Snort: "ICMP redirect host"

[minibbjd]

Hallo,

ich habe mal Snort installiert und irgendwie müllt mich der Nachbar mit der Hausnummer 253 mit ICMP redirects zu:

Code: Select all

[**] [1:472:1] ICMP redirect host [**]
[Classification: Potentially Bad Traffic] [Priority: 2]
05/19-21:38:42.944632 217.160.XXX.253 -> 217.160.XXX.XXX
ICMP TTL:64 TOS:0xC0 ID:13757 IpLen:20 DgmLen:102
Type:5  Code:1  REDIRECT
[Xref => http://www.whitehats.com/info/IDS135]
[Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-1999-0265]

(Jede Menge davon...)

Auf dem Rootie ist Debian installiert. Ich habe versucht mich im Rahmen meiner Möglichkeiten schlau zu machen und denke ich sollte das nicht bekommen.
Liegt's an einem fehlkonfigurierten Gateway oder ist es ein Fehler auf meiner Seite?

Code: Select all

eth0      Link encap:Ethernet  HWaddr 00:40:63:C4:30:54  
          inet addr:217.160.XXX.XXX  Bcast:217.160.XXX.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:196286 errors:0 dropped:0 overruns:0 frame:0
          TX packets:145812 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100 
          RX bytes:173141532 (165.1 MiB)  TX bytes:19309237 (18.4 MiB)
          Interrupt:15 Base address:0xe000 

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:31368 errors:0 dropped:0 overruns:0 frame:0
          TX packets:31368 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:1571596 (1.4 MiB)  TX bytes:1571596 (1.4 MiB)


Kernel IP routing table
Destination     Gateway      Genmask         Flags Metric Ref    Use Iface
default         217.160.XXX.1 0.0.0.0         UG    0      0        0 eth0

Marcus

[dodolin]

Würdest du bitte mal sofort alle X'en entfernen, wenn du Hilfe möchtest?

Deine Netzmaske lässt darauf schließen, dass du eine Fehlkonfig hast (bei 1&1 Rooties sollte das doch 255.255.255.255 sein, oder nicht?) und du die Redirects korrekterweise von deinem Gateway bekommst. Aber genau kann man das nur sagen, wenn man die IPs sieht.

[captaincrunch]

Das ganze hängt mit dem perversen Routing im 1&1-Netz zusammen, weil dein Default Gateway x.x.x.1 das über ein anderes rausjagt (x.x.x.254).

[minibbjd]

@dodolin:

Würdest du bitte erklären was für eine Rolle die IP spielt? (Bemerkung am Rande: Ich habe nur das "mal sofort" weggelassen und schon klingt's viel netter...) Du kannst von aussen weder die x.x.x.1 noch die x.x.x.254 erreichen.

Bezüglich der netmask, so denke ich ist die 255.255.255.0 richtig. Soweit ich weiss würde ich mit 255.255.255.255 das Subnetz nicht mehr erreichen (hab irgendwie keine Lust das jetzt auszuprobieren...).

@CC
Jup, sieht seltsam aus. Mit default gateway x.x.x.1 geht der erste Hop nach draussen auf x.x.x.254.

Also, den Reim den ich mir mache ist, dass der Rootie den x.x.x.1 anspricht und von dem mitgeteilt bekommt er soll die x.x.x.254 benutzen. So könnte 1&1 jederzeit das Gateway zB. auf x.x.x.253 wechseln.

Hat mal jemand beobachtet ob das des öfteren vorkommt?

Ich werd' mich an die Logeinträge gewöhnen und darauf vertrauen, dass die Packete nicht in die Trafficzählung gehen... ;-)

Marcus

[dodolin]

Würdest du bitte erklären was für eine Rolle die IP spielt?

Ich wage zu behaupten, dass ich dann wesentlich mehr Infos sowohl aus dem Snort-Log als auch aus der Netzwerkkonfig rauslesen könnte und dir die Zusammenhänge besser erklären könnte. Hat man dir schonmal erzählt, dass Security through Obscurity nicht funktioniert?

(Bemerkung am Rande: Ich habe nur das "mal sofort" weggelassen und schon klingt's viel netter...)

Mein Ton war unfreundlich, da hast du Recht. Sorry dafür. Du hast meinen Frust abbekommen, der sich hier leider anstaut, weil anscheinend fast jeder meint, es wäre sinnvoll, man verschleiert seine IPs, Hostnamen usw. und man deshalb aber nicht effektiv helfen kann.

Du kannst von aussen weder die x.x.x.1 noch die x.x.x.254 erreichen.

Siehe oben: Dazu brauche ich die IP auch gar nicht. Aber mit den IPs könnte man das eben besser zurückverfolgen.

Zum Problem: Wenn du uns nicht glauben willst, bitteschön.
Die FAQ sei noch empfohlen: http://www.rootforum.org/faq/index.php? ... =108&lang=

Selbstverfreilich zählt das zu deinem Traffic dazu.

[minibbjd]

Ich wage zu behaupten, dass ich dann wesentlich mehr Infos sowohl aus dem Snort-Log als auch aus der Netzwerkkonfig rauslesen könnte und dir die Zusammenhänge besser erklären könnte.

Nun, ich dachte es wäre selbstverständlich, dass alle geXten Adressen im gleichen Subnetz liegen. Bis auf meine IP sind damit alle Informationen da.

Hat man dir schonmal erzählt, dass Security through Obscurity nicht funktioniert?

Ist mir schon klar. Nur wenn man seinen Rootie den zweiten Tag hat und den ersten für die Debianinstallation gebraucht hat, brauche ich keinen Hinweis darauf, dass bei mir die Scheuentore aufstehen. Das weiss ich selbst und ich arbeite dran. Wenn ich fertig bin, habe ich kein Problem die IP zu posten.

Mein Ton war unfreundlich, da hast du Recht. Sorry dafür.

Kein Problem.

Die FAQ sei noch empfohlen: http://www.rootforum.org/faq/index.php? ... =108&lang=

Aargh... ich wate in faqs und HowTo's und das habe ich übersehen... Mea culpa.

Selbstverfreilich zählt das zu deinem Traffic dazu.

Hmm.... Ich dachte es wird am Switch gemessen und die Reihenfolge wäre "Rootserver <-> Gateway <-> Switch", sodass ICMPs zwischen Server und Gateway nicht zählen.

Danke für die Hilfe,
Marcus

[minibbjd]

Aargh... ich wate in faqs und HowTo's und das habe ich übersehen... Mea culpa.

Anmerkung: Da ich das Debian Installationsskript von Christian Ney genommen habe war "up /sbin/route delete -net 217.160.x.0/24" allerdings schon in /etc/network/interfaces vorhanden.

Marcus

[dodolin]

Hmm.... Ich dachte es wird am Switch gemessen und die Reihenfolge wäre "Rootserver <-> Gateway <-> Switch",

Es wird am (Linux-)Gateway gemessen. Damit dürfte das mit deinem Bild jetzt klar sein, oder?

[captaincrunch]

Anmerkung: Da ich das Debian Installationsskript von Christian Ney genommen habe war "up /sbin/route delete -net 217.160.x.0/24" allerdings schon in /etc/network/interfaces vorhanden.

Der meldet sich auch mal prompt zu Wort : genau so sollte es sein, da 1&1 wie schon gesagt dieses etwas perverse Routing eingeführt hat (aus welchem Grund auch immer, da es nicht gerade sehr RFC-konform ist). Da wir irgendwann mal gemerkt hatten, dass bei der Debian-Installation daher das Routing ins selbe Subnetz nicht passt, habe ich diese Zusatz eingebaut.

Was das Rotuing ab dem default gw angeht : was sollte Schlund davon abhalten, ausgehenden Traffic statt über die .1 über die .254 zu routen, und damit (vermutlich) besser den Traffic aufschlüsseln zu können ?
Du kannst ja mal per arping prüfen, welche MAC-Adressen sowohl die .1 als auch die .254 haben, in 99% der Fälle ist das ohnehin sogar die gleiche Karte.

[minibbjd]

Hier sind es unterschiedliche MAC-Adressen:

Code: Select all

ARPING 217.160.X.1
60 bytes from 00:00:5a:9d:07:6e (217.160.X.1): index=0 time=5.428 msec

ARPING 217.160.X.254
60 bytes from 00:00:5a:9d:08:7a (217.160.X.254): index=0 time=2.132 msec

Marcus

[captaincrunch]

In dem Fall wird dann halt ein Router mit zwei Interfacen da stehen. Das ganze ändert trotzdem nichts an der Tatsache, dass ein "ICMP redirect" ein ganz normales Verhalten in TCP/IP-Netzen ist. Genau aus diesem Grund gibt es ICMP ja schließlich ...