Condividi:        

l'IP spoofing è di moda, stasera...

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

l'IP spoofing è di moda, stasera...

Postdi zello » 09/09/03 21:59

mmh, ho tirato un occhio di sfuggita ai logs del firewall, e ho trovato che mi stanno facendo un allegro portscanning (su porte alte, peraltro), simulando una connessione da 127.0.0.1, proto tcp.

Non sono ovviamente spaventato. Mi chiedevo solo un paio di cose:
1) se è portscanning, visto che i reply vanno a 127.0.0.1, a che cosa può servire?
2) se è un tentativo di connessione alle mie porte, chi può pensare seriamente di fare ip-spoofing con il tcp? Se non è successo qualcosa mentre ero distratto, indovinare i numeri di sequenza non è esattamente una banalità...

Mi sono perso qualcosa, o è solo un altro idio^Wwannabee?
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Sponsor
 

Postdi SoftIc3 » 10/09/03 08:50

un log simile era capitato anche a me qualche mese fa....
dando un 'occhiata in giro avevo letto questo articolo, e ho immaginato che esistesse in giro
qualche scanner per questa vulnerabilita' del Sygate Personal Firewall
che veniva rilevata dal mio
se scopri qualcosa facci sapere
ciauz
[/url]
SoftIc3
Utente Junior
 
Post: 78
Iscritto il: 14/01/03 22:04
Località: Lucca

Postdi kadosh » 10/09/03 09:52

Zello bè, a logica direi che è un altro lamer nel mare di lamer esistenti, se magari volessimo dargli più credito io la vedrei così.

Quando mi ritrovo a dover fronteggiare un portscanning dai logs di Real Secure di ISS con IP di loopback, le ipotesi a cui sono abituato sono due: 1) stanno scaricando la rete riempiendola di syn flood, sperando che il defenser ne svuoti la cache tampone (del fw, router o qualsiasi altro appliance) per evitare un buffer overflow (DoS) e quindi lanciare un bit di ack per spoofare allegramente.
2) cercando di capire cosa ci sia dietro a ciò che vedono dalle risposte al loro scan. Solitamente un router o un front-end generico, se ben settati, ignorano il traffico d'ingresso se classificato come scan altrimenti avvisano di un DoS in corso, magari grazie a un sistema di rilevazione intrusioni.

Nel caso di un personal firewall, il tuo cioè, aspettano risposte dal metodo di stop dei pacchetti usato, o magari...si stan bevendo e fumando l'impossibile e non se ne accorgono nemmeno :D
Ch®is ˜˜ www.glgroup.it˜˜ {~Up You® Life~}™ Semper Fidelis
Avatar utente
kadosh
Moderatore
 
Post: 3791
Iscritto il: 24/09/01 01:00
Località: Roma

Postdi Nicola » 10/09/03 10:07

Come detto da kadosh penso che sia un DoS o uno smurf se sul loopback hai una broadcast aperta (ma non credo bisogna proprio abilitare l'opzione relativa nel kernel). Se è IP Spoofing credo che sia cosa a basso livello e quindi molto elaborata e complesso e ignoro completamente come facciano.
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi pjfry » 10/09/03 16:37

C'era un altro topic poco tempo fà dove si parlava di una cosa del genere, io non gli avevo dato tanto peso ma forse ero stato frettoloso xkè evidentemente la cosa si è diffusa in fretta :-?
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Postdi napolitanoc » 11/09/03 10:13

Sembra sia di moda...
5 minuti di connessione e guarda quante segnalazioni(in questo caso pero non 127.0.0.1,anche se mi è capitato 2 volte... :-? boh):

