pppoe: Bad TCP checksum xxxx

Hálózatok általános

Fedora 12-t használok, pár napja gondoltam egyet és az eddig használt Network-Manager appletet lecseréltem a Fedora sima network service-ére. Pppoe-setup-al szépen végigmentem a telepítésen, van net, viszont azóta ilyen bejegyzések vannak a logban: 

pppoe[1551]: Bad TCP checksum eaac
pppoe[1551]: Bad TCP checksum b42f

Rendszertelen időközönként, félóránként-óránként jelentkezik egy. Gugliztam és a CLAMPMSS beállítását javasolják vagy a pppoe.confban (F12-n ezt gondolom az ifcfg-ppp0 fájl helyettesíti), vagy a tűzfal konfigjában (Shorewall fut). Nálam ez sem változtatott a helyzeten, ugyanúgy jelentkeznek ezek a "hibák".

Kíváncsiságból futtattam wiresharkot, hogy a logban szereplő időpontnál mi történik, minden esetben ezt találtam: 

25697	12:18:13.957025	src.ip	dest.ip	TCP	isakmp > 17953 [SYN, ACK] Seq=0 Ack=0 Win=8192 Len=0

Egyetlen ilyen [SYN, ACK] csomag van, amit nem követ ehhez kapcsolható adatforgalom.

Kérdésem, kell-e ezzel foglalkozni vagy figyelmen kívűl hagyható (nálam van valami hiba?) Érdekes módon amíg a NM applet kezelte a netet, nem voltak ilyen bejegyzések a logban.

  • 1342 megtekintés

( GyB | 2009. 12. 27., v – 10:35 )

Csak annyit fűznék még hozzá, hogy a kérdéses ip címekre (össz. 2-3) whois-al rákérdezve mindig a Softlayer.com domain nevét kapom vissza, mellesleg ezek az ip címek szerepelnek a Dshield.org toplistáján.
Nem vagyok jártas a témában, de ezek behatolási kísérletek/botok?
Miért nem blokkolja a shorewall (legalább is a logban nem szerepelnek) és miért a pppd daemon jelzi ezeket ilyen Bad checksum-al?

( apal v | 2009. 12. 27., v – 11:35 )

hat azert syn|ack flagek mellett Seq=0 es Ack=0 az tobb mint rendellenes. ipsec-et hasznalsz? a fenti log-ban az src ip az a sajatod vagy a dst? ez most nem derult ki egyertelmuen, hogy a syn|ack-ot te adod ki merthogy valaki kapcsolodni probal hozzad, vagy te probaltal meg vmifele kapcsolatot teremteni az src.ip-re es arra jon ez a valasz.

mindenesetre szerintem nem kell izgulni, ha ennyire esetleges, es ennyire kreten ez az elkapott csomag, akkor me'g tamadasi izenek is gyenge...

aha, oke. a bejovo csomag valamifele kapcsolodasi valasznak alcazott valami, egy olyan keresre amit a ge'ped adott ki, ami pedig ipsec-es (wikipedia://ipsec) szolgaltatashoz kotodik. de mondom, ezek az ertekek (seq=0, ack=0, sot, akar egy szokvanyos pmtu ~ 1.5k melett a win=8192 is) annyira kretenek, hogy nem sokat kell aggodni, szerintem. foleg ha a checksum is rossz :)

O.K akkor nem aggódok, a netstat szerint nálam csak az ntp daemon fut (de az udp csomagokat használ), és a sendmail figyel a 25-s porton, de az csak a rendszer maileket továbbítja a /var/mail könyvtárba.
Böngésző használatához sem tudom kötni ezeket a csomagokat mert általában már bejelentkezés után megjelennek a kernel logban, anélkül hogy a FF-t elindítanám.

akkor jo, bar ha egy generic tuzfal van a gepeden az azert hatarozottan nem baj (azaz ne ack|rst-t valaszoljon a tcp a syn-re, szoval mindha ki lenne huzva a geped a netbol :)). es mondjuk az sem baj, ha az effele gyanus forgalmat felirogatod, talan, kesobb jo lesz valamire :] cron: dmesg | grep, barmi hasonloval.