DSL traffic

[Konstantinos Togias]

On 4/27/06, Pistiolis Konstantinos <kpistiolis at hellug.gr> wrote:
> Γεια σε όλους,
>
> Έστησα το crypto F200 (usb modem που δίνει η forthnet με την adsl in-a-box)
> το οποίο παρεμπιπτόντως δουλεύει μια χαρά.
> Σε debian unstable με 2.6.16 πυρήνα, αναγνώρισε αμέσως το μόντεμ και το
> μόνο
> που χρειάστηκε να κάνω ήταν να βγάλω το firmware από τον driver των Μ$win
> και να το βάλω στο /usr/local/lib/firmware
>
>
> Η απορία μου είναι ότι, όταν σήκωσα firewall άρχισε να πιάνει ένα σωρό
> πακέτα, επαναλλαμβανόμενα, εκ των οποίων κάποια φαίνεται να προέρχονται
> από τη forthnet.
> Μήπως είναι κάτι χρήσιμο για τη λειτουργία της σύνδεσής μου;
> Μήπως πρέπει να ανοίξω το λίγο firewall, ώστε κάποια πακέτα να φτάνουν
> κάπου (πού; pppd ???);
>
> Συγκεκριμένα αναφέρομαι στο:
> IN=ppp0 OUT= MAC= SRC=194.219.252.151 DST=224.0.0.1 LEN=28 TOS=0x00
> PREC=0xC0 TTL=1 ID=11346 PROTO=2
> που φτάνει κάθε 2 λεπτά:
> το nslookup λέει
> Όνομα:   bbras-ath-09L0.forthnet.gr
> Address:  194.219.252.151
> Μου μοιάζει ότι με αυτό ελέγχει ο peer ποια μόντεμ είναι ακόμα online
> Ξέρει κανένας;

Ακριβώς το ίδο βλέπω κι εγώ κάθε 2 λεπτά με forthnet dsl. Προφανώς το
bbras της forthnet κάνει ένα είδος 'broadcast ping' χωρις να ξέρω το
λόγο. Εγώ πάντως τα φιλτράρω (DROP) εδώ και μήνες και δεν έχω κανένα
πρόβλημα με τη σύνδεσή μου.

>
>
> Από τα υπολοιπα πάντως γίνεται χαμός (15-30 το λεπτό). πχ.:
> IN=ppp0 OUT= MAC= SRC=62.1.125.182 DST=62.1.132.34 LEN=48 TOS=0x00
> PREC=0x00 TTL=126 ID=1289 DF PROTO=TCP SPT=3972 DPT=445 WINDOW=16384
> RES=0x00 SYN URGP=0
> IN=ppp0 OUT= MAC= SRC=62.56.62.47 DST=62.1.132.34 LEN=48 TOS=0x00
> PREC=0x00 TTL=116 ID=15365 DF PROTO=TCP SPT=1921 DPT=139 WINDOW=16384
> RES=0x00 SYN URGP=0
> και για να μην τα πολυλογώ, αν το DTP είναι η πόρτα, τότε έχω πακέτα για
> τις
> 139 (netbios), 445 (M$ naked CIFS), 4711, 32656, 40000, 1026, 1027, 1024
> κλπ.
> και το SRC αντιστοιχεί οπουδήποτε (dsl clients και διευθύνσεις ανά τον
> κόσμο)
>
> Χεχεχε, τόσο σκληρός είναι ο πραγματικός κόσμος;
> Αν όλο αυτό είναι port scanning πώς ν' αντέξουν τα κακόμοιρα τα M$win;
> (που δεν είναι καν λειτουργικό, χεχε)
>
>
> Σοβαρά τώρα, είναι φυσιολογικό αυτό;

Ναι.. Κι εγώ έχω τα ίδια κρόυσματα... Πρόκειται για compromized
windows pcs που κάνουν portscan για να χτηπίσουν γνωστά vunerabilities
των windows. Είναι τόσα πολλά τα hits που κυριολεκτικά μου γέμιζε τα
logs. Στο τέλος αποφάσισα να μην κάνω log όσα πακέτα πάνε σε γνωστές
win ports (πχ. netbios, windows network κλπ).

> Αν έχει τόσα σκουπίδια δεν έχει νόημα να γίνονται log όλα τα κομμένα πακέτα
> του firewall. Και σίγουρα δεν θα πρέπει να τα πετάει όλα αυτά στην κονσόλα.
>
> Τι κάνουμε σε τέτοιες περιπτώσεις; μπορώ να κάνω log ξεχωριστά αυτά που
> κόβει το firewall, ώστε να μη γεμίζει το syslog άχρηστη πληροφορία;
>
> φιλικά,
> Κώστας
>
>
> --
> linux-greek-users mailing list -- http://lists.hellug.gr


--
Konstantinos Togias
University Of Patras
Dept. of Mathematics