Autor: Grzegorz Janoszka (grzesjan_at_onet.pl)
Data: Fri 15 Sep 2000 - 00:04:57 MET DST
Od razu mówię, że to nie ja rozszyfrowałem problem, tylko go zaobserwowałem,
spostrzegawcza osoba jest gdzies na pl.comp.security (niestety nie pamietam,
kto).
Otoz obserwujemy dziwna rzecz: Przychodza do nas pakiety TCP z portem
źródłowym 18245 i docelowym 21536. Dokładniejsze obserwacje wskazują, że
są to pakiety IP z zaznaczonym protokołem TCP, lecz z których *tajemnie*
ZNIKNĄŁ nagłówek TCP z numerami portów. W miejscu nagłówka znajduje się
string zaczynający się od "GET ", gdy te znaki zinterpretujemy jako numery
portów, to właśnie otrzymamy 18245 (GE) i 21536 (T ). Aha, co jeszcze
ciekawsze, to interpretacja tego stringa jako nagłówka IP w polu Flags
ma prawie zawsze ustawiony bit SYN. Adresy źródłowe wskazują, że problem
dotyczy TYLKO dialupów TP SA.
Czy gdzies po drodze modemowcy mają jakieś proxy, które czasem w tajemny
sposób masakruje niektóre pakiety?
Ja mam kilkadziesiąt tysięcy takich pakietów dziennie, spotkaliście się
z tym?
-- Grzegorz Janoszka Na newsy pisze calkowicie prywatnie.
To archiwum zostało wygenerowane przez hypermail 2.1.7 : Wed 19 May 2004 - 16:36:47 MET DST