[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]Que tal linuxeros! Definitivamente me huele a Spofing, en realidad bloquee la ip, y el spam se detuvo, dicho spam se estaba enviando (miles y miles de correos, casi 500 cada minuto) hacia aol.com, con el usuaro "nobody", anule esta cuenta, y utilizo la de el usuario "apache" ... como? no se, al parecer los spammers hicieron dos o tres intentos mas con algunas otras IP's, que se anunciaron con el mismo mensaje en el /var/log/messsages, fueron bloqueadas, y no hubo mas problemas. Gracias a todos! Saludos Alexander Kouznetsov wrote: > > La naturaleza del evento creo que esta clara: la maquina que esta haciendo > NAT recibe paquetes de afuera y no sabe (no tiene registrado) para que > maquina interna son. Eso, segun yo, puede pasar por alguna de estas razones: > 1. Spoffing. alguen afuera pretende hacer infiltrar algun paquete en tu red > haciendose pasar por una respuesta a un request que paso por NAT (se > entienede? :) Si es asi, deseemosle mucha suerte, no veo la forma "racional" > de poder falcificar una respuesta que pueda pasar un NAT hacia un host > interno, queda la ruleta (una muuuy grande). Se rastrea con un sniffer > sabiamente utilizado, como exactamente, no se. > 2. Calidad baja de medio de comunicacion. Podemos suponer, que en algun > momento un host interno manda un request hacia afuera con un timeout muy > largo. Y ese timeout largo es aprovechado, la respuesta se tarda mucho > (saturacion del servidor remoto o baja calidad del medio). Para cuando llega > la respuesta, al NAT ya se le olvido quien mando el request, entonces se > deshace del paquete no indentificando, avisando al syslog, por si acaso. Se > rastrea buscando patrones actividad: de cantidad de paquetes de esos, > hora/fecha de cuando sucede, etc. tratando de indentificar un origen. Igual, > un sniffer te ayudaria. > 3. Alucin del NAT, software/hardware. que todo funciuone bin excepto tu NAT > "itself". No se como rastrearlo, podria intentar sustituir por un tiempo el > dispositivo que hace NAT, solo para provar... > 4. que no se me ha ocurrido... > > Son meras especulaciones, para poder precisar el problema y diagnosticarlo, > hay que hacer pruebas... Para empezar, que tipo de red es, con que topologia > fisica y logica, que clase de cliente accesan internet por el NAT, que clace > de NAT es, etc. > > Espero te sirva de algo. > > From: "Mario Benitez" <infoenlace en acnet net> > Subject: [Linux] mensajes de 'NAT:' en /var/log/messages > > > Que tal linuxeros! > > > > Revisando los logs, me encontre con este tipo de mensajes, que nunca > > habia visto, este contienes dichos mensajes desde la semana pasada: > > > > Aug 17 11:08:50 ns1 kernel: NAT: 0 dropping untracked packet c7d5f940 6 > > 172.151.110.52 -> mi_server > > Aug 17 12:00:01 ns1 kernel: NAT: 0 dropping untracked packet cd927620 1 > > 207.153.221.100 -> mi_server > > Aug 17 12:03:05 ns1 kernel: NAT: 0 dropping untracked packet cfa3be00 1 > > 161.58.156.163 -> mi_server > > Aug 17 12:03:22 ns1 kernel: NAT: 0 dropping untracked packet ca9fea20 1 > > 161.58.156.163 -> mi_server > > Aug 17 12:03:31 ns1 kernel: NAT: 0 dropping untracked packet cce5d860 1 > > 161.58.156.163 -> mi_server > > Aug 17 12:16:54 ns1 kernel: NAT: 0 dropping untracked packet cb8729e0 1 > > 161.58.156.163 -> mi_server > > Aug 17 12:18:28 ns1 kernel: NAT: 0 dropping untracked packet cb8724e0 1 > > 161.58.156.163 -> mi_server > > > > > > Alguna idea por ahi??? > > > > Gracias de antemano, saludos Lista de correo linux en linux net mx Preguntas linux-owner en linux net mx http://www.linux.net.mx/