Logo Hardware.com.br
AcNeto
AcNeto Veterano Registrado
758 Mensagens 56 Curtidas

Dúvida bloqueio firestarter

#1 Por AcNeto 27/02/2011 - 23:59
Olá a todos.
Ultimamente ando vendo no firestarter alguns bloqueios, mas um em especial anda me chamando a atenção.

Gostaria de saber o que seria esses ataques, ou é alguma configuração derrepente.

Sempre origem 10.1.1.1, que é o gatway padrão do modem, protocolo ICMP e serviço Desconhecido, mas as vezes no serviço aparece DNS e fica vermelho como se fosse algo mais sério.
Mando um print que fica melhor de entender.

Imagem


Abraço.
Placa Gigabyte 970-ud3p / Cooler Master TX3 Evo / Placa de vídeo GTX 750Ti
Processador FX 8320 / 16 GB Corsair Vengeance 1600
SSD OCZ 128 Sistemas (Win7 64/Mint 64)
HD 2 TB, 2 TB WD / HD 3 TB Seagate
Fonte corsair 520W /Dual Monitor LG 23"
gabriel ozaki
gabriel ozak... Super Participante Registrado
431 Mensagens 14 Curtidas
#2 Por gabriel ozak...
28/02/2011 - 07:43
Vindo do seu modem, em geral é algum relatório de erro, como ip indisponível ou perda de pacotes
em todo caso, dar um drop via iptables é uma opção(não sei se é recomendável)
------PC - Trabalho -------------
Slackware 13.1 64bits + Fluxbox

------Notebook pessoal--------
Arch linux + Openbox

-----Distros que eu já usei
Ubuntu, Debian, CentOS, Mandriva, Mint, Slackware e Arch Linux
AcNeto
AcNeto Veterano Registrado
758 Mensagens 56 Curtidas
#3 Por AcNeto
28/02/2011 - 12:10
No firestarter tem a opção de filtragem de ICMP, mas quando habilito isso acontece uma coisa estranha.
Por exemplo, vou responder algum tópico e quando mando enviar, me vem um arquivo para ser salvo, e não consigo adicionar resposta aos tópicos, muito estranho isso, nunca vi ninguém falar disso.
E agora esses supostos ataques, agora mesmo neste momento tem um no firewall de um ip 201.10...... justo protocolo ICMP.

Tou meio preocupado com isso, mas vamos ver se mais alguém sabe explicar o que pode ser.

Abraço.

gabriel ozaki disse:
Vindo do seu modem, em geral é algum relatório de erro, como ip indisponível ou perda de pacotes
em todo caso, dar um drop via iptables é uma opção(não sei se é recomendável)
Placa Gigabyte 970-ud3p / Cooler Master TX3 Evo / Placa de vídeo GTX 750Ti
Processador FX 8320 / 16 GB Corsair Vengeance 1600
SSD OCZ 128 Sistemas (Win7 64/Mint 64)
HD 2 TB, 2 TB WD / HD 3 TB Seagate
Fonte corsair 520W /Dual Monitor LG 23"
bernardo0cd0
bernardo0cd0 Veterano Registrado
1.1K Mensagens 29 Curtidas
#4 Por bernardo0cd0
02/03/2011 - 23:12
Se o firewall tá pegando, pra que se preocupar? Não é a função dele? Por via de regra, ICMP é só diagnóstico, e routers adoram distribuí-los a torto e direito.

Contudo, se é por simples curiosidade, grave o trafego ICMP com o Wireshark ou tcpdump e analise melhor o pacote.

Inté!
Phenom II X4 965 Black Edition 3.40GHz
2x2 GB RAM DDR3 1333 Dual-Channel
ATi PowerColor HD 4870 1GB GDDR5
HD SATAII 500GB/250GB/HD USB 1TB
ECS A890GXM-A
Fonte Seventeam 620W PAF
Audio 7.1 75W RMS
AcNeto
AcNeto Veterano Registrado
758 Mensagens 56 Curtidas
#5 Por AcNeto
03/03/2011 - 12:06
Valeu pela dica, não conhecia esses programas.
Deixei de madrugada rodando sozinho o tcpdump e teve algo que me chamou atenção.
Em um horário em que eu estava dormindo apareceu uma conexão como se fosse enviada mensagem pelo thunderbird, ja que é ele configurado com meu gmail.

