On Mon, 09 Dec 2002 08:37:03 +0100, Thomas Nossmann wrote:
Dec 8 23:19:59 chaosserver kernel: martian source 217.232.122.31 from 192.168.1.2, on dev ppp0 Dec 8 23:19:59 chaosserver kernel: ll header: 45:00:00:38
Diese habe ich noch niemals vorher gesehen und taucht mehrmals hintereinander auf. Die IP 217.232.... ist dabei in diesem Moment die vom Provider zugewiesene IP und die IP ...1.2 ist in meinem Netzwerk eigendlich gar nicht vergeben!
Das Paket kommt ueber ppp0 rein mit Quelladresse 192.168.1.2 und Zieladresse 217.232.122.31. Vermutlich hast du ein Netz mit 192.168.1.* direkt an einem lokalen Interface ungleich ppp0 anliegen (ist das so?), wodurch der Kernel das Paket als spoofed (also mit falschem Absender) erkennt, meldet und fachgerecht entsorgt. Du kannst in der Kernel- Konfiguration unter "advanced router" bei "verbose route monitoring" die Meldungen abschalten.
Mein Internetzugang wird über DSL realisiert. eine ISDN-Karte ist zwar auch im Server eingebaut, diese ist derzeit aber noch nicht konfiguriert. Hat irgendjemand vielleicht eine Ahnung, was diese Meldung zu bedeuten hat?
Ohne das Paket zu sehen kann man nur vermuten. Entweder kommt es von einem falsch konfigurierten Rechner oder wurde absichtlich verschickt um irgendwelche Spaesse zu treiben.
Zur Zeit, als diese fraglichen Meldungen auftauchten, habe ich und ein weiterer Netzwerkteilnehmer gerade Unreal auf einem Server im Internet gespielt :-) Könnte das damit in Verbindung gebracht werden?
Gut moeglich. Gibt es fuer Unreal irgendwelche Hacks, wo man den Gegner durch Senden bestimmter IP-Pakete aergern (z.B. killen) kann? Das koennte jemand versucht haben. Bei anderen Online-Spielen gabs sowas schon. Mit NAT rechnet keiner, die Absender-IP waere in dem Fall gerade ungeschickt gewesen. Oder jemand spekulierte auf einen NAT Router und erhoffte sich mit der Absenderadress Zugriff auf bestimmte nur fuer intern gedachte Dienste. Wenn jemand z.B. intern 192.168.100/24 nutzt, aber einen internen Dienst auf dem Router-Rechner fuer 192.168/16 freigibt, kommt man mit einem Absender wie 192.168.1.2 an den Dienst ran solange auf der Kiste keinerlei Filterei betrieben wird. Wenn man als Angreifer zufaellig 192.168.100.2 nutzen wuerde, haette man hingegen Pech.
Du koenntest deinen Rechner per iptables so konfigurieren, dass er auf dem Interface ppp0 gar keine Pakete mit Quelladressen aus den privaten Adressraeumen wie 192.168.*.* (rfc1918) annimmt. Einen generellen Schutz vor gefakten IPs gibts nicht, IP-Stack und Anwendungen muesen damit leben koennen.
Reinhard