---

Hejsan derude.

Jeg undrer mig lidt.

Jeg har 2 subnets (192.168.1.0/192.168.2.0) (og en linuxbox (redhat 7.2) der
agerer firewall/router i midten som 192.168.1.1 og 192.168.2.1).
Jeg har KaZaA kørende på 192.168.1.10 (Win2K) og en enkelt linux-box
192.168.2.2 (Redhat 7.1)
Det der undrer mig er at der bliver sendt pakker fra 192.168.1.10 til
ikke-eksisterende adresser på subnet 192.168.2.0

Er der nogen der kan forklare hvorfor der bliver sendt tcp-pakker til
ikke-eksisterende addresser på mit net ?

Pakkerne som bliver opsamlet af iptables ser typisk således ud (sat på linie
af hensyn til overskuelighed):

Apr 19 23:53:39 tleilax kernel: HACK-BOX:
IN=eth1
OUT=eth2
SRC=192.168.1.10
DST=192.168.2.35 (ikke eksisterende ip (min kommentar))
LEN=48
TOS=0x00
PREC=0x00
TTL=127
ID=16226
DF
PROTO=TCP
SPT=1998
DPT=1214
WINDOW=16384
RES=0x00
SYN
URGP=0

mvh
Claus E. Petersen

---

Jeg bør måske lige understrege at "HACK-BOX" ikke er udtryk for at jeg
udvikler virus/trojans men at det er regel som jeg har defineret for
"suspekte" maskiner på mit net.

- cep

"Claus E. Petersen" <REMOVEc.e.petersen@mail.dk> wrote in message
news:3cc0954f$0$224$edfadb0f@dspool01.news.tele.dk...
> Hejsan derude.
>
> Jeg undrer mig lidt.
>
> Jeg har 2 subnets (192.168.1.0/192.168.2.0) (og en linuxbox (redhat 7.2)
der
> agerer firewall/router i midten som 192.168.1.1 og 192.168.2.1).
> Jeg har KaZaA kørende på 192.168.1.10 (Win2K) og en enkelt linux-box
> 192.168.2.2 (Redhat 7.1)
> Det der undrer mig er at der bliver sendt pakker fra 192.168.1.10 til
> ikke-eksisterende adresser på subnet 192.168.2.0
>
> Er der nogen der kan forklare hvorfor der bliver sendt tcp-pakker til
> ikke-eksisterende addresser på mit net ?
>
> Pakkerne som bliver opsamlet af iptables ser typisk således ud (sat på
linie
> af hensyn til overskuelighed):
>
> Apr 19 23:53:39 tleilax kernel: HACK-BOX:
> IN=eth1
> OUT=eth2
> SRC=192.168.1.10
> DST=192.168.2.35 (ikke eksisterende ip (min kommentar))
> LEN=48
> TOS=0x00
> PREC=0x00
> TTL=127
> ID=16226
> DF
> PROTO=TCP
> SPT=1998
> DPT=1214
> WINDOW=16384
> RES=0x00
> SYN
> URGP=0
>
> mvh
> Claus E. Petersen
>
>
>
>
>

---

"Claus E. Petersen" <REMOVEc.e.petersen@mail.dk> skrev i en meddelelse news:3cc0954f$0$224$edfadb0f@dspool01.news.tele.dk...
> Hejsan derude.
>
> Jeg undrer mig lidt.
>
> Jeg har 2 subnets (192.168.1.0/192.168.2.0) (og en linuxbox (redhat 7.2) der
> agerer firewall/router i midten som 192.168.1.1 og 192.168.2.1).
> Jeg har KaZaA kørende på 192.168.1.10 (Win2K) og en enkelt linux-box
> 192.168.2.2 (Redhat 7.1)
> Det der undrer mig er at der bliver sendt pakker fra 192.168.1.10 til
> ikke-eksisterende adresser på subnet 192.168.2.0

Hvorfor der er noget der prøver at sende pakker til et ikke eksisterende subnet, kan jeg ikke svare dig på, men min første tanke er at noget af den spyware der er i Kazaa prøver at "komme ud" (eller er det ind?)


--
Kim Greve

---

Kim Greve wrote:
> Hvorfor der er noget der prøver at sende pakker til et ikke
> eksisterende subnet, kan jeg ikke svare dig på, men min første tanke
> er at noget af den spyware der er i Kazaa prøver at "komme ud" (eller
> er det ind?)

Jeg kørte for nogen tid siden en lille "spytest" på Kazaa med Ad-ware.
Jeg fandt over 40 små sladrehanke.

Så ukendt trafik er helt reelt en mulighed qua Kazaa´s design.

--
Regards

Zillyink.
Remove: 123 from @

---

"Zilly ink" <zilly123ink@hotmail.com> skrev i en meddelelse news:3cca5321$0$61952$edfadb0f@dspool01.news.tele.dk...
> Kim Greve wrote:
> > Hvorfor der er noget der prøver at sende pakker til et ikke
> > eksisterende subnet, kan jeg ikke svare dig på, men min første tanke
> > er at noget af den spyware der er i Kazaa prøver at "komme ud" (eller
> > er det ind?)
>
> Jeg kørte for nogen tid siden en lille "spytest" på Kazaa med Ad-ware.
> Jeg fandt over 40 små sladrehanke.
>
> Så ukendt trafik er helt reelt en mulighed qua Kazaa´s design.
>

Brug KaZaa Lite i stedet for, den indeholder ikke spyware.

----
Kim Greve.