De qué puede ser este paquete TCP ?

Archivado
Hola,

tengo una ubuntu 9.04, y estoy conectado via WIFI a mi router de Vodafone Huaweii.

Con la orden tail -f /var/log/syslog recibo cada seis o siete minutos 3 mensajes como éste:

Aug 18 11:44:03 portatil kernel: [ 3207.291639] Inbound IN=eth1 OUT= MAC=MiMAC:MACdemiRouter:08:00 SRC=IP_deOtroLugar DST=mi_IP LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=31857 DF PROTO=TCP SPT=63367 DPT=41289 WINDOW=8192 RES=0x00 SYN URGP=0

A qué puede ser debido ?
La IP_deOtroLugar, segun un buscador de IPs, es de un lugar donde conozco a alguna gente.
Si no me equivoco están intentando conectarse a ti en el puerto 41289, que no tengo ni puta idea de que aplicaciones lo usan.

Las conexiones TCP tienen 3 pasos para establecerse (3-way hand-shaking).

1)Yo te mando un mensaje SYN
2)Tu me mandas un SYN-ACK diciendo que has recibido mi SYN
3)Yo te mando un SYN-ACK diciendo que he recibido tu SYN-ACK. Y a partir de aquí ya intercambiamos datos.

Mientras tu no les estés contestando con un ACK no pasa nada porque no se está estableciendo conexión ninguna (ellos llaman a la puerta pero tu no la abres). Ahora, yo me mosquearía porque si no eres un servidor no es nada normal que alguien se intente conectar a ti. Igual te han querido colar un troyano que de estar funcionando respondería a conexiones en ese puerto.
Hola redscare,

me hice una cuenta en dyndns.com, porque tenía pensado montarme un servidor, pero abandoné la idea. Y la cuenta sigue en marcha, la daré de baja por si fuera eso.

Ya os contaré si era eso.

Muchas gracias !

Edito:

Parece que no tiene nada que ver con dyndns.com, ya que le he dado de baja esta mañana y según decían en 2 horas darían de baja la cuenta, las direcciones y todo.

Ahora ya han pasado esas dos horas, y mi router ha estado apagado todo ese tiempo.

Y cuando lo he vuelto a encender vuelven a aparecer los mensajes TCP.

Probaré con otra distribución de Linux más actual, y descartaré si es cosa de la distribución o del router.
socram8888 está baneado por "incumplimiento términos y condiciones de uso"
¿Tienes P2P activo? Porque eso explicaría tanto las conexiones como el que los puertos sean distintos
¿Cual es la IP que intenta conectarse?

Se podría sacar más información con ella.
PussyLover escribió:¿Cual es la IP que intenta conectarse?

Se podría sacar más información con ella.


Hombre, cuando ha dicho "es de un lugar donde conozco a alguna gente", es que ya le ha hecho un whois pero no quiere decir aquí de donde es la IP (sus razones tendrá).

Y si estuviera con el P2P no tendría un intento de conexión cada 7min, tendría sopotocientos por minuto.
redscare escribió:Hombre, cuando ha dicho "es de un lugar donde conozco a alguna gente", es que ya le ha hecho un whois pero no quiere decir aquí de donde es la IP (sus razones tendrá).

Y si estuviera con el P2P no tendría un intento de conexión cada 7min, tendría sopotocientos por minuto.


Yo lo preguntaba para ver que ISP era y a raíz de ahi investigar más. Pero bueno. ZzzZZ
Pues al final sí que podía ser que fuera todo por tener una cuenta en dyndns, ya que hoy no me ha llegado ningún paquete de ese tipo, y no he cambiado en nada lo que hice ayer. Supongo que tardaron un poco más de lo que dijeron en desactivarlo todo.

socram8888, no tengo activo ningún P2P, sólo el firefox y el firestarter. Había llegado a pensar que fuera por algún añadido del firefox, como el fastestfox o el optimizegoogle, pero como he dicho antes, hoy no hay actividad de paquetes tcp.

pussylover, el isp del que venían los paquetes era de Vodafone desde Castellón, yo también soy de Vodafone y estoy en Valencia.

Muchas gracias a todos por vuestros comentarios.
7 respuestas
Archivado
Volver a General