URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 1597
[ Назад ]

Исходное сообщение
"Зачем это апач так хулиганит?"
Отправлено San , 13-Сен-04 17:51

Поставил недавно Snort и он меня забодал уже сообщениями про "BAD-TRAFFIC loopback traffic". Говорит, что с 127.0.0.1:80 на два хоста внешней сети
идут эти самые бэд-траффиковые пакеты. С помощью тспдампа я их отловил:
---------------------------------------------------------
# tcpdump -X -s 1500 -n -i xl0 host 127.0.0.1 and port 80
tcpdump: listening on xl0
17:26:42.891518 127.0.0.1.80 > 212.12.0.5.1757: R 0:0(0) ack 1408499713 win 0
0x0000   4500 0028 05bb 0000 7f06 e302 7f00 0001        E..(............
0x0010   d40c 0005 0050 06dd 0000 0000 53f4 0001        .....P......S...
0x0020   5014 0000 009c 0100 0000 0000 0000             P.............
17:39:20.368820 127.0.0.1.80 > 212.12.9.250.1395: R 0:0(0) ack 1647575041 win 0
0x0000   4500 0028 48e3 0000 7f06 95e5 7f00 0001        E..(H...........
0x0010   d40c 09fa 0050 0573 0000 0000 6234 0001        .....P.s....b4..
0x0020   5014 0000 ead0 0000 0000 0000 0000             P.............
17:41:26.082136 127.0.0.1.80 > 212.12.9.250.1763: R 0:0(0) ack 1378222081 win 0
0x0000   4500 0028 0382 0000 7e06 dc46 7f00 0001        E..(....~..F....
0x0010   d40c 09fa 0050 06e3 0000 0000 5226 0001        .....P......R&..
0x0020   5014 0000 f96e 0000 0000 0000 0000             P....n........
---------------------------------------------------------
И что это за хрень такая?
На 80-м порту у меня апач сидит. Какого ему рожна от тех двух компов надо?
Кто-нибудь сталкивался с подобной проблемой?

Содержание

Зачем это апач так хулиганит?,Beginner, 20:21 , 13-Сен-04
- Зачем это апач так хулиганит?,San, 08:56 , 14-Сен-04
  - Зачем это апач так хулиганит?,Beginner, 10:24 , 14-Сен-04
    - Зачем это апач так хулиганит?,San, 20:58 , 14-Сен-04
      - Зачем это апач так хулиганит?,Beginner, 21:31 , 14-Сен-04
        
        Зачем это апач так хулиганит?,San, 12:48 , 15-Сен-04
        
        Зачем это апач так хулиганит?,ilya_f, 18:02 , 15-Сен-04

Сообщения в этом обсуждении

"Зачем это апач так хулиганит?"
Отправлено Beginner , 13-Сен-04 20:21

>Поставил недавно Snort и он меня забодал уже сообщениями про "BAD-TRAFFIC loopback
>traffic". Говорит, что с 127.0.0.1:80 на два хоста внешней сети
>идут эти самые бэд-траффиковые пакеты. С помощью тспдампа я их отловил:
>---------------------------------------------------------
># tcpdump -X -s 1500 -n -i xl0 host 127.0.0.1 and port
>80
>tcpdump: listening on xl0
>17:26:42.891518 127.0.0.1.80 > 212.12.0.5.1757: R 0:0(0) ack 1408499713 win 0
>0x0000   4500 0028 05bb 0000 7f06 e302 7f00 0001
>      E..(............
>0x0010   d40c 0005 0050 06dd 0000 0000 53f4 0001
>      .....P......S...
>0x0020   5014 0000 009c 0100 0000 0000 0000
>          P.............
>
>17:39:20.368820 127.0.0.1.80 > 212.12.9.250.1395: R 0:0(0) ack 1647575041 win 0
>0x0000   4500 0028 48e3 0000 7f06 95e5 7f00 0001
>      E..(H...........
>0x0010   d40c 09fa 0050 0573 0000 0000 6234 0001
>      .....P.s....b4..
>0x0020   5014 0000 ead0 0000 0000 0000 0000
>          P.............
>
>17:41:26.082136 127.0.0.1.80 > 212.12.9.250.1763: R 0:0(0) ack 1378222081 win 0
>0x0000   4500 0028 0382 0000 7e06 dc46 7f00 0001
>      E..(....~..F....
>0x0010   d40c 09fa 0050 06e3 0000 0000 5226 0001
>      .....P......R&..
>0x0020   5014 0000 f96e 0000 0000 0000 0000
>          P....n........
>
>---------------------------------------------------------
>И что это за хрень такая?
>На 80-м порту у меня апач сидит. Какого ему рожна от тех
>двух компов надо?
>Кто-нибудь сталкивался с подобной проблемой?

