Attacchi da saturazione, che sono, che fare?
-
Padmé Amidala
- Posts: 7607
- Joined: Sun Apr 15, 2007 1:14 am
Attacchi da saturazione, che sono, che fare?
Ciao, oggi per la prima volta ho ricevuto degli avvisi da NetBarrier riguardo degli "attacchi da saturazione" (?????.
Uno dei messaggi è questo:
Un altro veniva da virgin.media...
Che sono? NetBarrier come detto finora (1 anno) non si era MAI manifestato. Li ho messi per ora nella lista dei siti bloccati.
Grazie delle spiegazioni e consigli.
Uno dei messaggi è questo:
Un altro veniva da virgin.media...
Che sono? NetBarrier come detto finora (1 anno) non si era MAI manifestato. Li ho messi per ora nella lista dei siti bloccati.
Grazie delle spiegazioni e consigli.
Non ho mai usato NetBarrier ma non vedo motivo di preoccupazione, anche se è la prima volta che succede.
La definizione l'avrai già trovata di certo, comunque nel manuale di NBX5 a pag. 171 trovi il tuo caso: "connection flood". Probabilmente, nel mondo Windowsiano, qualcuno, magari tramite un computer infetto o un bot, inonda (= flood) di pacchetti indirizzi IP scelti più o meno a caso. Un po' come accade negli attacchi di tipo DDoS.
Sono possibili anche spiegazioni più innocue, ma non sono abbastanza esperto in materia. D'altro canto, se controlli il log del firewall di sistema (parlo sempre di Tiger) in Console > /var/log > ipfw.log vedrai il fiume ininterrotto di tentativi di connessione alla tua macchina.
Un caso particolare, forse, è quando chiudi un client bittorrent. In quel caso i peer che erano connessi con te continueranno ad inviare richieste sulla tua porta di ascolto. Su Tiger vedi questi tentativi di connessione come "Stealth mode connection attempt" addirittura.
Questo è il whois per l'indirizzo IP in questione: http://whois.domaintools.com/85.220.98.9
Non è che avevi in uno swarm un peer islandese?... Magari con un client BT di qualità pessima (nel pop-up non si legge su quale porta sarebbe diretto l'attacco)...
La definizione l'avrai già trovata di certo, comunque nel manuale di NBX5 a pag. 171 trovi il tuo caso: "connection flood". Probabilmente, nel mondo Windowsiano, qualcuno, magari tramite un computer infetto o un bot, inonda (= flood) di pacchetti indirizzi IP scelti più o meno a caso. Un po' come accade negli attacchi di tipo DDoS.
Sono possibili anche spiegazioni più innocue, ma non sono abbastanza esperto in materia. D'altro canto, se controlli il log del firewall di sistema (parlo sempre di Tiger) in Console > /var/log > ipfw.log vedrai il fiume ininterrotto di tentativi di connessione alla tua macchina.
Un caso particolare, forse, è quando chiudi un client bittorrent. In quel caso i peer che erano connessi con te continueranno ad inviare richieste sulla tua porta di ascolto. Su Tiger vedi questi tentativi di connessione come "Stealth mode connection attempt" addirittura.
Questo è il whois per l'indirizzo IP in questione: http://whois.domaintools.com/85.220.98.9
Non è che avevi in uno swarm un peer islandese?... Magari con un client BT di qualità pessima (nel pop-up non si legge su quale porta sarebbe diretto l'attacco)...
Ne ho verificati alcuni eLester wrote: Sono possibili anche spiegazioni più innocue, ma non sono abbastanza esperto in materia. D'altro canto, se controlli il log del firewall di sistema (parlo sempre di Tiger) in Console > /var/log > ipfw.log vedrai il fiume ininterrotto di tentativi di connessione alla tua macchina.
Un caso particolare, forse, è quando chiudi un client bittorrent. In quel caso i peer che erano connessi con te continueranno ad inviare richieste sulla tua porta di ascolto. Su Tiger vedi questi tentativi di connessione come "Stealth mode connection attempt" addirittura.
Questo è il whois per l'indirizzo IP in questione: http://whois.domaintools.com/85.220.98.9
Taiwan Taipei Chunghwa Telecom Data Communication Business Group
China Harbin Cncgroup Heilongjiang Province Network
Colombia Santaf� De Bogot� Prevision Medica Integral Previmedic
United States Bethalto Zen-noh Grain Corporation - Cgb Enterprises Inc
Tra quelli stealth:
Switzerland Yahoo! Europe
Italy Turin Akamai Technologies @itgate
Mar 28 23:14:24 xxxxxx ipfw: Stealth Mode connection attempt to TCP xxxxxxxxxxx from 17.254.2.136:443
United States Cupertino Apple Computer Inc
-
Votantonio
- Oracolo di Mac Peer
- Posts: 4094
- Joined: Tue May 13, 2008 3:30 am
-
Votantonio
- Oracolo di Mac Peer
- Posts: 4094
- Joined: Tue May 13, 2008 3:30 am
-
Padmé Amidala
- Posts: 7607
- Joined: Sun Apr 15, 2007 1:14 am
Grazie per le risposte. Più che preoccupata ero irritata e arrabbiata (basta google analytics per quello...). Stavo solo su Floorplanner o mydeco in quel momento e tutti gli altri Computer della rete erano spenti. Forse 10 minuti prima avevo aperto azureus per rimuovere dei file e qualcuno li stava ancora insistemente cercando. Perlomeno ho potuto constatare che netbarrier qualcosa fa (da qualche mese ormai mi era venuto il dubbio...). Con azureus (per i torrents uso solo quello) non ha mai reagito, né durante né dopo.. Netbarrier l'ho preso soprattutto per la navigazione privata, protezione dei dati e trojan. Gli aiuti (accessibili tramite il segno?) non mi davano niente.
Va bene così. Ciao
Va bene così. Ciao
Giusto per conferma, ho notato oggi questo messaggio in Console. Mai visto niente del genere prima e non ho il logging abilitato su Azureus.
E' probabile che NetBarrier avrebbe rilevato l' "attacco".
Nota che sono tuttora connesso a questo peer che non sta mandando dati corrotti. Mainline dovrebbe essere il nickname di BitTorrent dalla versione 6.0 in poi (non più open source).2009-04-02 13:15:33.399 xxxxxxxxxxxxxxxxxx
Titolo.torrent: Incoming PEX message flood detected, dropping spamming peer connection.R: 79.35.220.197: 51498 [Mainline 6.1.2]
E' probabile che NetBarrier avrebbe rilevato l' "attacco".