---

Hej gruppe

Min firewall BlackICE har i den seneste tid 30-40 gange om dagen brokket
sig over TCP- og UDP-probes. De kommer hovedsagelig fra den samme IP,
nemlig 10.0.194.5. Hvordan får jeg det stoppet?

Kan det tænkes at være noget af min egen software, der giver problemer?
Jeg har førhen dummet mig gevaldigt med min firewall og fx ved en fejl
blokeret al trafik til min mailserver.

--
Mvh. Peter - http://filmsvar.dk
"Being a robot's great, but we don't have emotions, and sometimes that
makes me very sad."

---

"Peter Bjerre Rosa" <usenet@filmsvar.dk> writes:

> Min firewall BlackICE har i den seneste tid 30-40 gange om dagen brokket
> sig over TCP- og UDP-probes. De kommer hovedsagelig fra den samme IP,
> nemlig 10.0.194.5. Hvordan får jeg det stoppet?

> Kan det tænkes at være noget af min egen software, der giver problemer?

Det kan tænkes. En adresse der begynder med 10 skal ikke routes på
internettet, så det er nogen tæt på dig det kommer fra. Enten en af
dine egne maskiner, en af din udbyders maskiner, eller i det mindste
en der bruger samme udbyder (nogle udbydere, fx da jeg først havde
Stofa, giver mulighed for at brugerne kan se hinanden som på et
lokalnet).

Det er svært at sige hvad der sker uden at vide hvilke porte prøverne
kommer på og fra.

/L
--
Lasse Reichstein Nielsen - lrn@hotpop.com
Art D'HTML: <URL:http://www.infimum.dk/HTML/randomArtSplit.html>
'Faith without judgement merely degrades the spirit divine.'

---

In article <65o33xde.fsf@hotpop.com>, Lasse Reichstein Nielsen wrote:
> Det kan tænkes. En adresse der begynder med 10 skal ikke routes på
> internettet, så det er nogen tæt på dig det kommer fra. Enten en af

Afsender adressen har ingen indflydelse på routningsbeslutningen.

Nogle ISP filtere dog RFC1918 adresser væk i deres netværk, men ikke
alle.

Nogle ISP'er bruger endda RFC1918 adresser, fx brugte Telia for år tilbage
nogle 10'er adresserum til DNS.

---

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> writes:

> In article <65o33xde.fsf@hotpop.com>, Lasse Reichstein Nielsen wrote:
> > Det kan tænkes. En adresse der begynder med 10 skal ikke routes på
> > internettet, så det er nogen tæt på dig det kommer fra. Enten en af
>
> Afsender adressen har ingen indflydelse på routningsbeslutningen.

Jeg baserer det på RFC1918 (ok, jeg læste den først i detaljer nu,
men det passer med den forståelse jeg havde):
---
Because private addresses have no global meaning, routing information
about private networks shall not be propagated on inter-enterprise
links, and packets with private source or destination addresses
should not be forwarded across such links.
---
"Skal ikke" var måske lidt kraftigt, den ordrette oversættelse af
"should not" er vel nærmere "bør ikke".

> Nogle ISP filtere dog RFC1918 adresser væk i deres netværk, men ikke
> alle.

> Nogle ISP'er bruger endda RFC1918 adresser, fx brugte Telia for år tilbage
> nogle 10'er adresserum til DNS.

De gør både TDC og Stofa stadig, så sikkert også Telia.
Stofas kabelopkobling, for et par år siden, havde folk delt op i grupper
efter type C net (192.168.x.x), og man kunne se dem i samme gruppe som på
et lokalnet.

/L
--
Lasse Reichstein Nielsen - lrn@hotpop.com
Art D'HTML: <URL:http://www.infimum.dk/HTML/randomArtSplit.html>
'Faith without judgement merely degrades the spirit divine.'

---

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> writes:

> In article <65o33xde.fsf@hotpop.com>, Lasse Reichstein Nielsen wrote:
>> Det kan tænkes. En adresse der begynder med 10 skal ikke routes på
>> internettet, så det er nogen tæt på dig det kommer fra. Enten en af
>
> Afsender adressen har ingen indflydelse på routningsbeslutningen.

Det kan det nu godt have.

Eksemplevis er der mange kollegier der router på basis af om
afsenderen må bruge forskningsnettet eller ej. Der er dog også
formodentlig også noget NAT på spil.

