Hola! Desde hace ya tiempo que tengo un problema bastante serio de seguridad. Mi ordenador registra conexiones HTTP que yo no realizo y lo curioso es que las ips con las que se conecta no son sitios spyware ni nada por el estilo. Son conocidos portales de información y páginas web de confianza. Al principio Pensé que era Spyware, pero ya he descartado esa posibilidad después de que no he vuelto a utilizar Windows y he formateado mi router, el disco duro, el MBR, y reseteado la BIOS. Ahora utilizo Fedora Cora 7 y sigo con el mismo problema.
NO HE INSTALADO NINGUNA COPIA DE SEGURIDAD INFECTADA ni nada por el estilo..., la configuración de mi pc es completamente limpia.

Sospecho que he sido víctima de ataques mediante IPspoofing o Idle Scanning, porque he tratado de segir el rastro de ciertas ips que me firewall a detectado cuando me hacían exploración de puertos fragmentados y los hosts no existen o estaban caídos o eran equipos que llevaban mucho tiempo conectados a la red y nada sospechosos (probablemente utilizados como máquinas Zombies para hacer de señuelo...)

Utilizando servidores proxys he consegido neutralizar las conexiones intrusas por HTTP pero tengo un problema y quería saber vuestra opinión y consejo... Cuando llevo poco tiempo con un servidor proxy conectado la conexión Web se empieza a relentizar considerablemente hasta que al final se acaba callendo y aveces cuando me conecto a ciertos servidores me deniegan la conexión porque "están siendo atacados por peticiones masivas al servidor" y aveces me muestran un mensaje de advertencia de que mi red puede estar infectada. Se que no son los proxys porque tengo mucho cuidado en utilizar proxies seguros, pero igualmente se caen y quien me esté atacando me los tira abajo.

Me gustaría saber vuestra opinión al respecto. Gracias

Ahora estoy usando Tor y Provoxy. Es la única forma que tengo de parar las conexiones HTTP intrusas sin que se me tire abajo el proxy

Tenía un registro completo de las conexiones sospechosas con nobres de dominio e ips pero como he formateado varias veces las he borrado. Solo he conservado los nombres de las web que me podían dar información sobre el "perfil" del atacante (curiosamente muchas son webs de portales de noticias e información, muchas de ellas pertenecen a la operadora Akamai...)

En Linux, utilizo el comando:
# netstat -tcp -a | grep ESTABLISHED > logRemoteAdress
Pero el fichero de log es muy grade

Tengo un Router Zixel 660HW. Mi ISP es Telefónica, el único que presta servicios en mi localidad. Me asigna IP Dinámica. Tengo una pequeña red de área local de dos equipos.

Ahora estoy un poco liado intentando mejorar mi seguridad en Linux, pero en cuanto pueda voy a instalar un sniffer para pasarles algún registro.

Pero les advierto que yo no tengo mucha idea de seguridad informática, por eso me vendría bien un poco de ayuda.

Gracias

No había vuelto a retomar el post porque había estando tratando de hacer indagaciones. Ahí va algo de lo que he podido hacer:

Tarjeta de red se me pone en modo promiscuo 



Log interno del router, también se pone en modo promiscuo... y los mensajes WARNING vc opened y sp_ip_route_add  


Peticiones SYN-ACK registradas por p0f cuando me sale el mensaje del google



Paquetes capturados por snort en sólo 6 segundos cuando se colapsa el google



Las tramas en formato tcpdump del snort no las pongo porque sale un log muy grande

Y finalmente lo que me sucede cuando desconecto el proxy

observad las conexiones con el rango 194.224.xxx.xxx que se abren por usar el navegador...



La conexón destacada en rosa y la ip del google son realmente las únicas que debería de existir que es la que abre el TOR con el servidor...