|
| SMC Barricade / Sikkerhedslog Fra : Ukendt |
Dato : 15-09-03 21:08 |
|
Følgende lakoniske linje er fra log'en på min router, en SMC Barricade
7004ABR:
2003/09/15 18:24:02 ** IP Spoofing ** <IP/UDP> 192.168.2.40:1028 ->>
80.62.43.246:137
Jeg har to pc'er tilsluttet routeren, den ene med en fast IP uden for
routerens DHCP-servers adresseområde (...20-40), den anden med en fast lease
på 192.168.2.29, som kører på DHCP-serveren. Derfor undrer jeg mig ... jeg
har ALDRIG haft en computer kørende på 192.168.2.40 - så min umiddelbare
konklusion er, at jeg har haft uønskede gæster. Nogen der kan greje, om den
konklusion er den rette ?
Dertil skal siges, at da jeg tjekkede loggen havde DHCP-serveren en klient
kørende på 192.168.2.29, på trods af, at den eneste tændte maskine i huset
var den med den faste IP. Maskinen på den adresse havde godt nok det rigtige
Hostname, men jeg havde ikke umiddelbart mulighed for at tjekke, om
MAC-adressen var den rigtige (men hvis nogen har haft held/dygtighed til at
hacke sig ind ind med det rigtige Hostname, så er det vel en smal sag at
klone MAC-adressen?).
(Jeg stoppede DHCP-serveren og smed klienten af.)
Bør jeg gå i panik?
Vh og på forhånd tak, Ole.
| |
Kent Friis (16-09-2003)
| Kommentar Fra : Kent Friis |
Dato : 16-09-03 18:31 |
|
Den Mon, 15 Sep 2003 22:07:55 +0200 skrev Ole Sanvig Knudsen:
>Følgende lakoniske linje er fra log'en på min router, en SMC Barricade
>7004ABR:
>
>2003/09/15 18:24:02 ** IP Spoofing ** <IP/UDP> 192.168.2.40:1028 ->>
>80.62.43.246:137
Din router forsøger at fortælle dig at nogen sender pakker som om de
sidder på 192.168.2.40, men det ved routeren godt at de ikke gør, for
pakken kom ude fra internettet, hvor det nummer ikke er gyldigt.
Det er sikkert bare en fejl, men det kunne teoretisk også være en der
forsøgte at snige pakken forbi et dårligt konfigureret filter.
>Jeg har to pc'er tilsluttet routeren, den ene med en fast IP uden for
>routerens DHCP-servers adresseområde (...20-40), den anden med en fast lease
>på 192.168.2.29, som kører på DHCP-serveren. Derfor undrer jeg mig ... jeg
>har ALDRIG haft en computer kørende på 192.168.2.40 - så min umiddelbare
>konklusion er, at jeg har haft uønskede gæster. Nogen der kan greje, om den
>konklusion er den rette ?
Nej, der er bare andre end dig der har brugt 192.168.2.x netværket.
>Dertil skal siges, at da jeg tjekkede loggen havde DHCP-serveren en klient
>kørende på 192.168.2.29, på trods af, at den eneste tændte maskine i huset
>var den med den faste IP.
En DHCP-server deler ip-numre ud for en periode, default er typisk 24
timer.
>Bør jeg gå i panik?
DON'T PANIC.
Mvh
Kent
--
Which one is faster - Lotus Notes or Lotus Esprit?
| |
|
|