From: Fatih Qzavc=FD?= (holden@siyahsapka.com)
Date: Tue 30 Sep 2003 - 09:25:16 EDT
On Tue, 2003-09-30 at 12:43, DoganZorlu wrote:
> DC> Selamlar,
> DC> Biraz linux disi bir konu olacak ama, dünden itibaren oldukça yogun miktarda
> DC> internet üzerinden source IP adresi 127.0.0.1 olan destinationu networkumde
> DC> herhangi bir makineye dogru paketler almaya basladim. Source portu 80 ve
> DC> hedef portu sürekli degisiyor.Saniyede 1000 üzeri benzer baglanti istegi
> DC> aliyorum.
>
> 127.0.0.1 ? hiçbir router cihazı bu adresten gelen paketi route
> edemez/etmez. Cihazların loopback interface idir bu.. Ağa neyle
> bakıyorsunuz bu durumu anlamak için ?
>
> Eğer source ve dest ters olursa o zaman anlamlı oluyor. dest port 80 ve yerel ağdan source ve değişik
> source portlar bildik tanıdık http bağlantılarına işaret ediyor. Ama
> sizin söylediğiniz senaryo biraz acayip...
Aslinda router cihazlar 127.0.0.1 veya diger private IP adreslerinden
gelen istekleri kesinlikle engellemezler, default olarak bununlar ilgili
bir packet filter rule var ise engellenir. Genelliklede router'larin
hizlanabilmesi icin uzerinde paket filtreleme yapilmaz. Source'a
bakilarak routing tanimlari cogunlukla (bilerek ve istenerek nadiren..)
yapilmaz.
Ancak hedef olmasi konusunda haklisin, hedefi private veya ozel olarak
tanimlanan IP adreslerinden biri ise drop olacaktir.
Deniz'in sorununa gelince, bu bir worm yada virus'ten kaynaklaniyor
olabilir. Cunku son gunlerde cikan 135/UDP gibi UDP portlari uzerinden
calisan servislerdeki aciklar IP Spoofing islemi ile de
calisabilmektedir. UDP protokolu geregi bir el sikisma yapmadigi icin bu
spoofing isleyecektir, guvenlik duvarlari yada benzeri tum filtreme
sistemleri dahil olarak, spoofing kurallari koyulmamis sistemlerde bu
paketler by-pass icin kullanilmaktadir.
Bazi worm'larin (ms blaster'in varyantlari) bu tur saldirilar icin
degistirilmis olabilir, boylece bircok paket filtreleme sistemini
gecerek hedefine ulasmis olacaktir.
Portlarin degisken olmasi ise bu ihtimali de goz ardi ediyor...
Kisaca bilinmeyen veya tanimlanamayan bir durum, tanimlamak icin paket
iceriklerini bir sniffer ile yakalayip incelemekte fayda var.
-- Fatih Ozavci IT Security Consultant