11/09/2003 10.45.46,Pacchetto TCP non-syn/non-ack su una connessione non valida. Il pacchetto è stato ignorato.,"Pacchetto TCP non-syn/non-ack su una connessione non valida. Il pacchetto è stato ignorato. Indirizzo IP origine: localhost. Indirizzo IP destinaz.: local(80.xxx.xx.xx). Porta TCP origine: http(80) Porta TCP destinazione: 1200 Flag: 0x00000014"
11/09/2003 10.45.44,Il blocco della porta non utilizzata ha bloccato le comunicazioni.,"Il blocco della porta non utilizzata ha bloccato le comunicazioni. Connessione TCP in entrata Indirizzo remoto, servizio locale: (213.39.130.71,4662)"
11/09/2003 10.45.43,Pacchetto TCP non-syn/non-ack su una connessione non valida. Il pacchetto è stato ignorato.,"Pacchetto TCP non-syn/non-ack su una connessione non valida. Il pacchetto è stato ignorato. Indirizzo IP origine: localhost. Indirizzo IP destinaz.: local(80.xxx.xx.xx). Porta TCP origine: http(80) Porta TCP destinazione: 1825 Flag: 0x00000014"
11/09/2003 10.45.41,Pacchetto TCP non-syn/non-ack su una connessione non valida. Il pacchetto è stato ignorato.,"Pacchetto TCP non-syn/non-ack su una connessione non valida. Il pacchetto è stato ignorato. Indirizzo IP origine: localhost. Indirizzo IP destinaz.: localhost(80.xxx.xx.xx). Porta TCP origine: http(80) Porta TCP destinazione: l2tp(1701) Flag: 0x00000014"
11/09/2003 10.45.36,Pacchetto TCP non-syn/non-ack su una connessione non valida. Il pacchetto è stato ignorato.,"Pacchetto TCP non-syn/non-ack su una connessione non valida. Il pacchetto è stato ignorato. Indirizzo IP origine: localhost. Indirizzo IP destinaz.: local(80.xxx.xx.xx). Porta TCP origine: http(80) Porta TCP destinazione: 1541 Flag: 0x00000014"
11/09/2003 10.45.33,Pacchetto TCP non-syn/non-ack su una connessione non valida. Il pacchetto è stato ignorato.,"Pacchetto TCP non-syn/non-ack su una connessione non valida. Il pacchetto è stato ignorato. Indirizzo IP origine: localhost. Indirizzo IP destinaz.: local(80.xxx.xx.xx). Porta TCP origine: http(80) Porta TCP destinazione: 1961 Flag: 0x00000014"
11/09/2003 10.45.32,Il blocco della porta non utilizzata ha bloccato le comunicazioni.,"Il blocco della porta non utilizzata ha bloccato le comunicazioni. Connessione TCP in entrata Indirizzo remoto, servizio locale: (213.39.130.71,4662)"
11/09/2003 10.45.26,Il blocco della porta non utilizzata ha bloccato le comunicazioni.,"Il blocco della porta non utilizzata ha bloccato le comunicazioni. Connessione TCP in entrata Indirizzo remoto, servizio locale: (213.39.130.71,4662)"
11/09/2003 10.45.23,Il blocco della porta non utilizzata ha bloccato le comunicazioni.,"Il blocco della porta non utilizzata ha bloccato le comunicazioni. Connessione TCP in entrata Indirizzo remoto, servizio locale: (213.10.197.8,1214)"
11/09/2003 10.45.23,Il blocco della porta non utilizzata ha bloccato le comunicazioni.,"Il blocco della porta non utilizzata ha bloccato le comunicazioni. Connessione TCP in entrata Indirizzo remoto, servizio locale: (213.39.130.71,4662)"
11/09/2003 10.45.17,Il blocco della porta non utilizzata ha bloccato le comunicazioni.,"Il blocco della porta non utilizzata ha bloccato le comunicazioni. Connessione TCP in entrata Indirizzo remoto, servizio locale: (213.10.197.8,1214)"
11/09/2003 10.45.14,Il blocco della porta non utilizzata ha bloccato le comunicazioni.,"Il blocco della porta non utilizzata ha bloccato le comunicazioni. Connessione TCP in entrata Indirizzo remoto, servizio locale: (213.10.197.8,1214)"
11/09/2003 10.45.13,Pacchetto TCP non-syn/non-ack su una connessione non valida. Il pacchetto è stato ignorato.,"Pacchetto TCP non-syn/non-ack su una connessione non valida. Il pacchetto è stato ignorato. Indirizzo IP origine: localhost. Indirizzo IP destinaz.: local(80.xx.xx.x). Porta TCP origine: http(80) Porta TCP destinazione: 1152 Flag: 0x00000014"
11/09/2003 10.45.06,Pacchetto TCP non-syn/non-ack su una connessione non valida. Il pacchetto è stato ignorato.,"Pacchetto TCP non-syn/non-ack su una connessione non valida. Il pacchetto è stato ignorato. Indirizzo IP origine: localhost. Indirizzo IP destinaz.: local(80.xx.xx.xx). Porta TCP origine: http(80) Porta TCP destinazione: wins(1512) Flag: 0x00000014"
11/09/2003 10.45.03,Pacchetto TCP non-syn/non-ack su una connessione non valida. Il pacchetto è stato ignorato.,"Pacchetto TCP non-syn/non-ack su una connessione non valida. Il pacchetto è stato ignorato. Indirizzo IP origine: localhost. Indirizzo IP destinaz.: local(80.xxx.xxx.xx). Porta TCP origine: http(80) Porta TCP destinazione: 1001 Flag: 0x00000014"
11/09/2003 10.45.02,Il blocco della porta non utilizzata ha bloccato le comunicazioni.,"Il blocco della porta non utilizzata ha bloccato le comunicazioni. Connessione TCP in entrata Indirizzo remoto, servizio locale: (200.40.183.178,4662)"
11/09/2003 10.45.00,Pacchetto TCP non-syn/non-ack su una connessione non valida. Il pacchetto è stato ignorato.,"Pacchetto TCP non-syn/non-ack su una connessione non valida. Il pacchetto è stato ignorato. Indirizzo IP origine: localhost. Indirizzo IP destinaz.: local(80.xxx.xx.xx). Porta TCP origine: http(80) Porta TCP destinazione: 1063 Flag: 0x00000014"


