/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Bombarderet med TCP-probes
Fra : Peter Bjerre Rosa


Dato : 22-05-03 14:43

Hej gruppe

Min firewall BlackICE har i den seneste tid 30-40 gange om dagen brokket
sig over TCP- og UDP-probes. De kommer hovedsagelig fra den samme IP,
nemlig 10.0.194.5. Hvordan får jeg det stoppet?

Kan det tænkes at være noget af min egen software, der giver problemer?
Jeg har førhen dummet mig gevaldigt med min firewall og fx ved en fejl
blokeret al trafik til min mailserver.

--
Mvh. Peter - http://filmsvar.dk
"Being a robot's great, but we don't have emotions, and sometimes that
makes me very sad."


 
 
Lasse Reichstein Nie~ (22-05-2003)
Kommentar
Fra : Lasse Reichstein Nie~


Dato : 22-05-03 14:49

"Peter Bjerre Rosa" <usenet@filmsvar.dk> writes:

> Min firewall BlackICE har i den seneste tid 30-40 gange om dagen brokket
> sig over TCP- og UDP-probes. De kommer hovedsagelig fra den samme IP,
> nemlig 10.0.194.5. Hvordan får jeg det stoppet?

> Kan det tænkes at være noget af min egen software, der giver problemer?

Det kan tænkes. En adresse der begynder med 10 skal ikke routes på
internettet, så det er nogen tæt på dig det kommer fra. Enten en af
dine egne maskiner, en af din udbyders maskiner, eller i det mindste
en der bruger samme udbyder (nogle udbydere, fx da jeg først havde
Stofa, giver mulighed for at brugerne kan se hinanden som på et
lokalnet).

Det er svært at sige hvad der sker uden at vide hvilke porte prøverne
kommer på og fra.

/L
--
Lasse Reichstein Nielsen - lrn@hotpop.com
Art D'HTML: <URL:http://www.infimum.dk/HTML/randomArtSplit.html>
'Faith without judgement merely degrades the spirit divine.'

Christian E. Lysel (22-05-2003)
Kommentar
Fra : Christian E. Lysel


Dato : 22-05-03 16:03

In article <65o33xde.fsf@hotpop.com>, Lasse Reichstein Nielsen wrote:
> Det kan tænkes. En adresse der begynder med 10 skal ikke routes på
> internettet, så det er nogen tæt på dig det kommer fra. Enten en af

Afsender adressen har ingen indflydelse på routningsbeslutningen.

Nogle ISP filtere dog RFC1918 adresser væk i deres netværk, men ikke
alle.

Nogle ISP'er bruger endda RFC1918 adresser, fx brugte Telia for år tilbage
nogle 10'er adresserum til DNS.

Lasse Reichstein Nie~ (22-05-2003)
Kommentar
Fra : Lasse Reichstein Nie~


Dato : 22-05-03 22:50

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> writes:

> In article <65o33xde.fsf@hotpop.com>, Lasse Reichstein Nielsen wrote:
> > Det kan tænkes. En adresse der begynder med 10 skal ikke routes på
> > internettet, så det er nogen tæt på dig det kommer fra. Enten en af
>
> Afsender adressen har ingen indflydelse på routningsbeslutningen.

Jeg baserer det på RFC1918 (ok, jeg læste den først i detaljer nu,
men det passer med den forståelse jeg havde):
---
Because private addresses have no global meaning, routing information
about private networks shall not be propagated on inter-enterprise
links, and packets with private source or destination addresses
should not be forwarded across such links.
---
"Skal ikke" var måske lidt kraftigt, den ordrette oversættelse af
"should not" er vel nærmere "bør ikke".

> Nogle ISP filtere dog RFC1918 adresser væk i deres netværk, men ikke
> alle.

> Nogle ISP'er bruger endda RFC1918 adresser, fx brugte Telia for år tilbage
> nogle 10'er adresserum til DNS.

De gør både TDC og Stofa stadig, så sikkert også Telia.
Stofas kabelopkobling, for et par år siden, havde folk delt op i grupper
efter type C net (192.168.x.x), og man kunne se dem i samme gruppe som på
et lokalnet.

/L
--
Lasse Reichstein Nielsen - lrn@hotpop.com
Art D'HTML: <URL:http://www.infimum.dk/HTML/randomArtSplit.html>
'Faith without judgement merely degrades the spirit divine.'

Peter Makholm (22-05-2003)
Kommentar
Fra : Peter Makholm


Dato : 22-05-03 16:46

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> writes:

> In article <65o33xde.fsf@hotpop.com>, Lasse Reichstein Nielsen wrote:
>> Det kan tænkes. En adresse der begynder med 10 skal ikke routes på
>> internettet, så det er nogen tæt på dig det kommer fra. Enten en af
>
> Afsender adressen har ingen indflydelse på routningsbeslutningen.

Det kan det nu godt have.

Eksemplevis er der mange kollegier der router på basis af om
afsenderen må bruge forskningsnettet eller ej. Der er dog også
formodentlig også noget NAT på spil.

