hi folks,

seit ich meinen linux router am laufen habe ist dort snort installiert.
diese seite hier konnte ich auch immer aufrufen, ohne das snort anschlägt.
obwohl ich die regeln nicht geändert habe, kommt jedoch deit kurzem folgende meldung:

[**] ICMP PING *NIX [**]
[Classification: Misc activity Priority: 3]
12/05-14:22:38.730000 64.15.251.198->80.134.46.110

das ganze ca. 20 mal mit unterschiedlichen ip adressen.
was hat das zu bedeuten?
das ist mir auch aufgefallen, bei seiten wie ebay und hp.com. da sind es jedoch speedera pings.

Hallo,

ein Intrusion-Detection-System wie snort ist ziemlich mächtig. Nur leider ist der Einsatz eines solchen Systems 0,00 EUR Wert, wenn man die Meldungen nicht mal annähernd deuten kann :D

Diese Meldung "ICMP PING" sagt wohl lediglich aus, dass Dir jemand einen echo-Request schickt; wenn das gerade zu der Zeit passiert, in der Du in den linuxforen oder auf ebay oder sonstwo surfst, dann ist das einzige, was beide Aktionen gemeinsam haben: die Uhrzeit.

Ansonsten hat der Ping nichts mit den Linuxforen oder ebay zu tun und ist harmlos.

Harry

Original geschrieben von Harry
Hallo,

ein Intrusion-Detection-System wie snort ist ziemlich mächtig. Nur leider ist der Einsatz eines solchen Systems 0,00 EUR Wert, wenn man die Meldungen nicht mal annähernd deuten kann :D

Harry

mir ist schon klar, dass ich einen ping bekomme. was mir nicht klar ist, was das *NIX zu bedeuten hat.
mir ist auch bekannt, dass webserver bis weilen via icmp herausfinden wollen ob der host der die anfrage gestellt hat noch erreichbar ist, bevor er daten bekommt.

vielleicht wird die frage so deutlicher: was bedeutet das *NIX und warum zur hölle kommen immer zig requests, wenn man diese seite aufruft? und woher kommen die überall? die ips lassen sich zumindest stichprobenartig nicht auflösen.
das ist kein zufall und reproduzierbar.

hier mal ein paar links: bzw. ip's
http://www.schwarzl.at/ipcheck.html?action=query&ip1=66&ip2=28&ip3=255&ip4=130
http://www.schwarzl.at/ipcheck.html?action=query&ip1=202&ip2=6&ip3=131&ip4=17
http://www.schwarzl.at/ipcheck.html?action=query&ip1=213&ip2=61&ip3=6&ip4=2
http://www.schwarzl.at/ipcheck.html?action=query&ip1=202&ip2=37&ip3=57&ip4=249
http://www.schwarzl.at/ipcheck.html?action=query&ip1=212&ip2=62&ip3=17&ip4=145

Original geschrieben von Windoofsklicker
mir ist schon klar, dass ich einen ping bekomme. was mir nicht klar ist, was das *NIX zu bedeuten hat.
Achso ... ich hatte das *NIX als bereits von Dir maskiert interpretiert.

Wenn es so da steht, dann erinnert mich das stark an einige Teile der Snort-Doku in der immer wieder von *nix-Systemen die Rede ist (gemeint sind hier wohl die Unix-Systeme).
Warum das jedoch ausgerechnet dort in der Meldung so geloggt wird, das kann ich auch nicht genau sagen.


mir ist auch bekannt, dass webserver bis weilen via icmp herausfinden wollen ob der host der die anfrage gestellt hat noch erreichbar ist, bevor er daten bekommt.
Ja genau. Einige Webserver führen sogar ein traceroute (in der Windows-Welt heißt das Teil wohl tracert) auf den Clienten durch; tracert unter Windows arbeitet ebenfalls mit echo Requests also könnte auch dies eine Ursache für diese Pings sein.

Vielleicht sind auf den von Dir besuchten Websites irgendwelche unsichtbaren (oder auch sichtbare) Verweise auf andere Webserver, die sich genau dieser Tools bedienen, um beispielsweise eine Statistik oder ähnliches zu generieren.

Harry

das hat alles was von big brother. naja, danke soweit!

moin moin

dieses *nix bedeutet, wie von harry schon vermutet, UNIX.


die entsprechende rule dazu sieht übrigens so aus

alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg:"ICMP PING *NIX"; content:"|101112131415161718191a1b1c1d1e1f|";itype:8;depth:32; sid:366; classtype:misc-activity; rev:4;)

itype:8 <== bezeichnet dabei den typ des icmp-paket's, in dem fall echo request

die eigentlich rule *versteckt* sich aber unter content:"|101112131415161718191a1b1c1d1e1f|", allerdings kann ich dir diesen *zahlensalat* auch nicht erklären ;)

zu deinen speedera pings sieh mal hier => http://www.snort.org/snort-db/sid.html?sid=480


Gruß HL

Hallo zusammen,

die Informationen, die die schwarzl-page bringt sind einfach mit Abfrage der whois-Server zu erhalten:

zB. whois -h whois.arin.net 64.15.251.198

Dazu braucht man im Internet nicht irgendwelche Seiten aufzurufen.

Damit kommst du aber auch nicht sehr weit, weil viele IPs dynamisch vergeben werden.

Im übrigen habe ich snort bei mir auch laufen und mit dieser Seite keine Probleme, daß hier gepingt wird.