Men ellers er, eller i har i hvert fald været, netværk hvor der var
begrænsninger på hvem man ville give lov til at sende
transittrafik. For eksempel er der vist nogle forskningsbaserede
højhastighedsnet der er lidt picky med hvem de vil lade bruge deres
dejlige tykke kabler.

Desuden er der mange routere der laver egress og igress
filtrering. For eksempel at routeren tjekker om den på baseis af
afsenderadressen ville forvente at få en pakke igennem sig. Dermed
undgås en del trans-net IP-spoofing angreb.

--
Peter Makholm | According to the hacker ethic, the meaning of life
peter@makholm.net | is not Friday, but it is not Sunday either
http://hacking.dk | -- Peeka Himanen

---

In article <8765o3yogg.fsf@xyzzy.adsl.dk>, Peter Makholm wrote:
>> Afsender adressen har ingen indflydelse på routningsbeslutningen.
>
> Det kan det nu godt have.

Jeg formoder du snakker om ip filtre.
>

---

Den Thu, 22 May 2003 15:48:41 +0000 (UTC) skrev Christian E. Lysel:
>In article <8765o3yogg.fsf@xyzzy.adsl.dk>, Peter Makholm wrote:
>>> Afsender adressen har ingen indflydelse på routningsbeslutningen.
>>
>> Det kan det nu godt have.
>
>Jeg formoder du snakker om ip filtre.

Nej.

http://lartc.org/howto/lartc.rpdb.html#LARTC.RPDB.SIMPLE

Mvh
Kent
--
6.0 FDiv 3.0 = 1.999773462873 - Intel Pentium bug

---

In article <baisa4$klj$1@sunsite.dk>, Kent Friis wrote:
>>>> Afsender adressen har ingen indflydelse på routningsbeslutningen.
>>> Det kan det nu godt have.
>>Jeg formoder du snakker om ip filtre.

> Nej.
>
> http://lartc.org/howto/lartc.rpdb.html#LARTC.RPDB.SIMPLE

Policy routing hedder vel policy routing :)

Så vidt jeg huske kan IPTables markere pakke i sin TCP stak,
disse markeringer kan så indgå i routningsbeslutningen.

På cisco router er policy routing tit knyttet til access-
lister, dvs. ip filtre.

---

Den Thu, 22 May 2003 17:29:19 +0000 (UTC) skrev Christian E. Lysel:
>In article <baisa4$klj$1@sunsite.dk>, Kent Friis wrote:
>>>>> Afsender adressen har ingen indflydelse på routningsbeslutningen.
>>>> Det kan det nu godt have.
>>>Jeg formoder du snakker om ip filtre.
>
>> Nej.
>>
>> http://lartc.org/howto/lartc.rpdb.html#LARTC.RPDB.SIMPLE
>
>Policy routing hedder vel policy routing :)
>
>Så vidt jeg huske kan IPTables markere pakke i sin TCP stak,
>disse markeringer kan så indgå i routningsbeslutningen.

Det er muligt det kan gøres på den måde, men det er ikke den måde der
er omtalt på ovenstående link. Det er kun vha. routing-tabeller.

Mvh
Kent
--
You haven't seen _multitasking_ until you've seen Doom and
Quake run side by side

---

Peter Makholm <peter@makholm.net> writes:

> Desuden er der mange routere der laver egress og igress

Ok, hvis man skal bluffe så hjælper det at vide lidt om emnet. RFC2827
kalder det ingress filtering og man kan vel også diskutere om det ikke
er en firewall-teknologi. (Men jeg har ingen anelse om hvad det er jeg
fabler om)

--
Peter Makholm | If you can't do any damage as root, are you still
peter@makholm.net | really root?
http://hacking.dk | -- Derek Gladding about SELinux

---

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> writes:

> In article <8765o3yogg.fsf@xyzzy.adsl.dk>, Peter Makholm wrote:
>>> Afsender adressen har ingen indflydelse på routningsbeslutningen.
>>
>> Det kan det nu godt have.
>
> Jeg formoder du snakker om ip filtre.

Nej eksemplet med at man diskriminerer transittrafik er ganske reel og
falder i hvert fald ind under hvad jeg med min begrænset viden om
netværk vil kalde en routningsbeslutning.

