Autor: Michal Zalewski (lcamtuf_at_dione.ids.pl)
Data: Fri 30 Jun 2000 - 13:43:31 MET DST
On Fri, 30 Jun 2000, Michal Zalewski wrote:
> Fri Jun 30 02:32:07 CEST 2000: 02:32:07.148366 < 207.229.143.40.ircd >
> 213.cc.dd.109.45798: R 0:0(0) ack 689701245 win 0 (ttl 55, id 24096)
>
> Czy jest w tym cos dziwnego? Wlasciwie nie, ot - taki sobie RST. Problem
> jest jeden - serwer shell-1.enteract.net nie wyglada na serwer IRC. Nikt
> nigdy z tej sieci nie zainicjowal polaczenia na swiat. Zaden ruch TCP w
> przeciagu przynajmniej 5 godzin od tego RST nie przyszedl ani nie wyszedl
> z sieci. A maszyna z koncowka .109 w ogole nie istnieje.
Zauwazylem, przegladajac starsze logi, cos jeszcze
ciekawszego. Rozciagniete na niemal cala dobe (i nagle urywajace
sie) probkowanie z tajemniczej maszyny:
Name: vip-testing.sntc04.exodus.net
Address: 216.32.132.250
Takie same pakiety RST, wszystkie z portu ircd, wszystkie trafiajace w
nieistniejace maszyny (ale cos kaze mi zgadywac, ze skanowane sa krawedzie
niewielkich zakresow sieci typu /28). Co zaskakujace, skan odbywal sie w
bardzo duzych, nieregularnych odstepach (tak jak mowilem, przez caly
28/06) i zamarl tak samo nagle, jak sie zaczal. Zastanawiam sie, jaki to
ma cel, i czy ktos, kto bardzo stara sie pozostac niezauwazonym, skanowal
tylko mnie, czy tez moze kogos innego? Jesli ktos, zwlaszcza majacy hosty
w 213.x, zauwazyl takie zablakane RST wyrwane z kontekstu, bylbym
wdzieczny za informacje :)
_______________________________________________________
Michal Zalewski [lcamtuf_at_tpi.pl] [tp.internet/security]
[http://lcamtuf.na.export.pl] <=--=> bash$ :(){ :|:&};:
=-----=> God is real, unless declared integer. <=-----=
To archiwum zostało wygenerowane przez hypermail 2.1.7 : Wed 19 May 2004 - 16:34:20 MET DST