Strani "attacchi" ICMP + 33434-33443

BIG Umberto 27 Nov 2016 18:53
Saltuariamente noto nei log del firewall, una sequenza di 32/50 ICMP da
altrettanti IP diversi, seguiti da altrettanti tentativi di accesso alla porta
UDP 33434, poi si ripetono per la 33435, poi si ripetono sino alla 33443 e
qualcuno sulla 33444, sempre dalla stessa sequenza e stesso ordine di IP.
Ogni gruppo dura circa 1 secondo o poco piú.
Sono solo fasti*****si.
Ma per curiositá mi piacerebbe sapere cosa cercano (33434=firewalk, ma il
resto?).
ICMP (ping) sono bloccati.
La 33434, é aperta su un IP attualmente sconnesso...


I 1700 e passa tentativi al giorno sulla 23, lo so, sono i residui di Mirai ed
i suoi cloni...

--
+----------------------------------------------------------------------------+
| 2 + 2 = circa 6 per valori molto abbondanti di 2 |
+-----#40--------------------Diamanti di saggezza.---------------------------+
Leonardo Serni 27 Nov 2016 19:55
On Sun, 27 Nov 2016 18:53:46 +0100, BIG Umberto <nomail@nospam.invalid> wrote:

>Saltuariamente noto nei log del firewall, una sequenza di 32/50 ICMP da
>altrettanti IP diversi, seguiti da altrettanti tentativi di accesso alla porta
>UDP 33434, poi si ripetono per la 33435, poi si ripetono sino alla 33443 e
>qualcuno sulla 33444, sempre dalla stessa sequenza e stesso ordine di IP.
>Ogni gruppo dura circa 1 secondo o poco piú.

Qualche tipo di protocollo ******* to *******

Leonardo
--

A terrible beauty is born.
- W. B. Yeats, Easter 1916
BIG Umberto 27 Nov 2016 23:30
Leonardo Serni in data 19:55, domenica 27 novembre 2016, nel gruppo
it.comp.sicurezza.varie ha scritto:

> On Sun, 27 Nov 2016 18:53:46 +0100, BIG Umberto <nomail@nospam.invalid>
> wrote:
>
>>Saltuariamente noto nei log del firewall, una sequenza di 32/50 ICMP da
>>altrettanti IP diversi, seguiti da altrettanti tentativi di accesso alla
>>porta UDP 33434, poi si ripetono per la 33435, poi si ripetono sino alla
>>33443 e qualcuno sulla 33444, sempre dalla stessa sequenza e stesso ordine di
>>IP. Ogni gruppo dura circa 1 secondo o poco piú.
>
> Qualche tipo di protocollo ******* to *******

Non credo, avevo quell'IP da 4 giorni ed il gioco é comaprso per 2 volte di
seguito, alla mattina ed al pomeriggio del 4' giorno...
Peró sono da circa 2 anni che ogni tanto mi capita, magari passa uno o 2 mesi
poi ricapita. ******* to ******* non ne faccio, saltuariamente scarico iso di
derivate linux per
fare chiavette o cd/dvd, ma sono casi sporadici...


[] Non ho mai capito, e si che é farina del mio sacco...
Ho fatto anni fa uno script che mette in automatico le sign...
Chissá perché il 99% delle volte, la sign é in tema col post!

--
+-------------------------------------------------------------------------+
| "Qualunque cosa tu stia cercando su internet, |
| ci sara' almeno un sito ******* che rispondera' |
| ai tuoi criteri." |
+-----#46--------------------Diamanti di saggezza.------------------------+
P/ero 28 Nov 2016 17:11
"BIG Umberto" [by rjqsQBwHFgo75CS8CpwopA.user.gioia.aioe.org] on 27/11/16
23:30:07 (Italian Time) wrote:

..._skipped!_
> [] Non ho mai capito, e si che é farina del mio sacco...
> Ho fatto anni fa uno script che mette in automatico le sign...
> Chissá perché il 99% delle volte, la sign é in tema col post!

+1 :-)

--
* b *
* y *
* Piero *
#v+
Tutto il futuro è racchiuso nella sacra sillaba "bo!".
#v-
ObiWan 28 Nov 2016 18:00
:: On Sun, 27 Nov 2016 18:53:46 +0100
:: (it.comp.sicurezza.varie)
:: <o1f6j9$6qq$1@gioia.aioe.org>
:: BIG Umberto <nomail@nospam.invalid> wrote:

> Saltuariamente noto nei log del firewall, una sequenza di 32/50 ICMP
> da altrettanti IP diversi, seguiti da altrettanti tentativi di

ICMP di che tipo ? Nel senso, si tratta di "normali" ICMP type 8 (ossia
del classico "ping") o di altri tipi di richiesta ICMP ?