Ho tagliato se no invadevo tutto il topic...
Sarà il mio firewall troppo zelante?
mmmh qualche dubbio però c'è
napolitanoc
Utente Junior
 
Post: 28
Iscritto il: 29/07/03 19:29

Postdi Nicola » 11/09/03 11:14

Anche il mio log è pieno di connessioni strane.. e sopratutto molti fuori della mia LAN cercano di connettersi al NetBIOS.. NetBIOS su Linux? AL massimo samba ma chi è così stupido da bindarlo anche sull'interfaccia di rete? :) Stesso dicasi per macchine Windows..
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Intervento un po OT

Postdi marlon » 11/09/03 15:12

Intervengo da non-tecnico per considerazioni un po' OT. Perdonatemi.

Nicola ha scritto:NetBIOS su Linux? AL massimo samba ma chi è così stupido da bindarlo anche sull'interfaccia di rete? :) Stesso dicasi per macchine Windows..

Nicola, saresti sorpreso di sapere quanta gente fa cose estremamente cretine coi propri server!

Nella ditta dove lavoravo prima si facevano attività di "security assessment" e non ti so dire in quanti casi abbiamo rilevato vulnerabilità che, con un po' di buon senso, non avrebbero potuto proprio esistere.

Una classica era l'uso di password "standard" o l'assenza delle stesse.
"per adesso installo" - avrà pensato il tipo - "poi ci torno e rimetto tutto a posto".
Peccato non lo avesse mai fatto!

La seconda in graduatoria - indovina un po? - era il lasciare attivi processi o protocolli che non erano strettamente necessari.

D'altra parte la solita Micro$oft ci ha sempre messo del suo...
Ti garantisco che mi sono sbellicato dalle risate, durante la presentazione di Windows 2003 Server, quando hanno detto testualmente:
Relatore M$ ha scritto:Abbiamo aumentato la sicurezza del sistema! Adesso, quando si installa il S.O., tutte le opzioni ed i protocolli sono "off" di default e tocca al Sistemista attivarli solo se servono.

In altri termini: prima inserivi il CD, battevi SETUP, e tutto magicamente funzionava. Peccato che lasciasse anche porte e finestre aperte e mettesse una bella insegna luminosa "ENTRATE DI QUI!" sul caseggiato...

