Page 1 of 1

was tun gegen gespoofte IPs?

Posted: 28. May 2000 10:33
by max
Ich wunderte mich das mein Linux-Gateway manchmal Netzwerkmäßig den Bach runterging.
Will sagen er war manchmal abgestürzt usw.
Jetzt habe ich eine kleine Firewall eingerichtet und das Ding quillt gleich über.
Innerhalb weniger Minuten kam folgendes rein:
62.158.45.177:0 L=28 S=0x00 I=47361 F=0x0000 T=112 (#3)
May 28 11:23:55 server kernel: Packet log: input DENY ippp0 PROTO=1 148.233.77.76:8
62.158.45.177:0 L=28 S=0x00 I=26142 F=0x0000 T=106 (#3)
May 28 11:24:03 server kernel: Packet log: input DENY ippp0 PROTO=1 212.216.211.119:8
62.158.45.177:0 L=28 S=0x00 I=4952 F=0x0000 T=108 (#3)
May 28 11:24:14 server kernel: Packet log: input DENY ippp0 PROTO=1 212.183.44.53:8
62.158.45.177:0 L=28 S=0x00 I=6014 F=0x0000 T=117 (#3)
May 28 11:24:22 server kernel: Packet log: input DENY ippp0 PROTO=1 196.30.235.45:8
62.158.45.177:0 L=28 S=0x00 I=6151 F=0x0000 T=104 (#3)
May 28 11:24:24 server kernel: Packet log: input DENY ippp0 PROTO=1 212.153.117.81:8
62.158.45.177:0 L=28 S=0x00 I=40032 F=0x0000 T=99 (#3)
May 28 11:25:02 server kernel: Packet log: input DENY ippp0 PROTO=1 203.116.146.160:8
62.158.45.177:0 L=28 S=0x00 I=21622 F=0x0000 T=9 (#3)
May 28 11:25:13 server kernel: Packet log: input DENY ippp0 PROTO=1 213.20.100.123:8
62.158.45.177:0 L=28 S=0x00 I=1542 F=0x0000 T=117 (#3)
Das ist nur ein Auszug. Im Moment geht das immer noch so weiter.
Anscheinend sind die/der Absender gespooft.
Gibt es irgendeine Möglichkeit die trotzdem zurückzuverfolgen?
Thanx Max

Re: was tun gegen gespoofte IPs?

Posted: 28. May 2000 13:57
by hjb
Hi,

was wollen die alle auf Port 8? Da liegt meines Wissens nichts. Hast du mal mit netstat nachgeprüft?

Meines Wissens ist es unmöglich, die gespooften Pakete zurückzuverfolgen. Kein Router führt darüber Buch, und in den Paketen selbst ist keine Routing-Information.

Gruß,
hjb

Re: was tun gegen gespoofte IPs?

Posted: 28. May 2000 14:48
by max
Ziel war Port 0, Absendener Port war 8.
Protokoll=1.
Das ist doch ICMP oder?
Wieso allerdings der Senderport 8 war, keine Ahnung.
Hat jemand eine Ahnung welches Tool das gewesen sein könnte??
Thanx für die Antwort.
Gruss Max