Dziwnosc :)

Autor: Michal Zalewski (lcamtuf_at_dione.ids.pl)
Data: Fri 30 Jun 2000 - 11:15:37 MET DST

• Następna wiadomość: cyrkiel: "Re: SDI i TPSA"
• Poprzednia wiadomość: Jaroslaw Rafa: "Re: Cyfronet->TPnet"
• Następna w wątku: Michal Zalewski: "Re: Dziwnosc :)"
• Odpowiedz: Michal Zalewski: "Re: Dziwnosc :)"
• Prawdopodobna odpowiedź: Michal Zalewski: "Re: Dziwnosc :)"
• Odpowiedz: Piotr Kucharski: "Re: Dziwnosc :)"
• Wiadomości sortowane wg: [ datay ] [ wątku ] [ tematu ] [ autora ] [ załącznik ]

Nie mam zwyczaju siedziec nad logami i zastanawiac sie nad kazdym skanem,
jaki ktos puszcza na nasza siec, ale cos, co zauwazylem ostatnio, bardzo
mnie zainteresowalo. Ot, postawilem nowy segment sieci, na nowej klasie
adresowej, w ktorym jeszcze nic nie stalo i nic sie nie dzialo. Gdy
przyszedlem rano, zerknalem sobie do logow na gateway'u i oprocz kilku
moich testowych polaczen, zauwazylem cos dziwnego po drugiej w nocy:

Fri Jun 30 02:32:07 CEST 2000: 02:32:07.148366 < 207.229.143.40.ircd >
213.cc.dd.109.45798: R 0:0(0) ack 689701245 win 0 (ttl 55, id 24096)

Czy jest w tym cos dziwnego? Wlasciwie nie, ot - taki sobie RST. Problem
jest jeden - serwer shell-1.enteract.net nie wyglada na serwer IRC. Nikt
nigdy z tej sieci nie zainicjowal polaczenia na swiat. Zaden ruch TCP w
przeciagu przynajmniej 5 godzin od tego RST nie przyszedl ani nie wyszedl
z sieci. A maszyna z koncowka .109 w ogole nie istnieje.

Z ciekawosci zerknalem do logow na innym gateway'u - zupelnie inne
fizyczne polaczenie, zupelnie inna klasa adresow. I co zobaczylem?

Fri Jun 30 02:39:31 CEST 2000: 02:39:31.615772 < 207.229.143.42.ircd >
213.aa.bb.28.35609: R 0:0(0) ack 3465391706 win 0 (ttl 54, id 52593)

Pojedynczy pakiet, znow na nieistniejacy adres, znow z portu irc, tym
razem na shell-3.enteract.net. Nie zauwazylem zadnych innych pakietow pod
adresem zadnego z innych hostow w tej klasie.

Teraz pytanie - co to jest? Jesli skaning, to co mial na celu? Jaki sens
ma wyslanie jednego pakietu RST na tylko jeden adres w sieci, do tego
zdaje sie losowy? RST skan 'wygladajacy' jak nawiazane polaczenie jest
mozliwy, i przejdzie zapewne wiekszosc firewalli na poziomie pakietow,
ale... ale ten nie wygladal na skaning, tylko jakas pojedyncza i nie do
konca zrozumiala dla mnie probe. Czemu na takie adresy? Czemu port irc? Co
to za serwery (shell-X)?

Jesli ktos z was loguje gdzies ruch na gatewayach, poszukajcie grepem w
dzisiejszych/wczorajszych logach '207.229.143.4'?:>

Ciekawski,
_______________________________________________________
Michal Zalewski [lcamtuf_at_tpi.pl] [tp.internet/security]
[http://lcamtuf.na.export.pl] <=--=> bash$ :(){ :|:&};:
=-----=> God is real, unless declared integer. <=-----=

• Następna wiadomość: cyrkiel: "Re: SDI i TPSA"
• Poprzednia wiadomość: Jaroslaw Rafa: "Re: Cyfronet->TPnet"
• Następna w wątku: Michal Zalewski: "Re: Dziwnosc :)"
• Odpowiedz: Michal Zalewski: "Re: Dziwnosc :)"
• Prawdopodobna odpowiedź: Michal Zalewski: "Re: Dziwnosc :)"
• Odpowiedz: Piotr Kucharski: "Re: Dziwnosc :)"
• Wiadomości sortowane wg: [ datay ] [ wątku ] [ tematu ] [ autora ] [ załącznik ]

To archiwum zostało wygenerowane przez hypermail 2.1.7 : Wed 19 May 2004 - 16:34:20 MET DST