Che tristezza...

E pensare che ancora oggi c'è gente che implementa i Firewall al contrario: sceglie di chiudere alcuni canali e lascia il resto aperto.

Mica chiude tutto e poi, solo se effettivamente necessario, riapre il minimo spiraglio possibile!

Ciaociao

M.
marlon
Utente Senior
 
Post: 190
Iscritto il: 27/05/03 10:08
Località: PO

Postdi bonna1 » 16/09/03 22:46

ferma tutto!!!!

io uso isa server e regolarmente 4 o 5 volte al giorno ci provano con questo 127.0.0.1


ma nel caso si trattasse di spoofig cosa potrebbero realmente fare?? insomma se non sbagio il pacchetto non dovrebbe nemmeno ricevere risposta ( :lol: si si lo so sono poco tecnico ma abbate pazienza)
http://www.dariobonini.it - il mio sito inutile
----
Un giorno seza sorriso è un giorno perso.
bonna1
Utente Senior
 
Post: 334
Iscritto il: 18/09/02 10:52
Località: Reggio Emilia (correggio)

Re: Intervento un po OT

Postdi bonna1 » 16/09/03 22:49

marlon ha scritto:Intervengo da non-tecnico per considerazioni un po' OT. Perdonatemi.

Nicola ha scritto:NetBIOS su Linux? AL massimo samba ma chi è così stupido da bindarlo anche sull'interfaccia di rete? :) Stesso dicasi per macchine Windows..

Nicola, saresti sorpreso di sapere quanta gente fa cose estremamente cretine coi propri server!

Nella ditta dove lavoravo prima si facevano attività di "security assessment" e non ti so dire in quanti casi abbiamo rilevato vulnerabilità che, con un po' di buon senso, non avrebbero potuto proprio esistere.

Una classica era l'uso di password "standard" o l'assenza delle stesse.
"per adesso installo" - avrà pensato il tipo - "poi ci torno e rimetto tutto a posto".
Peccato non lo avesse mai fatto!

La seconda in graduatoria - indovina un po? - era il lasciare attivi processi o protocolli che non erano strettamente necessari.

.


parlando di sicurezza:
se ho fatto un port scan sul mio indirizzo e non ho trovato nemmeno 1 porta aperta vuol dire che posso dormire sonni tranquilli??
http://www.dariobonini.it - il mio sito inutile
----
Un giorno seza sorriso è un giorno perso.
bonna1
Utente Senior
 
Post: 334
Iscritto il: 18/09/02 10:52
Località: Reggio Emilia (correggio)

Postdi piercing » 18/09/03 13:05

l'hai fatto da dentro la tua rete o da fuori su un ip pubblico?
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi Nicola » 18/09/03 13:35

se non ci sono servizi aperti e in listening penso sia difficile entrare. Cio` cio` non leva che se vogliono ti posso mandare moltissimi bytes via ICMP che anche se firewalli, se sono molti, saturano tutta la linea ma cmq NON entrano ;)...
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi bonna1 » 20/09/03 13:47

piercing ha scritto:l'hai fatto da dentro la tua rete o da fuori su un ip pubblico?


l'ho fatto da fuori........

da debtro le pore aperte sono a decine :-?
http://www.dariobonini.it - il mio sito inutile
----
Un giorno seza sorriso è un giorno perso.
bonna1
Utente Senior
 
Post: 334
Iscritto il: 18/09/02 10:52
Località: Reggio Emilia (correggio)

Postdi piercing » 20/09/03 13:54

io tengo solo il router aperto su porta telnet con una password di 15 caratteri...

se mi serve di aprirmi qualcosa... (ad esempio un serverweb o un ftp) per prendere qualcosa dalla rete... entro nel router... mi attivo la porta... e poi la richiudo appena non mi serve più...

