Autor: Marcin Jurczuk (spock_at_stars.eu.org.usunto)
Data: Fri 27 Feb 2004 - 19:12:05 MET
On Fri, 27 Feb 2004 15:13:28 +0000, Piotr KUCHARSKI wrote:
> Tomasz Paszkowski <acid_at_e-wro.net> wrote:
>> IMHO lepiej dropować RST z/do ipka: 149.156.119.1:6667
>
> Jeśli się da, to po tym niezmiennym ID ciąć.
>
> To najprawdopodobniej jest jakiś botnet lub armia zombie.
> Spoofowany adres może się zmieniać (parę dni temu była to
> warszawa). Gorzej będzie, jak się będzie zmieniać co godzinę,
> na różne IP związane z infrastrukturą sieciową (routery, serwery
> DNS). Wtedy może niektórzy (jak Telia) przestaną bagatelizować
> sprawę, że to tylko IRC.
>
> p.
Przychodzi falami....z source krakow.irc.pl...i ledzi po różnych adresach
IP zawsze to samo ID i LEN jak pisali inni:
19:08:48.582298 149.156.119.1.6667 > 212.33.70.3.38114: .
[tcp sum ok] ack 3892776056 win 65535 (ttl 48, id 39426, len 40)
19:08:48.583343 149.156.119.1.6667 > 212.33.70.20.38118: .
[tcp sum ok] ack 3825929336 win 65535 (ttl 48, id 39426, len 40)
19:08:48.585819 149.156.119.1.6667 > 212.33.84.168.38441: .
[tcp sum ok] ack 2706181496 win 65535 (ttl 48, id 39426, len 40)
19:08:48.586814 149.156.119.1.6667 > 212.33.84.241.38450: .
[tcp sum ok] ack 2555776376 win 65535 (ttl 48, id 39426, len 40)
19:08:48.589677 149.156.119.1.6667 > 212.33.84.145.38438: .
[tcp sum ok] ack 2756316536 win 65535 (ttl 48, id 39426, len 40)
19:08:48.590728 149.156.119.1.6667 > 212.33.84.180.38444: .
[tcp sum ok] ack 2656046456 win 65535 (ttl 48, id 39426, len 40)
19:08:48.591484 149.156.119.1.6667 > 212.33.84.192.38447: .
[tcp sum ok] ack 2605911416 win 65535 (ttl 48, id 39426, len 40)
19:08:48.592374 149.156.119.1.6667 > 212.33.84.128.38460: .
[tcp sum ok] ack 2388659576 win 65535 (ttl 48, id 39426, len 40)
-- Regards M.J.
To archiwum zostało wygenerowane przez hypermail 2.1.7 : Wed 19 May 2004 - 18:14:39 MET DST