Men ellers er, eller i har i hvert fald været, netværk hvor der var
begrænsninger på hvem man ville give lov til at sende
transittrafik. For eksempel er der vist nogle forskningsbaserede
højhastighedsnet der er lidt picky med hvem de vil lade bruge deres
dejlige tykke kabler.

Desuden er der mange routere der laver egress og igress
filtrering. For eksempel at routeren tjekker om den på baseis af
afsenderadressen ville forvente at få en pakke igennem sig. Dermed
undgås en del trans-net IP-spoofing angreb.

--
Peter Makholm | According to the hacker ethic, the meaning of life
peter@makholm.net | is not Friday, but it is not Sunday either
http://hacking.dk | -- Peeka Himanen

Christian E. Lysel (22-05-2003)
Kommentar
Fra : Christian E. Lysel


Dato : 22-05-03 16:49

In article <8765o3yogg.fsf@xyzzy.adsl.dk>, Peter Makholm wrote:
>> Afsender adressen har ingen indflydelse på routningsbeslutningen.
>
> Det kan det nu godt have.

Jeg formoder du snakker om ip filtre.
>

Kent Friis (22-05-2003)
Kommentar
Fra : Kent Friis


Dato : 22-05-03 17:02

Den Thu, 22 May 2003 15:48:41 +0000 (UTC) skrev Christian E. Lysel:
>In article <8765o3yogg.fsf@xyzzy.adsl.dk>, Peter Makholm wrote:
>>> Afsender adressen har ingen indflydelse på routningsbeslutningen.
>>
>> Det kan det nu godt have.
>
>Jeg formoder du snakker om ip filtre.

Nej.

http://lartc.org/howto/lartc.rpdb.html#LARTC.RPDB.SIMPLE

Mvh
Kent
--
6.0 FDiv 3.0 = 1.999773462873 - Intel Pentium bug

Christian E. Lysel (22-05-2003)
Kommentar
Fra : Christian E. Lysel


Dato : 22-05-03 18:29

In article <baisa4$klj$1@sunsite.dk>, Kent Friis wrote:
>>>> Afsender adressen har ingen indflydelse på routningsbeslutningen.
>>> Det kan det nu godt have.
>>Jeg formoder du snakker om ip filtre.

> Nej.
>
> http://lartc.org/howto/lartc.rpdb.html#LARTC.RPDB.SIMPLE

Policy routing hedder vel policy routing :)

Så vidt jeg huske kan IPTables markere pakke i sin TCP stak,
disse markeringer kan så indgå i routningsbeslutningen.

På cisco router er policy routing tit knyttet til access-
lister, dvs. ip filtre.





Kent Friis (22-05-2003)
Kommentar
Fra : Kent Friis


Dato : 22-05-03 19:03

Den Thu, 22 May 2003 17:29:19 +0000 (UTC) skrev Christian E. Lysel:
>In article <baisa4$klj$1@sunsite.dk>, Kent Friis wrote:
>>>>> Afsender adressen har ingen indflydelse på routningsbeslutningen.
>>>> Det kan det nu godt have.
>>>Jeg formoder du snakker om ip filtre.
>
>> Nej.
>>
>> http://lartc.org/howto/lartc.rpdb.html#LARTC.RPDB.SIMPLE
>
>Policy routing hedder vel policy routing :)
>
>Så vidt jeg huske kan IPTables markere pakke i sin TCP stak,
>disse markeringer kan så indgå i routningsbeslutningen.

Det er muligt det kan gøres på den måde, men det er ikke den måde der
er omtalt på ovenstående link. Det er kun vha. routing-tabeller.

Mvh
Kent
--
You haven't seen _multitasking_ until you've seen Doom and
Quake run side by side

Peter Makholm (22-05-2003)
Kommentar
Fra : Peter Makholm


Dato : 22-05-03 16:54

Peter Makholm <peter@makholm.net> writes:

> Desuden er der mange routere der laver egress og igress

Ok, hvis man skal bluffe så hjælper det at vide lidt om emnet. RFC2827
kalder det ingress filtering og man kan vel også diskutere om det ikke
er en firewall-teknologi. (Men jeg har ingen anelse om hvad det er jeg
fabler om)

--
Peter Makholm | If you can't do any damage as root, are you still
peter@makholm.net | really root?
http://hacking.dk | -- Derek Gladding about SELinux

Peter Makholm (22-05-2003)
Kommentar
Fra : Peter Makholm


Dato : 22-05-03 17:06

"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> writes:

> In article <8765o3yogg.fsf@xyzzy.adsl.dk>, Peter Makholm wrote:
>>> Afsender adressen har ingen indflydelse på routningsbeslutningen.
>>
>> Det kan det nu godt have.
>
> Jeg formoder du snakker om ip filtre.

Nej eksemplet med at man diskriminerer transittrafik er ganske reel og
falder i hvert fald ind under hvad jeg med min begrænset viden om
netværk vil kalde en routningsbeslutning.