se hai tutto chiuso.... beh penso tu possa stare tranquillo... e occhio solo a quello che installi...
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi texilee » 30/09/03 11:06

sto facendo una piccola ricerca sulle connessioni esterne che tentano di collegarsi sulle porte 21-80-135 tcp (ftp/www/netbios)
praticamente le blocco e con shell programming mi fa un report leggendo da log... mirestituisce una %


per ora la situazione vede al primo posto la 135 con il 92% ... 80 5% e la 21 il rimanente 3%

quindi anche se avete macchine linux vi arriveranno un sacco di pacchetti diretti alla 135...


mha..
texilee
Utente Junior
 
Post: 72
Iscritto il: 28/09/03 12:19
Località: ]TO[

Postdi Dax0r » 30/10/03 15:30

Questo argomento mi interessava molto dato che sono anch'io vittima di questi loopback...
Normalmente in questo modo,con il loopback in azione, è possibile effettuare attacchi di tipo DOS, ma nulla di più: una vera connessione non è possibile, perché le reply vanno a finire al tuo pc, non a quello dell'attaccante.
Quindi non sarebbe un grosso vantaggio per l'attaccker...
Comunque la verità sembra essere un'altra...
Come sapete il virus blaster attacca il sito Windowsupdate...ma esiste una variante,il Blaster.E(ultieriori info su http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.e.worm.html ) che he anziche' attaccare con un SYN-Flood il sito di Windowsupdate attacca il sito kimble.org.
Questo sito viene risolto con l'indirizzo 127.0.0.1 (e' stato fatto apposta per difendersi).
Il motivo per cui ci arrivano i pacchetti di ritorno risiede nel meccanismo con cui il virus stesso nasconde l'IP sorgente dell'attacco: cambia gli ultimi due ottetti dell'IP vero in maniera casuale. Il meccanismo e' quindi il seguente:
~da un PC infetto parte un SYN al 127.0.0.1 che ha come sorgente un IP simile a quello reale, ma con l'ultimo numero o gli ultimi due cambiati in maniera casuale;

~il pacchetto va a finire sullo stesso PC, al localhost, da cui e' partito, dove pero' non c'e' un server web in ascolto sulla porta 80;

~il PC stesso quindi manda un pacchetto di risposta di tipo ACK + RST all'IP sorgente del pacchetto originale che pero' e' un altro PC e cosi' i pacchetti escono e viaggiano sulla rete Telecom

In conclusione,noi riceviamo questi pacchetti perche' Telecom lascia passare pacchetti scorretti, cioe' con IP impossibili o di reti private, e perche' abbiamo indirizzi simili a quelli dei computer infetti, dato che ci troviamo nella stessa rete. ;)
Dax0r
Utente Senior
 
Post: 163
Iscritto il: 13/09/03 14:32

Postdi verbal666 » 30/10/03 18:34

questo topic è stremamente interessante!!!!!
ma qualcuno ha approfondito la tecnica per spoofare il proprio ip sulla loopback? come sistema di anonimato è straordinario... ovvio che poi però l'uso che può farsene è maligno.... ma così com'è è davvero interessante.....
!sto con Windows, ma amo Linux! ;)
Immagine
http://www.verbal.it
verbal666
Utente Senior
 
Post: 693
Iscritto il: 27/12/02 12:13

Postdi pjfry » 30/10/03 19:12

daxor scusa non ho capito qulla storia del sito kimble.org :undecided:
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Postdi verbal666 » 30/10/03 19:35

pjfry ha scritto:daxor scusa non ho capito qulla storia del sito kimble.org :undecided:


ma come?
fai un ping su kimble.org ;)
o un net send kimble.org CICCIPUT ;)
l'hostname è risolto come 127.0.0.1, bellissimo......
!sto con Windows, ma amo Linux! ;)
Immagine
http://www.verbal.it
verbal666
Utente Senior
 
Post: 693
Iscritto il: 27/12/02 12:13

Postdi pjfry » 30/10/03 19:39

dehihihi è vero, non avevo provato :D
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "l'IP spoofing è di moda, stasera...":

Valore Moda
Autore: tony61
Forum: Applicazioni Office Windows
Risposte: 2
Valore Moda
Autore: tony61
Forum: Applicazioni Office Windows
Risposte: 4

Chi c’è in linea

Visitano il forum: Nessuno e 115 ospiti