Autor: Michal Zalewski (lcamtuf_at_dione.ids.pl)
Data: Fri 30 Jun 2000 - 22:36:14 MET DST
[post z pl.comp.security z pewna adnotacja i koszmarna prosba do
wszystkich, choc pewnie nikt tego nie czyta ;] Oto co dostalem od pewnego
czlowieka:
<jamO> Jun 30 02:24:21 fw %PIX-6-106015: Deny TCP (no connection) from
207.229.143.40/6667 to 10.10.8.8/57020 flags RST ACK
Ta sama godzina, ten sam dzien. Siec 212. Taki sam pakiet. Sprawdzcie na
swoich firewallach, na jakichkolwiek maszynach, gdzie chodzi snort albo
tcpdump dni 28 i 30.
Jesli nikt nie odpowie, nie bede was juz meczyl tym watkiem. Po prostu
czuje, ze obserwuje cos ciekawego.
-- a tekst z p.c.s. --
On Fri, 30 Jun 2000, Przemyslaw Frasunek wrote:
> w 212.182.0.0/17 nie zauwazylem takich skanow.
A ja poszedlem dalej tym tropem. Okazuje sie, ze RST skan ma wbrew pozorom
nogi i rece. Systemy odpowiadaja na takie zablakane rst+ack:
21:43:41.331059 > 127.0.0.1.ircd > 127.0.0.1.1057: R 0:0(0) ack 4264856990
win 0 (ttl 255, id 6505)
21:43:41.331059 < 127.0.0.1.ircd > 127.0.0.1.1057: R 0:0(0) ack 1 win 0
(ttl 255, id 6505)
Co wiecej, ta technika obejdzie wlasciwie wszystkie filtry pakietow, ktore
puszczaja pakiety z ustawionym ack (wiekszosc). Taki host probing duzo
bardziej finezyjny niz jakiekolwiek inne probowanie.
I co wy na to?
_______________________________________________________
Michal Zalewski [lcamtuf_at_tpi.pl] [tp.internet/security]
[http://lcamtuf.na.export.pl] <=--=> bash$ :(){ :|:&};:
=-----=> God is real, unless declared integer. <=-----=
To archiwum zostało wygenerowane przez hypermail 2.1.7 : Wed 19 May 2004 - 16:34:21 MET DST