--
Peter Makholm | I have no caps-lock but I must scream...
peter@makholm.net | -- Greg
http://hacking.dk |

Peter Bjerre Rosa (22-05-2003)
Kommentar
Fra : Peter Bjerre Rosa


Dato : 22-05-03 19:37

Lasse Reichstein Nielsen skrev:

> Det er svært at sige hvad der sker uden at vide hvilke porte prøverne
> kommer på og fra.

BlackICE fortæller mig, at TCP-prøverne er rettet mod port 139.

--
Mvh. Peter - http://filmsvar.dk
"Så synes jeg du stiller for høje og -kerte krav til skriftsproget."


Niels Callesøe (22-05-2003)
Kommentar
Fra : Niels Callesøe


Dato : 22-05-03 21:48

Peter Bjerre Rosa wrote:

>> Det er svært at sige hvad der sker uden at vide hvilke porte
>> prøverne kommer på og fra.
>
> BlackICE fortæller mig, at TCP-prøverne er rettet mod port 139.

Det er ganske givet en anden windows maskine på dit lokalnetværk som
prøver at snakke med dig. Den er sikkert ved at være vældig skuffet
over at du aldrig ringer.

--
Niels Callesøe - nørd light
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php

Anti spam? Bevis det. http://www.spamcon.org

Peter Bjerre Rosa (22-05-2003)
Kommentar
Fra : Peter Bjerre Rosa


Dato : 22-05-03 21:56

Niels Callesøe skrev:

> Det er ganske givet en anden windows maskine på dit lokalnetværk som
> prøver at snakke med dig.

Det spøjse er så, at der p.t. ikke er andre (tændte) maskiner på mit
lokalnetværk. Det består kun af min computer, der er koblet til en
switch, der igen er koblet til mit kabelmodem og en slukket computer.

> Den er sikkert ved at være vældig skuffet over at du aldrig ringer.

Jeg hader opkald med hemmeligt nummer.

--
Mvh. Peter - http://filmsvar.dk
"Man kan i hvert fald ikke lave en dødsstjerne eller et bælte ..."


Kent Friis (22-05-2003)
Kommentar
Fra : Kent Friis


Dato : 22-05-03 21:59

Den Thu, 22 May 2003 22:56:24 +0200 skrev Peter Bjerre Rosa:
>Niels Callesøe skrev:
>
>> Det er ganske givet en anden windows maskine på dit lokalnetværk som
>> prøver at snakke med dig.
>
>Det spøjse er så, at der p.t. ikke er andre (tændte) maskiner på mit
>lokalnetværk. Det består kun af min computer, der er koblet til en
>switch, der igen er koblet til mit kabelmodem og en slukket computer.

Så er det nok ISP'ens netværk...

>> Den er sikkert ved at være vældig skuffet over at du aldrig ringer.
>
>Jeg hader opkald med hemmeligt nummer.

Hvornår er 10.0.194.5 blevet hemmeligt nummer?

Prøv dig -x 10.0.194.5 (eller hvis du har forældede bind-tools,
nslookup), og traceroute hvis du absolut vil vide hvor nummeret hører
til.

Mvh
Kent
--
Indlæringskurven til Linux er stejl, til tider lodret... Men for katten
hvor er udsigten på toppen dog fantastisk
- Michael G. Vendelbo i dk.snak

Christian E. Lysel (22-05-2003)
Kommentar
Fra : Christian E. Lysel


Dato : 22-05-03 22:35

In article <bajdlp$bmt$1@sunsite.dk>, Kent Friis wrote:
> Så er det nok ISP'ens netværk...

Eller en host på internet.

> Prøv dig -x 10.0.194.5 (eller hvis du har forældede bind-tools,
> nslookup), og traceroute hvis du absolut vil vide hvor nummeret hører
> til.

Han kan ikke være sikker på at kunne route til adressen.

Fortæller firewallen evt. noget om IP pakkens TTL?

Du kan vha. TTL gætte dit frem til hvor mange routere der er imellem
afsenderen og maskinen.

Kaare Fiedler Christ~ (22-05-2003)
Kommentar
Fra : Kaare Fiedler Christ~


Dato : 22-05-03 21:24

"Peter Bjerre Rosa" <usenet@filmsvar.dk> writes:

> Lasse Reichstein Nielsen skrev:
>
>> Det er svært at sige hvad der sker uden at vide hvilke porte prøverne
>> kommer på og fra.
>
> BlackICE fortæller mig, at TCP-prøverne er rettet mod port 139.

Det er den port som Windows' NetBIOS ligger på.

Mit umiddelbare gæt er at det er DHCP-serveren fra din ISP der prøver
at bede om dit Windows-hostnavn. Det mener jeg mange
Windows-DHCP-servere finder på.

Omvendt er NetBIOS en af de ting der faktisk bliver angrebet, fordi
der før er fundet sikkerhedshuller - og fordi nogle brugere uhæmmet
deler hele deres drev med omverdenen pga. uvidenhed.

Hilsen
Kåre

--
Kaare Fiedler Christiansen fiedler@daimi.au.dk

2b|~2b == -1

Søg
Reklame
Statistik
Spørgsmål : 177548
Tips : 31968
Nyheder : 719565
Indlæg : 6408803
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste