| View previous topic :: View next topic |
| Author |
Message |
Carmine
Tux's lil' helper
Joined: 09 Mar 2004
Posts: 113
|
 Posted: Thu Feb 23, 2006 9:18 am Post subject: [RISOLTO]Traffico "strano" in rete. DPT=80 e IP mi |
 |
|
Salve,
Spero di non essere OT.
In una rete composta prevalentemente da PC con W...W...Windo..ws (scusate) installato ho notato cose strane.
In detta rete il server preposto a fare da firewall e proxy per internet mi blocca del traffico con la seguente firma:
| Code: |
...
Feb 19 04:51:25 LinuxWinner FW DROP F DROP:IN=eth0 OUT=eth1 SRC=192.168.10.244 DST=212.73.245.62 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=48597 DF PROTO=TCP S
PT=3181 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0
Feb 19 04:51:29 LinuxWinner FW DROP F DROP:IN=eth0 OUT=eth1 SRC=192.168.10.244 DST=212.73.245.62 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=48598 DF PROTO=TCP S
PT=3181 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0
Feb 19 04:51:35 LinuxWinner FW DROP F DROP:IN=eth0 OUT=eth1 SRC=192.168.10.244 DST=212.73.245.62 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=48702 DF PROTO=TCP S
PT=3181 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0
Feb 19 04:51:46 LinuxWinner FW DROP F DROP:IN=eth0 OUT=eth1 SRC=192.168.10.244 DST=213.200.99.30 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=48703 DF PROTO=TCP S
PT=3182 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0
Feb 19 04:51:50 LinuxWinner FW DROP F DROP:IN=eth0 OUT=eth1 SRC=192.168.10.244 DST=213.200.99.30 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=48704 DF PROTO=TCP S
PT=3182 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0
Feb 19 04:51:56 LinuxWinner FW DROP F DROP:IN=eth0 OUT=eth1 SRC=192.168.10.244 DST=213.200.99.30 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=48705 DF PROTO=TCP S
PT=3182 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0
...
|
La cosa si ripete, sembrerebbe, a gruppi di 3 tentativi sempre diretti alla porta 80 dell'IP di destinazione.
Altra cosa che osservo, è il progressivo incremento della SPT al cambio dell'IP di destinazione.
Il traffico viene generato anche da macchine apparentemente pulite.
[edit] Il fenomeno ha avuto inizio il 15/02/2006 [/edit]
Whois non mi fornisce indicazioni utili sull'IP di destinazione e, accedendo allo stesso tramite browser, ottengo un laconico: "The requested URL could not be retrieved...".
Ho fatto girare SpySweeper su alcune macchine senza che mi venissero segnalate cose anomale.
Avete mai riscontrato un comportamento simile?
Grazie in anticipo per il Vs aiuto
Last edited by Carmine on Tue Feb 28, 2006 6:38 am; edited 1 time in total |
|
| Back to top |
|
 |
Cazzantonio
Bodhisattva
Joined: 20 Mar 2004
Posts: 4514
Location: Somewere around the world
|
| Posted: Thu Feb 23, 2006 10:00 am Post subject: |
|
|
Senti io personalmente ti scuso pure... ma se cerchi supporto per windows sei sul forum sbagliato...
Ti consiglio di chiarire bene PERCHE' hai bisogno di supporto su un forum di gentoo, altrimenti (se la rete è windows e i test li stai effettuando con simpatici programmi che finiscono con ".exe") devo chiudere il thread...
Nel frattempo lo sposto comunque nel subforum di discussione
Moved from Forum italiano (Italian) to Forum di discussione italiano.
_________________
Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne |
|
| Back to top |
|
|
Carmine
Tux's lil' helper
Joined: 09 Mar 2004
Posts: 113
|
| Posted: Thu Feb 23, 2006 10:10 am Post subject: |
|
|
| Cazzantonio wrote: | Senti io personalmente ti scuso pure... ma se cerchi supporto per windows sei sul forum sbagliato...
Ti consiglio di chiarire bene PERCHE' hai bisogno di supporto su un forum di gentoo, altrimenti (se la rete è windows e i test li stai effettuando con simpatici programmi che finiscono con ".exe") devo chiudere il thread...
Nel frattempo lo sposto comunque nel subforum di discussione
Moved from Forum italiano (Italian) to Forum di discussione italiano. |
Ti ringrazio per la comprensione.
Fortunatamente i test li sto facendo con una simpatica distribuzione che si chiama Gentoo.
Il server linux è Gentoo ed è quello su cui gira il firewall ed il proxy (squid+dansguardian).
Se questo non dovesse essere sufficiente a poter chiedere supporto sul forum, chiedo dinuovo scusa e
accetto la chiusura del post.
Grazie 1000 |
|
| Back to top |
|
|
Cazzantonio
Bodhisattva
Joined: 20 Mar 2004
Posts: 4514
Location: Somewere around the world
|
| Posted: Thu Feb 23, 2006 11:31 am Post subject: |
|
|
| Carmine wrote: | Se questo non dovesse essere sufficiente a poter chiedere supporto sul forum, chiedo dinuovo scusa e
accetto la chiusura del post. |
No figurati! 
Sono io che non avevo capito e per questo ti ho chiesto...  (meglio domandare no?)
