/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Pakke med source port 0 og ingen payload
Fra : Kim Nielsen


Dato : 25-11-02 07:49

Hejsa,

Jeg har igennem længere tid modtaget en del pakker fra en IP addresse hvor
source port (client port) er 0 til min web server (port 80) med ingen
payload.

Eks:
{TCP} X.X.X.X:0 -> 10.0.0.2:80

Snort klasifiserer det som "Bad traffic" hvilket egenligt er rigtigt nok
da source port 0 ikke burde forekomme.

Det er undrer mig at hvorfor apache alligevel svarer på pakken burde den
ikke være droppet af kernen (linux) eller noget ? og hvad ville en mulig
angriber få ud af at sende den slags pakker ? Jeg har ikke stødt på den
teknik eller fejl før og undrer mig over hvad en angriber ville få ud af
det.

Håber nogen kan foreklare disse mystiske pakker da jeg ikke har har fundet
nogle svar på hvad det kunne være .. hverken i Sans Network Intrusion
Detection eller i noget andre dokumenter jeg har læst om emnet.

Mvh
Kim Nielsen


 
 
Alex Holst (25-11-2002)
Kommentar
Fra : Alex Holst


Dato : 25-11-02 08:27

Kim Nielsen <kn@hatespaminsecuity.dk> wrote:
> Jeg har igennem længere tid modtaget en del pakker fra en IP addresse hvor
> source port (client port) er 0 til min web server (port 80) med ingen
> payload.
>
> Eks:
> {TCP} X.X.X.X:0 -> 10.0.0.2:80

En Google soegning paa 'source port 0' og 'source port zero' kunne se ud
til at besvare din forespoergsel. De samme soegninger giver resultat
hvis jeg soeger incidents arkivet hos marc.theaimsgroup.com

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

Kim Nielsen (25-11-2002)
Kommentar
Fra : Kim Nielsen


Dato : 25-11-02 10:34

On Mon, 25 Nov 2002 07:26:47 +0000, Alex Holst wrote:
> En Google soegning paa 'source port 0' og 'source port zero' kunne se ud
> til at besvare din forespoergsel. De samme soegninger giver resultat
> hvis jeg soeger incidents arkivet hos marc.theaimsgroup.com

Ja jeg havde prøvet google men fandt ikke rigtigt de svar jeg fik
brugebare. Men ifølge det link du har givet skulle det være et forsøg på
at kunne kortlægge min netværk topologi.

Og at det er tilladt ifølge RFC768 at have source port 0 ..

Jeg siger tak for linket

Mvh
Kim



Søg
Reklame
Statistik
Spørgsmål : 177549
Tips : 31968
Nyheder : 719565
Indlæg : 6408817
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste