форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Зачем это апач так хулиганит?"
Сообщение от San (??) on 13-Сен-04, 17:51  (MSK)
Поставил недавно Snort и он меня забодал уже сообщениями про "BAD-TRAFFIC loopback traffic". Говорит, что с 127.0.0.1:80 на два хоста внешней сети идут эти самые бэд-траффиковые пакеты. С помощью тспдампа я их отловил: --------------------------------------------------------- # tcpdump -X -s 1500 -n -i xl0 host 127.0.0.1 and port 80 tcpdump: listening on xl0 17:26:42.891518 127.0.0.1.80 > 212.12.0.5.1757: R 0:0(0) ack 1408499713 win 0 0x0000   4500 0028 05bb 0000 7f06 e302 7f00 0001        E..(............ 0x0010   d40c 0005 0050 06dd 0000 0000 53f4 0001        .....P......S... 0x0020   5014 0000 009c 0100 0000 0000 0000             P............. 17:39:20.368820 127.0.0.1.80 > 212.12.9.250.1395: R 0:0(0) ack 1647575041 win 0 0x0000   4500 0028 48e3 0000 7f06 95e5 7f00 0001        E..(H........... 0x0010   d40c 09fa 0050 0573 0000 0000 6234 0001        .....P.s....b4.. 0x0020   5014 0000 ead0 0000 0000 0000 0000             P............. 17:41:26.082136 127.0.0.1.80 > 212.12.9.250.1763: R 0:0(0) ack 1378222081 win 0 0x0000   4500 0028 0382 0000 7e06 dc46 7f00 0001        E..(....~..F.... 0x0010   d40c 09fa 0050 06e3 0000 0000 5226 0001        .....P......R&.. 0x0020   5014 0000 f96e 0000 0000 0000 0000             P....n........ --------------------------------------------------------- И что это за хрень такая? На 80-м порту у меня апач сидит. Какого ему рожна от тех двух компов надо? Кто-нибудь сталкивался с подобной проблемой?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Зачем это апач так хулиганит?"
Сообщение от Beginner (??) on 13-Сен-04, 20:21  (MSK)
>Поставил недавно Snort и он меня забодал уже сообщениями про "BAD-TRAFFIC loopback >traffic". Говорит, что с 127.0.0.1:80 на два хоста внешней сети >идут эти самые бэд-траффиковые пакеты. С помощью тспдампа я их отловил: >--------------------------------------------------------- ># tcpdump -X -s 1500 -n -i xl0 host 127.0.0.1 and port >80 >tcpdump: listening on xl0 >17:26:42.891518 127.0.0.1.80 > 212.12.0.5.1757: R 0:0(0) ack 1408499713 win 0 >0x0000   4500 0028 05bb 0000 7f06 e302 7f00 0001   >      E..(............ >0x0010   d40c 0005 0050 06dd 0000 0000 53f4 0001   >      .....P......S... >0x0020   5014 0000 009c 0100 0000 0000 0000   >          P............. > >17:39:20.368820 127.0.0.1.80 > 212.12.9.250.1395: R 0:0(0) ack 1647575041 win 0 >0x0000   4500 0028 48e3 0000 7f06 95e5 7f00 0001   >      E..(H........... >0x0010   d40c 09fa 0050 0573 0000 0000 6234 0001   >      .....P.s....b4.. >0x0020   5014 0000 ead0 0000 0000 0000 0000   >          P............. > >17:41:26.082136 127.0.0.1.80 > 212.12.9.250.1763: R 0:0(0) ack 1378222081 win 0 >0x0000   4500 0028 0382 0000 7e06 dc46 7f00 0001   >      E..(....~..F.... >0x0010   d40c 09fa 0050 06e3 0000 0000 5226 0001   >      .....P......R&.. >0x0020   5014 0000 f96e 0000 0000 0000 0000   >          P....n........ > >--------------------------------------------------------- >И что это за хрень такая? >На 80-м порту у меня апач сидит. Какого ему рожна от тех >двух компов надо? >Кто-нибудь сталкивался с подобной проблемой? Это не апач, это атака из интернета с подмененным IP. Посмотри на границе сети. 99% увидишь их приходящими с внешнего линка
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Зачем это апач так хулиганит?"
	Сообщение от San (??) on 14-Сен-04, 08:56  (MSK)
	>>tcpdump: listening on xl0 >>17:26:42.891518 127.0.0.1.80 > 212.12.0.5.1757: R 0:0(0) ack 1408499713 >Это не апач, это атака из интернета с подмененным IP. Посмотри на >границе сети. 99% увидишь их приходящими с внешнего линка Адрес 9.250 - это мой внешний. Тут я согласен, что может быть и атака, но адрес 0.5 - это совершенно другой комп. Каким образом пакет с подмененным ИП, приходящий ко мне, идет дальше на 0.5?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Зачем это апач так хулиганит?"
	Сообщение от Beginner (??) on 14-Сен-04, 10:24  (MSK)
	>>>tcpdump: listening on xl0 >>>17:26:42.891518 127.0.0.1.80 > 212.12.0.5.1757: R 0:0(0) ack 1408499713 >Это не апач, это атака из интернета с подмененным IP. Посмотри на >>границе сети. 99% увидишь их приходящими с внешнего линка > >Адрес 9.250 - это мой внешний. Тут я согласен, что может быть >и атака, но адрес 0.5 - это совершенно другой комп. Каким >образом пакет с подмененным ИП, приходящий ко мне, идет дальше на >0.5? У него подменен не dst, а src адрес. При маршрутизации обычно учитывается только dst. Поэтому пакеты с подмененным src доходят как и все другие (если не принимать специальных мер, но к сожалению это не все делают). Такие пакеты с источником 127.0.0.1 часто по МТУшной сетке бегают.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Зачем это апач так хулиганит?"
	Сообщение от San (??) on 14-Сен-04, 20:58  (MSK)
	>У него подменен не dst, а src адрес. При маршрутизации обычно учитывается >только dst. Поэтому пакеты с подмененным src доходят как и все >другие (если не принимать специальных мер, но к сожалению это не >все делают). >Такие пакеты с источником 127.0.0.1 часто по МТУшной сетке бегают. Тогда какой смысл такой атаки? Ведь в этом случае атакуемый хост будет отвечать на src адрес, а там - 127.0.0.1 Т.е. ответит самому себе и успокоится. Какая от этого польза атакующему?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Зачем это апач так хулиганит?"
	Сообщение от Beginner (??) on 14-Сен-04, 21:31  (MSK)
	>>У него подменен не dst, а src адрес. При маршрутизации обычно учитывается >>только dst. Поэтому пакеты с подмененным src доходят как и все >>другие (если не принимать специальных мер, но к сожалению это не >>все делают). >>Такие пакеты с источником 127.0.0.1 часто по МТУшной сетке бегают. > >Тогда какой смысл такой атаки? Ведь в этом случае атакуемый хост будет >отвечать на src адрес, а там - 127.0.0.1 >Т.е. ответит самому себе и успокоится. Какая от этого польза атакующему? Возможно не всякий хост способен адекватно отреагировать. Кто-нить повиснет, а то и запустит приложение в каком-нить режиме. Я не знаю что в пакетах. Не все атаки преследуют конкретные цели. Может и вирусы так распространяются через ActiveX. Мало ли что : ) А адрес 127.0.0.1 всегда считается проверенным источником.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Зачем это апач так хулиганит?"
	Сообщение от San (??) on 15-Сен-04, 12:48  (MSK)
	>Не все атаки преследуют конкретные цели. Может и вирусы так распространяются >через ActiveX. Мало ли что : ) >А адрес 127.0.0.1 всегда считается проверенным источником. Я правильно понимаю, что эти пакеты(с подмененным на 127.0.0.1 IP src) приходят на внешний(интернетный) интерфейс компа? Если да, то мне непонятно, как они обходят ipfw-правило: ipfw add 150 deny log all from 127.0.0.1 to any in via xl0 И уж до кучи попутный вопрос: есть ли какой нибудь анализатор захваченных tcpdump'ом пакетов?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Зачем это апач так хулиганит?"
	Сообщение от ilya_f (??) on 15-Сен-04, 18:02  (MSK)
	>>Не все атаки преследуют конкретные цели. Может и вирусы так распространяются >>через ActiveX. Мало ли что : ) >>А адрес 127.0.0.1 всегда считается проверенным источником. > >Я правильно понимаю, что эти пакеты(с подмененным на 127.0.0.1 IP src) приходят >на внешний(интернетный) интерфейс компа? >Если да, то мне непонятно, как они обходят ipfw-правило: >ipfw add 150 deny log all from 127.0.0.1 to any in via >xl0 >И уж до кучи попутный вопрос: есть ли какой нибудь анализатор захваченных >tcpdump'ом пакетов? Анализатор www.ethereal.com
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.