Não sei se é normal, sendo que não tinha nada aberto apenas o qbitorrent funcionando e mais nada.

Olhá só.

07:35:05.894990 IP 10.1.1.1.domain > NetoPC.41191: 13731 5/0/0 MX gmail-smtp-in.l.google.com. 5, MX alt1.gmail-smtp-in.l.google.com. 10, MX alt4.gmail-smtp-in.l.google.com. 40, MX alt3.gmail-smtp-in.l.google.com. 30, MX alt2.gmail-smtp-in.l.google.com. 20 (150)

07:35:06.244959 IP 10.1.1.1.domain > NetoPC.50060: 54108 1/0/0 A 74.125.159.27 (60)

07:35:06.613219 IP 10.1.1.1.domain > NetoPC.51986: 28303 1/0/0 A 74.125.91.27 (65)

07:35:07.135096 IP 10.1.1.1.domain > NetoPC.59649: 11546 1/0/0 A 209.85.227.27 (65)

07:35:07.553307 IP 10.1.1.1.domain > NetoPC.58381: 54278 1/0/0 A 74.125.39.27 (65)

07:35:07.807300 IP 10.1.1.1.domain > NetoPC.35060: 47372 1/0/0 A 72.14.213.27 (65)

07:35:13.955527 IP 10.1.1.1.domain > NetoPC.38326: 17868 5/0/0 MX gmail-smtp-in.l.google.com. 5, MX alt1.gmail-smtp-in.l.google.com. 10, MX alt4.gmail-smtp-in.l.google.com. 40, MX alt3.gmail-smtp-in.l.google.com. 30, MX alt2.gmail-smtp-in.l.google.com. 20 (150)



bernardo0cd0 disse:
Se o firewall tá pegando, pra que se preocupar? Não é a função dele? Por via de regra, ICMP é só diagnóstico, e routers adoram distribuí-los a torto e direito.

Contudo, se é por simples curiosidade, grave o trafego ICMP com o Wireshark ou tcpdump e analise melhor o pacote.

Inté!
Placa Gigabyte 970-ud3p / Cooler Master TX3 Evo / Placa de vídeo GTX 750Ti
Processador FX 8320 / 16 GB Corsair Vengeance 1600
SSD OCZ 128 Sistemas (Win7 64/Mint 64)
HD 2 TB, 2 TB WD / HD 3 TB Seagate
Fonte corsair 520W /Dual Monitor LG 23"
gabriel ozaki
gabriel ozak... Super Participante Registrado
431 Mensagens 14 Curtidas
#6 Por gabriel ozak...
03/03/2011 - 13:07
meio estranho isso, não existe a possibilidade do programa de e-mail estar rodando em background?
se fosse windows a gente já berrava que era virus, mas sendo linux, não imagino o que possa ser
------PC - Trabalho -------------
Slackware 13.1 64bits + Fluxbox

------Notebook pessoal--------
Arch linux + Openbox

-----Distros que eu já usei
Ubuntu, Debian, CentOS, Mandriva, Mint, Slackware e Arch Linux
bernardo0cd0
bernardo0cd0 Veterano Registrado
1.1K Mensagens 29 Curtidas
#7 Por bernardo0cd0
03/03/2011 - 19:03
Aparentemente não passam de respostas DNS. Seu computador está configurado para perguntar por DNS para seu router, e esse, por sua vez, pergunta a um DNS externo.

O que poderia estar gerando essas perguntas? Uma instância do thunderbird em background, um navegador aberto, ou um applet na área de trabalho. De qualquer forma, são inofensivas.

Nestas linhas em que você colou não há absolutamente nada com o que se preocupar.

Inté!
Phenom II X4 965 Black Edition 3.40GHz
2x2 GB RAM DDR3 1333 Dual-Channel
ATi PowerColor HD 4870 1GB GDDR5
HD SATAII 500GB/250GB/HD USB 1TB
ECS A890GXM-A
Fonte Seventeam 620W PAF
Audio 7.1 75W RMS
© 1999-2024 Hardware.com.br. Todos os direitos reservados.
Imagem do Modal