[HACK]¿Veis sentido en este log de mirouter?
Juan Gualberto Gutiérrez Marín
jggutier at supercable.es
Tue Dec 9 23:53:19 CET 2003
>
> Algún detalle interesante?
>
Bueno, es bastante curioso. Los paquetes IP son de 60 bytes (20 cabecera y 40
de datos) y parecen construidos para algún fin específico. Algunos datos que
siempre se repiten:
fuente: 127.0.0.1:80
destino: mi_ip:puerto_aleatorio
tipo de paquete: 0x06 TCP
flags_IP: 0x00
flags_TCP: 0x0014 (activo ack y reset, siempre igual)
ack_number: número_aleatorio_muy_alto
window_size:0
Los checksum de la cabecera IP y del TCP son correctos. Parece que simulan ser
la respuesta a una petición http por lo que creo que llevas razón, Hugo,
parece un DoS.
Lo que sigo sin comprender es que si es un ataque, ¿como tienen configurados
los routers mi ISP? Si yo con con una mínima configuración de iptables soy
capaz de filtrar esto, porque no se ha previsto? Mi experiencia con routers
es algo vaga y perdonad mi ignorancia, apenas me he peleado un par de veces
con el IOS de un Cisco pero un filtrado de este tipo sería recomendable.
¿Tanta CPU consumiría comprobar la IP fuente de un paquete para ver si no es
una dirección válida en Internet? (comparado con el tiempo que consume RIP,
OSPF, HELLO o cualquier algoritmo variante de enrutado no creo que suponga
tanto).
Tengo un log del ethereal filtrado con "host 127.0.0.1", que si a alguien le
interesa para analizarlo con calma se lo puedo pasar.
Un saludo
More information about the hacking
mailing list