Mica per altro, sai, ma siccome c'è in giro questo coso qui

http://www.netresec.com/?page=Blog&month=2016-11&post=BlackNurse-Denial-of-Service-Attack

c'è caso che a qualcuno sia capitato del codice sottomano ed abbia
deciso di fare un test su un IP a casaccio ... il tuo :D
BIG Umberto 28 Nov 2016 19:30
ObiWan in data 18:00, lunedì 28 novembre 2016, nel gruppo
it.comp.sicurezza.varie ha scritto:

>> Saltuariamente noto nei log del firewall, una sequenza di 32/50 ICMP
>> da altrettanti IP diversi, seguiti da altrettanti tentativi di
>
> ICMP di che tipo ? Nel senso, si tratta di "normali" ICMP type 8 (ossia
> del classico "ping") o di altri tipi di richiesta ICMP ?

Purtroppo, non ho modo di appurarlo. Ci sono le seguenti regole:
SYSLOG "Ping of death"
#Drop icmp packet breaks the rate of 1/s
$IPTABLES -A PORT_FORWARD -i $WANIF -p icmp --icmp-type echo-request -j DOS
$IPTABLES -A INPUT -i $WANIF -p icmp --icmp-type echo-request -j DOS
$IPTABLES -A DOS -p icmp --icmp-type echo-request -m limit --limit
150/s --limit-burst 300 -j RETURN

# set default policy
$IPTABLES -A DOS -m limit --limit 10/s -j LOG --log-level
4 --log-prefix "[Firewall Log-DOS] "
$IPTABLES -A SCAN -j DROP
$IPTABLES -A DOS -j DROP

Il router ha una versione di iptables limitata, dovrei provare a fare qualche
regola, o modificare qualcuna delle presenti...

> Mica per altro, sai, ma siccome c'è in giro questo coso qui
>
>
http://www.netresec.com/?page=Blog&month=2016-11&post=BlackNurse-Denial-of-Service-Attack

Si, so di quel coso, ma 32/50 pacchetti in poco piú di un secondo?
Hai voglia di fare un dos...
Ma ne accorgo solo quando vado a vedere i log.

> c'è caso che a qualcuno sia capitato del codice sottomano ed abbia
> deciso di fare un test su un IP a casaccio ... il tuo :D

Sicuramente é qualcuno o qualcosa che fa una rotazione, visto che sono 2 anni
che capita saltuariamente.


--
+-------------------------------------------------------------------------+
| "Open Source programs are designed and developed. |
| Our products are tested." |
| Steve Lipner, manager, Microsoft Security Response Center |
+-----#50--------------------Ultime parole famose-------------------------+
ObiWan 29 Nov 2016 08:39
:: On Mon, 28 Nov 2016 19:30:59 +0100
:: (it.comp.sicurezza.varie)
:: <o1ht51$dab$1@gioia.aioe.org>
:: BIG Umberto <nomail@nospam.invalid> wrote:

> Si, so di quel coso, ma 32/50 pacchetti in poco piú di un secondo?

Ah ... beh allora no

> Sicuramente é qualcuno o qualcosa che fa una rotazione, visto che
> sono 2 anni che capita saltuariamente.

Dovresti verificare se capita sempre con un dato indirizzo IP, nel caso
potrebbe essere uno script che ha l'indirizzo *****coded
BIG Umberto 29 Nov 2016 13:55
ObiWan in data 08:39, martedì 29 novembre 2016, nel gruppo
it.comp.sicurezza.varie ha scritto:

> Dovresti verificare se capita sempre con un dato indirizzo IP, nel caso
> potrebbe essere uno script che ha l'indirizzo *****coded

Questo é un buon incipt!
Vado a ripescare un po' di log arretrati e ci faccio un controllino.

--
+-----------------------------------------------------------------------+
| Dimentica Higgs ed i suoi bosoni |
| Pensa alla iolanda ed ai bei tittoni |
| Se l'universo vuoi scoprir davvero |
| Guarda la iolanda... Che buco nero! |
+-----#54------------------------------------------Verita'--------------+
ObiWan 29 Nov 2016 14:55
:: On Tue, 29 Nov 2016 13:55:27 +0100
:: (it.comp.sicurezza.varie)
:: <o1jtru$1b9a$1@gioia.aioe.org>
:: BIG Umberto <nomail@nospam.invalid> wrote:

> ObiWan in data 08:39, martedì 29 novembre 2016, nel gruppo
> it.comp.sicurezza.varie ha scritto:
>
>> Dovresti verificare se capita sempre con un dato indirizzo IP, nel
>> caso potrebbe essere uno script che ha l'indirizzo *****coded
>
> Questo é un buon incipt!
> Vado a ripescare un po' di log arretrati e ci faccio un controllino.

Mica per altro, ma se l'IP cambia ed i tentativi restano, allora hai
qualcosa sulla tua rete che tenta di "chiamare casa" e, di solito, non
è una bella cosa :P

Links
Giochi online
Dizionario sinonimi
Leggi e codici
Ricette
Testi
Webmatica
Hosting gratis
   
 

Discussioni sulla computer security | Tutti i gruppi | it.comp.sicurezza.varie | Notizie e discussioni sicurezza varie | Sicurezza varie Mobile | Servizio di consultazione news.