---

Hejsa,

Jeg har igennem længere tid modtaget en del pakker fra en IP addresse hvor
source port (client port) er 0 til min web server (port 80) med ingen
payload.

Eks:
{TCP} X.X.X.X:0 -> 10.0.0.2:80

Snort klasifiserer det som "Bad traffic" hvilket egenligt er rigtigt nok
da source port 0 ikke burde forekomme.

Det er undrer mig at hvorfor apache alligevel svarer på pakken burde den
ikke være droppet af kernen (linux) eller noget ? og hvad ville en mulig
angriber få ud af at sende den slags pakker ? Jeg har ikke stødt på den
teknik eller fejl før og undrer mig over hvad en angriber ville få ud af
det.

Håber nogen kan foreklare disse mystiske pakker da jeg ikke har har fundet
nogle svar på hvad det kunne være .. hverken i Sans Network Intrusion
Detection eller i noget andre dokumenter jeg har læst om emnet.

Mvh
Kim Nielsen

---

Kim Nielsen <kn@hatespaminsecuity.dk> wrote:
> Jeg har igennem længere tid modtaget en del pakker fra en IP addresse hvor
> source port (client port) er 0 til min web server (port 80) med ingen
> payload.
>
> Eks:
> {TCP} X.X.X.X:0 -> 10.0.0.2:80

En Google soegning paa 'source port 0' og 'source port zero' kunne se ud
til at besvare din forespoergsel. De samme soegninger giver resultat
hvis jeg soeger incidents arkivet hos marc.theaimsgroup.com

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

On Mon, 25 Nov 2002 07:26:47 +0000, Alex Holst wrote:
> En Google soegning paa 'source port 0' og 'source port zero' kunne se ud
> til at besvare din forespoergsel. De samme soegninger giver resultat
> hvis jeg soeger incidents arkivet hos marc.theaimsgroup.com

Ja jeg havde prøvet google men fandt ikke rigtigt de svar jeg fik
brugebare. Men ifølge det link du har givet skulle det være et forsøg på
at kunne kortlægge min netværk topologi.

Og at det er tilladt ifølge RFC768 at have source port 0 ..

Jeg siger tak for linket

Mvh
Kim