Viele Grüße,
CEROG

die Informationen, die die schwarzl-page bringt sind einfach mit Abfrage der whois-Server zu erhalten:

zB. whois -h whois.arin.net 64.15.251.198

Dazu braucht man im Internet nicht irgendwelche Seiten aufzurufen.
In Grunde richtig, aber diese Page erleichtert die Abfrage insofern, als daß sie die whois Auswertung übernimmt und die zuständige Registry automatisch ermittelt und abfragt. Mit 211.22.204.210 würdest Du z.B. bei ARIN nicht weit kommen und müßtest APNIC abfragen, die Dich möglicherweise an KRNIC, TWNIC oder JPNIC verweisen. Für wiederum andere Adresssen brauchst Du RIPE, DENIC, LACNIC oder registro.br, baaaah, selbst diverse Tools geben da auf, weil sie nicht ständig gepflegt werden. Es sei denn, Du kennst ein Kommandozeilen Front-End zu whois, welches aktuell ist.

Hallo zusammen,

ich fange deshalb bei whois.arin.net an, weil ich hier den Hinweis auf den nächsten whois-Server bekomme, wenn die IP nicht in der arin-datenbank ist.

Viele Grüße,
CEROG

ich fange deshalb bei whois.arin.net an, weil ich hier den Hinweis auf den nächsten whois-Server bekomme, wenn die IP nicht in der arin-datenbank ist.
Erstens, nö. Siehe mein Beispiel. Du wirst zwar auf eine Webseite bei APNIC verwiesen, darst aber raten, daß deren whois Server unter whois.apnic.net erreichbar ist. Ähnlich mit den anderen Registraturen. Whois Rekursion ist nicht unterstützt.

Zweitens, in meinem Posting wies ich daraufhin, daß oben gelinkte Webseite den Abruf automatisiert, Du aber nach einem Verweis auf einen anderen whois Server diesen selbst abrufen mußt.

Von daher finde ich so eine Webseite, wie von Schwarzl schon brauchbar.

Hallo belkira,

arin sagt dir sehr wohl den namen des zuständigen whois-Servers.

Beispiel:

linux:/var/log # whois -h whois.arin.net 62.226.54.7

OrgName: RIPE Network Coordination Centre
OrgID: RIPE

NetRange: 62.0.0.0 - 62.255.255.255
CIDR: 62.0.0.0/8
NetName: RIPE-C3
NetHandle: NET-62-0-0-0-1
Parent:
NetType: Allocated to RIPE NCC
NameServer: NS.RIPE.NET
NameServer: AUTH03.NS.UU.NET
NameServer: NS2.NIC.FR
NameServer: SUNIC.SUNET.SE
NameServer: MUNNARI.OZ.AU
NameServer: NS.APNIC.NET
Comment: These addresses have been further assigned to users in
the RIPE NCC region. Contact information can be found in
the RIPE database at whois.ripe.net

RegDate: 1997-04-25
Updated: 2002-09-11

OrgTechHandle: RIPE-NCC-ARIN
OrgTechName: Reseaux IP European Network Co-ordination Centre S
OrgTechPhone: +31 20 535 4444
OrgTechEmail: nicdb@ripe.net

# ARIN Whois database, last updated 2002-12-07 20:00
# Enter ? for additional hints on searching ARIN's Whois database.


Letztlich geht die Diskussion aber nicht mehr darum, wo ich die Informationen herkriege, sondern wie ich sie kriege.

Als manchmal etwas konservativer Mensch ziehe ich die Kommandozeile vor.

Viele Grüße,
CEROG

PS: Die IP in meinem Beispiel ist für t-online registriert.

Ok, im Kommentarfeld stehen die offenbar. Dachte eigentlich an man whois und Option -r und sprach deswegen von nicht unterstützter Rekursion. Wenn Du es natürlich bevorzugst, Dich über die einzelnen Querverweise auf whois Server bis zu einem Ergebnis durchzuhangeln, viel Spaß dabei! In folgendem Beispiel bräuchtest Du immerhin drei Abfragen und müßtest jeweils die Antworten und Kommentarfelder lesen und nach dem nächsten whois Server absuchen:

Beispiel: whois -h whois.arin.net 200.207.87.238

Alternative auf Komandozeile mit der Schwarzl-Seite nur eine einzige Abfrage:
links -dump 'http://www.schwarzl.at/ipcheck.html?action=query&ip1=200&ip2=207&ip3=87&ip4=238'

Diesbezüglich möchte ich Dich auf Deinen ursprünglichen Einwand erinnern, der mich überhaupt erst zu einem Kommentar veranlaßt hat:

die Informationen, die die schwarzl-page bringt sind einfach mit Abfrage der whois-Server zu erhalten:

Dazu braucht man im Internet nicht irgendwelche Seiten aufzurufen.
Vielleicht gehst Du ja nochmal zurück und liest meine Antwort darauf. ;)

Hallo zusammen,

du hast recht mit der Aussage, daß es mit der Schwarzl-Seite schneller geht, eine IP zu zuordnen.

Wesentlich wichtiger ist die Frage, was wir mit der Information anfangen können.

Ich glaube, diese Information läßt sich rechtlich nicht weiter verwenden. Außerdem könnte die IP gespooft sein.

Ausserdem müßte bei den dynamischen IPs erst festgestellt werden, wer wann diese IP hatte.

Damit verläuft das ganze im Sand.

Viele Grüße,
CEROG

Der modern whois client http://freshmeat.net/projects/whois/ in der Version 4.6.1 leistet gute Dienste und klappert die whois Server offenbar rekursiv ab, im Gegensatz zum Standard whois mancher Distributionen.