Это не апач, это атака из интернета с подмененным IP. Посмотри на границе сети. 99% увидишь их приходящими с внешнего линка

"Зачем это апач так хулиганит?"
Отправлено San , 14-Сен-04 08:56

>>tcpdump: listening on xl0
>>17:26:42.891518 127.0.0.1.80 > 212.12.0.5.1757: R 0:0(0) ack 1408499713 >Это не апач, это атака из интернета с подмененным IP. Посмотри на
>границе сети. 99% увидишь их приходящими с внешнего линка
Адрес 9.250 - это мой внешний. Тут я согласен, что может быть и атака, но адрес 0.5 - это совершенно другой комп. Каким образом пакет с подмененным ИП, приходящий ко мне, идет дальше на 0.5?

"Зачем это апач так хулиганит?"
Отправлено Beginner , 14-Сен-04 10:24

>>>tcpdump: listening on xl0
>>>17:26:42.891518 127.0.0.1.80 > 212.12.0.5.1757: R 0:0(0) ack 1408499713 >Это не апач, это атака из интернета с подмененным IP. Посмотри на
>>границе сети. 99% увидишь их приходящими с внешнего линка
>
>Адрес 9.250 - это мой внешний. Тут я согласен, что может быть
>и атака, но адрес 0.5 - это совершенно другой комп. Каким
>образом пакет с подмененным ИП, приходящий ко мне, идет дальше на
>0.5?

У него подменен не dst, а src адрес. При маршрутизации обычно учитывается только dst. Поэтому пакеты с подмененным src доходят как и все другие (если не принимать специальных мер, но к сожалению это не все делают).
Такие пакеты с источником 127.0.0.1 часто по МТУшной сетке бегают.

"Зачем это апач так хулиганит?"
Отправлено San , 14-Сен-04 20:58

>У него подменен не dst, а src адрес. При маршрутизации обычно учитывается
>только dst. Поэтому пакеты с подмененным src доходят как и все
>другие (если не принимать специальных мер, но к сожалению это не
>все делают).
>Такие пакеты с источником 127.0.0.1 часто по МТУшной сетке бегают.
Тогда какой смысл такой атаки? Ведь в этом случае атакуемый хост будет отвечать на src адрес, а там - 127.0.0.1
Т.е. ответит самому себе и успокоится. Какая от этого польза атакующему?

"Зачем это апач так хулиганит?"
Отправлено Beginner , 14-Сен-04 21:31

>>У него подменен не dst, а src адрес. При маршрутизации обычно учитывается
>>только dst. Поэтому пакеты с подмененным src доходят как и все
>>другие (если не принимать специальных мер, но к сожалению это не
>>все делают).
>>Такие пакеты с источником 127.0.0.1 часто по МТУшной сетке бегают.
>
>Тогда какой смысл такой атаки? Ведь в этом случае атакуемый хост будет
>отвечать на src адрес, а там - 127.0.0.1
>Т.е. ответит самому себе и успокоится. Какая от этого польза атакующему?

Возможно не всякий хост способен адекватно отреагировать. Кто-нить повиснет, а то и запустит приложение в каком-нить режиме. Я не знаю что в пакетах. Не все атаки преследуют конкретные цели. Может и вирусы так распространяются через ActiveX. Мало ли что : )
А адрес 127.0.0.1 всегда считается проверенным источником.

"Зачем это апач так хулиганит?"
Отправлено San , 15-Сен-04 12:48

>Не все атаки преследуют конкретные цели. Может и вирусы так распространяются
>через ActiveX. Мало ли что : )
>А адрес 127.0.0.1 всегда считается проверенным источником.
Я правильно понимаю, что эти пакеты(с подмененным на 127.0.0.1 IP src) приходят на внешний(интернетный) интерфейс компа?
Если да, то мне непонятно, как они обходят ipfw-правило:
ipfw add 150 deny log all from 127.0.0.1 to any in via xl0
И уж до кучи попутный вопрос: есть ли какой нибудь анализатор захваченных tcpdump'ом пакетов?

"Зачем это апач так хулиганит?"
Отправлено ilya_f , 15-Сен-04 18:02

>>Не все атаки преследуют конкретные цели. Может и вирусы так распространяются
>>через ActiveX. Мало ли что : )
>>А адрес 127.0.0.1 всегда считается проверенным источником.
>
>Я правильно понимаю, что эти пакеты(с подмененным на 127.0.0.1 IP src) приходят
>на внешний(интернетный) интерфейс компа?
>Если да, то мне непонятно, как они обходят ipfw-правило:
>ipfw add 150 deny log all from 127.0.0.1 to any in via
>xl0
>И уж до кучи попутный вопрос: есть ли какой нибудь анализатор захваченных
>tcpdump'ом пакетов?

Анализатор www.ethereal.com