Am Freitag 24 September 2004 12:26 schrieb Andreas Kretschmer:
> am 24.09.2004, um 12:03:15 +0200 mailte Tim Ruehsen folgendes:
> > Hallo Liste,
> >
> > von einem unserer internen Rechner (gepatchtes SuSE Linux 8.1) kommen
> > TCP/IP Packete mit SPT=80. Auf diesem Port lief bis vor kurzem Apache
> > 1.3.26 (SuSE gepatchet). Hier ein firewall Eintrag als Beispiel:
>
> Ah ja.
>
> > Sep 24 10:43:23 oms-net kernel: REJECT NEW SYN/ACK: IN=eth0 OUT=eth2
> > SRC=192.168.11.70 DST=66.196.90.50 LEN=60 TOS=0x00 PREC=0x00 TTL=63
> > ID=51378 DF PROTO=TCP SPT=80 DPT=53595 WINDOW=5792 RES=0x00 ACK SYN
> > URGP=0
>
> SYN und ACK : Best�tigung Aufbauwunsch.
... oder mitten in einer TCP-Verbingung.
Sowas kann man auch faken. Denn es scheint ja wohl vorher kein
Verbindungsaufbau angefragt worden zu sein. (Oder hab ich da was
�berlesen?).
> > Nachdem ich den apache gestoppt habe, war erst einmal Ruhe. Bis eben,
> > da kam ein einzelnes Packet:
> >
> > Sep 24 11:34:15 oms-net kernel: DROP NEW NOT SYN: IN=eth0 OUT=eth2
> > SRC=192.168.11.70 DST=62.109.118.250 LEN=40 TOS=0x08 PREC=0x00 TTL=63
> > ID=16752 DF PROTO=TCP SPT=80 DPT=10618 WINDOW=0 RES=0x00 ACK RST
> > URGP=0
>
> Mmh, da lief vielleicht noch eine Instanz, die dann die Verbindung
> beenden wollte?
Jepp, denn das Datensegment d�fte leer sein (nur F�llbytes bei einer
LEN=40).
Ich hatte ja zuerst an mein Erlebnis vor ein paar Wochen gedacht, da hat
in sch�nster Regelm��igkeit infolge einer DNS-Anfrage (Absender-IP war
meine vorhergehende dyn. IP aus dem Internet) eine ISDN-Verbindung
aufgebaut - und zwar immer 6-15 Minuten und in dem Takt weiter, nachdem
ich im Netz war. Hab ich dann DoD abgeschaltet, war Ruhe - auch nach dem
Wiedereinschalten. Bis irgendwann nach einem Verbindungsaufbau das Ganze
von vorne losging.
Gefunden habe ich nix, es klopfte auch nix Au�ergew�hnliches an meiner
Firewall (au�er den fast schon obligatorischen Portscans und ein paar
MS-Popup-Messages - von innen war totale Ruhe).
Nach einem Reboot war Schluss dann Schluss mit dem Spuk. Wahrscheinlich
h�tte es auch gereicht, den Verbindungsaufbau nur f�r ausgew�hlte Nutzer
zuzulassen.
--
Gru�
MaxX
Hinweis: PMs an diese Adresse werden automatisch vernichtet (Filter
nach /dev/null).
