Radu Filip wrote: > > Salut! > > Pe un server am remarcat asta in loage: > > Oct 19 13:41:27 server kernel: Suspect TCP fragment. > Oct 19 13:41:27 server kernel: eth0 PROTO=6 24.61.142.121:0 my_ip:0 L=40 S=0x00 I=0 >F=0x0001 T=237 (#0) > > In sursele kernelului am gasit urmatoarea explicatie partiala: > > src/linux/net/ipv4/ip_fw.c: > > /* > * Don't allow a fragment of TCP 8 bytes in. Nobody > * normal causes this. Its a cracker trying to break > * in by doing a flag overwrite to pass the > * direction > * checks. > */ > > Va rog sa-mi explicati un pic mai pe larg urmatoarele: > > (1) Ce s-a incercat de fapt sa se faca aici? Exista vreu exploit cu modul > asta de lucru?
Da, exista, dar e vechi. > (2) Mesajul inseamna ca kernelul a sesizat incorectitudinea pachetului si > l-a dat dracului? Exact. > (3) Cum naiba de a trecut de firewall (ipchains/kernel 2.2.19/RH 6.2): > DENY tcp ------ anywhere anywhere any -> 0:1023 > > (firewall-ul nu a dat rateuri pana acum) Pai verificarea nu se aplica pentru ca la un pachet asa scurt nu incape numarul portului. > > (4) Cat de tare tre sa fiu ingrijorat de mesaje de genul asta? E ceva ce > pot face (sunt cu update-urile la zi) O data ce kernelul l-a detectat si trimis la /dev/null nu e nici o problema, doar ca umfla fisierele de log. > (5) Ce altceva imi mai puteti spune despre asta? > > Va multumesc, > Radu Filip -- Paul Chitescu [EMAIL PROTECTED] [EMAIL PROTECTED] http://pchitescu.myip.org/ http://PaulC.MetroNet.RO.EU.org/ ICQ:22641673 --- Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to unsubscribe from this list.