--
Peter Makholm | I have no caps-lock but I must scream...
peter@makholm.net | -- Greg
http://hacking.dk |

---

Lasse Reichstein Nielsen skrev:

> Det er svært at sige hvad der sker uden at vide hvilke porte prøverne
> kommer på og fra.

BlackICE fortæller mig, at TCP-prøverne er rettet mod port 139.

--
Mvh. Peter - http://filmsvar.dk
"Så synes jeg du stiller for høje og -kerte krav til skriftsproget."

---

Peter Bjerre Rosa wrote:

>> Det er svært at sige hvad der sker uden at vide hvilke porte
>> prøverne kommer på og fra.
>
> BlackICE fortæller mig, at TCP-prøverne er rettet mod port 139.

Det er ganske givet en anden windows maskine på dit lokalnetværk som
prøver at snakke med dig. Den er sikkert ved at være vældig skuffet
over at du aldrig ringer.

--
Niels Callesøe - nørd light
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php

Anti spam? Bevis det. http://www.spamcon.org

---

Niels Callesøe skrev:

> Det er ganske givet en anden windows maskine på dit lokalnetværk som
> prøver at snakke med dig.

Det spøjse er så, at der p.t. ikke er andre (tændte) maskiner på mit
lokalnetværk. Det består kun af min computer, der er koblet til en
switch, der igen er koblet til mit kabelmodem og en slukket computer.

> Den er sikkert ved at være vældig skuffet over at du aldrig ringer.

Jeg hader opkald med hemmeligt nummer.

--
Mvh. Peter - http://filmsvar.dk
"Man kan i hvert fald ikke lave en dødsstjerne eller et bælte ..."

---

Den Thu, 22 May 2003 22:56:24 +0200 skrev Peter Bjerre Rosa:
>Niels Callesøe skrev:
>
>> Det er ganske givet en anden windows maskine på dit lokalnetværk som
>> prøver at snakke med dig.
>
>Det spøjse er så, at der p.t. ikke er andre (tændte) maskiner på mit
>lokalnetværk. Det består kun af min computer, der er koblet til en
>switch, der igen er koblet til mit kabelmodem og en slukket computer.

Så er det nok ISP'ens netværk...

>> Den er sikkert ved at være vældig skuffet over at du aldrig ringer.
>
>Jeg hader opkald med hemmeligt nummer.

Hvornår er 10.0.194.5 blevet hemmeligt nummer?

Prøv dig -x 10.0.194.5 (eller hvis du har forældede bind-tools,
nslookup), og traceroute hvis du absolut vil vide hvor nummeret hører
til.

Mvh
Kent
--
Indlæringskurven til Linux er stejl, til tider lodret... Men for katten
hvor er udsigten på toppen dog fantastisk
- Michael G. Vendelbo i dk.snak

---

In article <bajdlp$bmt$1@sunsite.dk>, Kent Friis wrote:
> Så er det nok ISP'ens netværk...

Eller en host på internet.

> Prøv dig -x 10.0.194.5 (eller hvis du har forældede bind-tools,
> nslookup), og traceroute hvis du absolut vil vide hvor nummeret hører
> til.

Han kan ikke være sikker på at kunne route til adressen.

Fortæller firewallen evt. noget om IP pakkens TTL?

Du kan vha. TTL gætte dit frem til hvor mange routere der er imellem
afsenderen og maskinen.

---

"Peter Bjerre Rosa" <usenet@filmsvar.dk> writes:

> Lasse Reichstein Nielsen skrev:
>
>> Det er svært at sige hvad der sker uden at vide hvilke porte prøverne
>> kommer på og fra.
>
> BlackICE fortæller mig, at TCP-prøverne er rettet mod port 139.

Det er den port som Windows' NetBIOS ligger på.

Mit umiddelbare gæt er at det er DHCP-serveren fra din ISP der prøver
at bede om dit Windows-hostnavn. Det mener jeg mange
Windows-DHCP-servere finder på.

Omvendt er NetBIOS en af de ting der faktisk bliver angrebet, fordi
der før er fundet sikkerhedshuller - og fordi nogle brugere uhæmmet
deler hele deres drev med omverdenen pga. uvidenhed.

Hilsen
Kåre

--
Kaare Fiedler Christiansen fiedler@daimi.au.dk

2b|~2b == -1