E' che sei partito chiedendo in aticipo scusa perché la rete era windows quindi... 
Dici che è meglio se ti sposto indietro il post? visto che la rete è windows forse ha più visibilità qua che nel forum di supporto vero e proprio... (probabilmente è un problema non di gentoo ma della rete)
_________________
Any mans death diminishes me, because I am involved in Mankinde; and therefore never send to know for whom the bell tolls; It tolls for thee.
-John Donne |
|
| Back to top |
|
|
Carmine
Tux's lil' helper
Joined: 09 Mar 2004
Posts: 113
|
| Posted: Thu Feb 23, 2006 11:37 am Post subject: |
|
|
| Cazzantonio wrote: | | Carmine wrote: | Se questo non dovesse essere sufficiente a poter chiedere supporto sul forum, chiedo dinuovo scusa e
accetto la chiusura del post. |
No figurati!
Sono io che non avevo capito e per questo ti ho chiesto... (meglio domandare no?)
E' che sei partito chiedendo in aticipo scusa perché la rete era windows quindi...
Dici che è meglio se ti sposto indietro il post? visto che la rete è windows forse ha più visibilità qua che nel forum di supporto vero e proprio... (probabilmente è un problema non di gentoo ma della rete) |
No problem, ho scritto di getto (non è che riflettendoci avrei fatto meglio  ).
Se ritieni che qui la visibilità sia maggiore, mi sta benissimo. |
|
| Back to top |
|
|
Ferdinando
Veteran
Joined: 25 Nov 2003
Posts: 1027
Location: Gaeta (LT) - Italy
|
| Posted: Thu Feb 23, 2006 11:53 am Post subject: |
|
|
qui ho trovato menzionato lo stesso ip di destinazione
| aswen wrote: | | whois learns me they have not so much to do with m$ but a search on google on these ip's gives results indicating that they are updateservers from m$. So, now we know that windowsupdate isn't able anymore to use normal proxyclient we can do two things: either request m$ to solve this with no result off course, or we have to find a solution in CN. |
Non ho letto tutto il thread e non ho molto tempo ora, ma magari può essere utile.
Ciao
_________________
La risposta, non la devi cercare fuori, la devi cercare dentro di te: e però è SBAGLIATA!
-- Corrado Guzzanti, "Pippo Chennedy Show", 1997 |
|
| Back to top |
|
|
Carmine
Tux's lil' helper
Joined: 09 Mar 2004
Posts: 113
|
| Posted: Thu Feb 23, 2006 12:04 pm Post subject: |
|
|
| Ferdinando wrote: | qui ho trovato menzionato lo stesso ip di destinazione
| aswen wrote: | | whois learns me they have not so much to do with m$ but a search on google on these ip's gives results indicating that they are updateservers from m$. So, now we know that windowsupdate isn't able anymore to use normal proxyclient we can do two things: either request m$ to solve this with no result off course, or we have to find a solution in CN. |
Non ho letto tutto il thread e non ho molto tempo ora, ma magari può essere utile.
Ciao |
Ciao Ferdinando,
Mi sei stato molto utile! Ad occhio gli IP che mi preoccupavano rientrano quasi tutti in quelli menzionati nel post
che mi hai messo in link.
Povvederò, qualora fosse il caso, a segnalare il thread come risolto.
A buon rendere. |
|
| Back to top |
|
|
GiRa
l33t
Joined: 07 Apr 2005
Posts: 717
|
| Posted: Thu Feb 23, 2006 6:25 pm Post subject: |
|
|
| Non ho capito quale regola ti blocca le richieste e perchè. <-- Domanda per cultura personale. |
|
| Back to top |
|
|
Ferdinando
Veteran
Joined: 25 Nov 2003
Posts: 1027
Location: Gaeta (LT) - Italy
|
| Posted: Thu Feb 23, 2006 6:29 pm Post subject: |
|
|
| GiRa wrote: | | Non ho capito quale regola ti blocca le richieste e perchè. <-- Domanda per cultura personale. |
Ad occhio ha bloccato col firewall tutte le connessioni che non passano dal proxy, il che è anche logico.
Ciao
_________________
La risposta, non la devi cercare fuori, la devi cercare dentro di te: e però è SBAGLIATA!
-- Corrado Guzzanti, "Pippo Chennedy Show", 1997 |
|
| Back to top |
|
|
Carmine
Tux's lil' helper
Joined: 09 Mar 2004
Posts: 113
|
| Posted: Tue Feb 28, 2006 6:37 am Post subject: |
|
|
| Ferdinando wrote: | | GiRa wrote: | | Non ho capito quale regola ti blocca le richieste e perchè. <-- Domanda per cultura personale. |
Ad occhio ha bloccato col firewall tutte le connessioni che non passano dal proxy, il che è anche logico.
Ciao |
Si, esattamente.
Tutto ciò che, per la navigazione internet, non passa per il proxy viene sottposto a log e bloccato.
In pratica, sto cercando, di lasciare aperte sole le porte ed i canali verso servizi fidati e per i quali
ho ricevuto disposizioni in merito.
Comunque, il dubbio è stato risolto.
Gli indirizzi IP "sospetti" sono appartenenti a M$...
Grazie a tutti per il supporto. |
|
| Back to top |
|
|
|
Forum italiano (Italian) 
