Autor: smarkacz (smarkacz_at_anathema.eu.org)
Data: Thu 14 Sep 2000 - 12:45:46 MET DST
grzesjan_at_onet.pl (Grzegorz Janoszka) wrote:
> Nawiązując do postu z Thu, 14 Sep 2000 10:28:04 +0200 autorstwa smarkacz (smarkacz_at_anathema.eu.org):
> : Wyłapałem tcpdumpem nieco takich pakietów, okazało się, że są to
> : pakiety IP z deklarowanym protokołem TCP; w środku jest śliczny
> : request HTTP. Po prostu brakuje nagłówka TCP. Nie ma. Wycięty.
> : Od razu po nagłówku IP zaczyna się request HTTP, w miejscu gdzie
> : systemy spodziewają się nagłówka TCP - i tak go traktują. "GET "
> : rozwijają więc jako numery portów. 18245 -> 21536.
> : Pytanie tylko co tak masakruje pakiety..
> Tez mam takie pakiety. Moze zbierzemy do kupy jakos informacje o
> adresie zrodlowym i dojdziemy do tego, ze jakis great admin hacka'
> napisal swoje proxy ;-)
Nie. Już wiem. To TiePSA i jej cudowne access servery. Albo coś równie
inteligentnego po drodze. Wczoraj wdzwaniałem się przez 0,202122,
dostałem IP 212.160.57.106. Dziś grepnąłem logi firewalla i znalazłem
kilka pakietów, których na pewno nie wysłałem:
Sep 13 21:21:56 ishtar ipmon[21468]: 21:21:56.035955 xl0 @0:19 b
212.160.57.106,21331 -> 212.244.100.17,18477 PR tcp len 20 40 -ASF IN
Sep 13 21:32:17 ishtar ipmon[21468]: 21:32:16.356400 xl0 @0:19 b
212.160.57.106,21331 -> 212.244.100.17,18477 PR tcp len 20 40 -ASF IN
I tak dalej, porty zawsze te same.. nie muszę chyba mówić, że taką
parę portów daje napis "SSH-". ;-)
--
*** smarkacz (smarkacz_at_anathema.eu.org) -- Jacek P. Szymański
NT to prawie zwykla 95tka tyle, ze troche toporniejsza GUI i
wydajnosc, za to nie bardzo daje sie zawiesic.
-- Piotr Trzcionkowski
To archiwum zostało wygenerowane przez hypermail 2.1.7 : Wed 19 May 2004 - 16:36:44 MET DST