La mai multe retele pe care le administrez am obiceiul sa loghez ce iese din lan si se duce pe internet la portul 22 (ssh). Exista insa situatii in care la 5-6 retele diferite se intampla ca fiecare ip din lan sa incerce o tentativa de conectare la 141.85.3.45:22 Situatia asta a ajuns sa ma dispere, pt ca eu cand incerc sa ma conectez la hostul respectiv imi apare ca down. Daca are firewall de ce atunci omuletii de la mine din lan (-uri !) incearca sa intre? Ceva se intampla si ma enervez ca nu stiu ce. Stiti careva care e faza cu 141.85.3.45 ? E vreun shell din poli pt studenti? De ce e filtrat atunci ?
Am banuit la un moment dat ca cineva scaneaza cu ip spoofat in 141.85.3.45 si portul sursa 22. Astfel ip-urile din lan de la mine raspund acestor pachete spoofate si de aici misterul. Faza e ca am blocat din firewall accesul din internet spre lan al pachetelor cu sursa 141.85.3.45 si --sport 22. Si tot apar pachete din lan catre internet cu -d 141.85.3.45 --dport 22 Cine naiba e 141.85.3.45 ca ma dispera ??? mai jos urmeaza un exemplu de sample care este: FWD_SSH: IN=eth0 OUT=eth1 SRC=ip.din.lanul.meu DST=141.85.3.45 LEN=48 TOS=0x00 PREC=0x00 TTL=126 ID=33717 DF PROTO=TCP SPT=3995 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0 acum din alta retea: _FWD_SSH_IN=eth1 OUT=eth0 SRC=ip.din.alt.lan DST=141.85.3.45 LEN=52 TOS=0x00 PREC=0x00 TTL=63 ID=375 DF PROTO=TCP SPT=1046 DPT=22 WINDOW=60352 RES=0x00 SYN URGP=0 vad ca difera LEN si TTL deci nu cred ca e vre-un virus ceva. Si totusi e dubios ca sunt momente cand ii apuca pe toti de vor sa se conecteze acolo. Sunt zeci de tentative de conexiune de la fiecare ip din vreo 5-6 lanuri. WTF? -- Mihai Voica --- Detalii despre listele noastre de mail: http://www.lug.ro/
