paquetes entrantes en el servidor

5

He habilitado el registro de iptables para paquetes que vienen del exterior

-A INPUT ! -s 192.168.218.0/24 -j LOG

Ahora estoy viendo muchos paquetes entrantes de direcciones desconocidas

Jun  5 14:54:56 localhost kernel: [572504.888953] IN=eth1 OUT= MAC=... SRC=91.189.88.140 DST=192.168.218.101 LEN=1500 TOS=0x00 PREC=0x00 TTL=55 ID=49833 DF PROTO=TCP SPT=80 DPT=47954 WINDOW=295 RES=0x00 ACK URGP=0 
Jun  5 14:54:56 localhost kernel: [572504.916382] IN=eth1 OUT= MAC=... SRC=91.189.88.140 DST=192.168.218.101 LEN=1500 TOS=0x00 PREC=0x00 TTL=55 ID=49834 DF PROTO=TCP SPT=80 DPT=47954 WINDOW=295 RES=0x00 ACK URGP=0 
Jun  5 14:54:56 localhost kernel: [572504.916425] IN=eth1 OUT= MAC=... SRC=91.189.88.140 DST=192.168.218.101 LEN=1000 TOS=0x00 PREC=0x00 TTL=55 ID=49835 DF PROTO=TCP SPT=80 DPT=47954 WINDOW=295 RES=0x00 ACK PSH URGP=0 
Jun  5 14:54:56 localhost kernel: [572505.051902] IN=eth1 OUT= MAC=... SRC=91.189.88.140 DST=192.168.218.101 LEN=1500 TOS=0x00 PREC=0x00 TTL=55 ID=49836 DF PROTO=TCP SPT=80 DPT=47954 WINDOW=295 RES=0x00 ACK URGP=0 
Jun  5 14:54:56 localhost kernel: [572505.184949] IN=eth1 OUT= MAC=... SRC=91.189.88.140 DST=192.168.218.101 LEN=52 TOS=0x00 PREC=0x00 TTL=55 ID=49837 DF PROTO=TCP SPT=80 DPT=47954 WINDOW=295 RES=0x00 ACK FIN URGP=0 
Jun  5 14:55:05 localhost kernel: [572513.916617] IN=eth1 OUT= MAC=... SRC=64.34.119.12 DST=192.168.218.101 LEN=52 TOS=0x00 PREC=0x00 TTL=52 ID=29430 DF PROTO=TCP SPT=80 DPT=45598 WINDOW=62 RES=0x00 ACK FIN URGP=0 
Jun  5 14:55:14 localhost kernel: [572523.037537] IN=eth1 OUT= MAC=... SRC=64.34.119.12 DST=192.168.218.101 LEN=52 TOS=0x00 PREC=0x00 TTL=52 ID=0 DF PROTO=TCP SPT=80 DPT=45598 WINDOW=62 RES=0x00 ACK URGP=0 
Jun  5 14:55:35 localhost kernel: [572544.026368] IN=eth1 OUT= MAC=... SRC=64.34.119.12 DST=192.168.218.101 LEN=60 TOS=0x00 PREC=0x00 TTL=52 ID=0 DF PROTO=TCP SPT=80 DPT=48218 WINDOW=5792 RES=0x00 ACK SYN URGP=0 
Jun  5 14:55:35 localhost kernel: [572544.149415] IN=eth1 OUT= MAC=... SRC=64.34.119.12 DST=192.168.218.101 LEN=451 TOS=0x00 PREC=0x00 TTL=52 ID=20682 DF PROTO=TCP SPT=80 DPT=48218 WINDOW=63 RES=0x00 ACK PSH URGP=0 
Jun  5 14:55:50 localhost kernel: [572559.133253] IN=eth1 OUT= MAC=... SRC=64.34.119.12 DST=192.168.218.101 LEN=52 TOS=0x00 PREC=0x00 TTL=52 ID=20683 DF PROTO=TCP SPT=80 DPT=48218 WINDOW=63 RES=0x00 ACK FIN URGP=0 

He deshabilitado todos los reenvíos de puerto de mi enrutador (ssh 22 y openvpn 1194), así que no entiendo cómo estos paquetes llegan a la caja 192.168.218.101 (mi computadora llamada 'localhost')

He intentado agregar tcpdump para investigar estos paquetes con

sudo tcpdump "(dst net 192.168.218.0/24 and ! src net 192.168.218.0/24)"

pero no devuelve una sola línea de salida

¿Alguna idea de por qué estos paquetes están llegando a través del enrutador? el enrutador es un D-Link Dir-600 doméstico, deshabilité el reenvío de puertos y no tengo reglas de firewall, DMZ deshabilitado

¿Qué tipo de diagnóstico puedo hacer para saber cuál es la carga útil en estos paquetes? ¿Por qué tcpdump no muestra nada?

    
pregunta lurscher 05.06.2011 - 22:06
fuente

2 respuestas

10

Las direcciones de origen no son totalmente desconocidas: la primera es de canonical.com , que aloja paquetes de Ubuntu (por lo tanto, supongo que su sistema ejecuta Ubuntu y actualmente intenta ver si hay actualizaciones disponibles para sus paquetes instalados). La segunda dirección es stackoverflow.com , un sitio conocido en estas partes. Probablemente, estos paquetes son solo parte de las conexiones de cliente de su computadora a Internet en general, para lo cual su enrutador ejecuta NAT (que es su trabajo principal). El reenvío de puertos es para las conexiones entrantes (desde fuera de a su sistema).

El registro muestra que los paquetes pasan por su adaptador de red eth1 . En un sistema Linux, este es el adaptador segundo , el primero es eth0 (posiblemente, tenga una interfaz Ethernet y un adaptador WiFi, y use este último). tcpdump usa eth0 por defecto, lo que explicaría por qué no ve ningún paquete con él. Intente usar la opción -i para tcpdump (consulte la página del manual).

    
respondido por el Thomas Pornin 05.06.2011 - 22:53
fuente
6

Solo para agregar a la respuesta de @Thomas. Los paquetes que tienes en esa captura parecen ser respuestas a las solicitudes de tu máquina por un par de razones.

Puertos. Tienen puerto de destino del puerto de origen 80 [algo en el rango alto]. ese es un patrón típico para una conexión a un servidor web desde su máquina (por lo tanto, es probable que estos paquetes sean respuestas).

También las banderas TCP. el indicador ACK que se especifica generalmente indica (asumiendo que alguien no está generando tráfico artificial) una parte continua de una conexión TCP. Si las conexiones fueran nuevas (por lo general, si alguien intentaba conectarse a un servicio que se ejecuta en su máquina) vería el conjunto de indicadores SYN.

    
respondido por el Rоry McCune 06.06.2011 - 09:41
fuente

Lea otras preguntas en las etiquetas