---

Af og til oplever jeg at min firewall (sygate) rapportere om gentagne
angreb fra et givet IP#. Gider man melde det til abuse adressen ?
Og en bactrace med whois giver så vidt jeg kan se, ikke nok oplysninger
til at man kan gøre det ( ikke aktuelle IP#, tidspunkter osv). Hvordan
gør man egentlig ?
--
Med venlig hilsen, Ole Larsen.
15.01.05: 12 nyeste fotografiske billeder på:
http://home.tiscali.dk/muggler/Nyeste/index.htm

---

"Ole" <olenospam@nospam.dk> skrev i en meddelelse
news:4208cf62$0$145$edfadb0f@dread11.news.tele.dk...
> Af og til oplever jeg at min firewall (sygate) rapportere om gentagne
> angreb fra et givet IP#. Gider man melde det til abuse adressen ?
> Og en bactrace med whois giver så vidt jeg kan se, ikke nok oplysninger
> til at man kan gøre det ( ikke aktuelle IP#, tidspunkter osv). Hvordan gør
> man egentlig ?
> --
> Med venlig hilsen, Ole Larsen.
> 15.01.05: 12 nyeste fotografiske billeder på:
> http://home.tiscali.dk/muggler/Nyeste/index.htm

Jeg ved ikke så meget om det.... Men jeg bruger nogle gange www.ripe.net til
at undersøge IP'er(Sikkert det samme WHOIS katalog som du nævner).
Der findes info om abuse - måske du kan blive klogere dér...

Jeg kender ikke noget til hvor meget "bevis" man skal have for at anmelde
noget...

_____________________________________________________________
Mvh. MartinHN

www.shareholdersunited.org

---

On 2005-02-08, Martin Høst Normark <mhn@jydepost.dk> wrote:
> Jeg kender ikke noget til hvor meget "bevis" man skal have for at anmelde
> noget...

Intet, men for at faa folk doemt, skal du have en paen portion. Har
anklagede en god advokat, skal du ogsaa vide en masse om haandtering af
beviser. Jeg har oplevet flere eksempler paa panikhandlinger, der smadrer
al trovaerdighed omkring de givne beviser.
--
Rumour is information distilled so finely that it can filter through
anything.
-- (Terry Pratchett, Feet of Clay)

---

"Ole" <olenospam@nospam.dk> skrev i en meddelelse
news:4208cf62$0$145$edfadb0f@dread11.news.tele.dk...
> Af og til oplever jeg at min firewall (sygate) rapportere om gentagne
> angreb fra et givet IP#. Gider man melde det til abuse adressen ?
> Og en bactrace med whois giver så vidt jeg kan se, ikke nok oplysninger
> til at man kan gøre det ( ikke aktuelle IP#, tidspunkter osv). Hvordan
> gør man egentlig ?
> --
> Med venlig hilsen, Ole Larsen.
> 15.01.05: 12 nyeste fotografiske billeder på:
> http://home.tiscali.dk/muggler/Nyeste/index.htm

Det er relativt nemt du skal blot tage stillinge til hvilken type "angreb"
der er tale om - portscan, tojan, virus og anmelde det hele på
https://www.cert.dk/anmeldelsesblanket så ordner de resten.

/Banditten

---

On 2005-02-08, Banditten <nomail@nomail.com> wrote:
> Det er relativt nemt du skal blot tage stillinge til hvilken type "angreb"
> der er tale om - portscan, tojan, virus og anmelde det hele på
> https://www.cert.dk/anmeldelsesblanket så ordner de resten.

Jeg haaber godt nok, at du ikke spilder CERTs (og dermed vi andres) tid
med at anmelde portscanninger og virus.

Mvh. Michael.
--
Rumour is information distilled so finely that it can filter through
anything.
-- (Terry Pratchett, Feet of Clay)

---

Den Tue, 08 Feb 2005 15:40:39 +0100 skrev Ole:
> Af og til oplever jeg at min firewall (sygate) rapportere om gentagne
> angreb fra et givet IP#. Gider man melde det til abuse adressen ?
> Og en bactrace med whois giver så vidt jeg kan se, ikke nok oplysninger
> til at man kan gøre det ( ikke aktuelle IP#, tidspunkter osv). Hvordan
> gør man egentlig ?

99% af det du ser er sandsynligvis tilfældig støj. Fx har Windows-
maskiner en irriterende mani med at sende SMB-pakker til alle der
kommunikerer med dem, hvis der er den mindste fejl i deres DNS-
konfiguration.

En endnu større del af støjen kommer fra gamle connections, hvis
du har dynamisk IP, fra connections ham der havde IP'en før ikke har
fået lukket rigtigt, hvorved modtageren tror han stadig er der. Og hvis
du har statisk IP, og har haft maskinen genstartet fornylig, kan det
være dit eget gamle trafik, programmer husker nemlig ikke når man
starter dem op igen hvilke connections de havde før, de åbner bare
nogen nye.

Hvis du ikke kan se forskel, synes jeg ikke du skal klage til diverse
abuse-adresser, for det første har de i forvejen alt for travlt til
også at sidde og sortere støj fra relevant trafik, og for det andet
er det langt fra alle ISP'ers abuse-afdelinger der er kompetente. En
klage der er baseret på "støj" kan derfor resultere i at en uskyldig
person mister sin internet-forbindelse.

Og til slut: Når din firewall rapporterer om et angreb, så fortæller den
dig at den har *forhindret* et angreb. Så hvis der rent faktisk var tale
om et rigtigt angreb og ikke blot støj, så betyder det ikke noget, for
det har jo ingen skade gjort. Og selv hvis du ikke havde haft din
sygate, er det stadig ikke sikkert at det ville have gjort nogen skade,
det kommer an på om du har det program kørende som angrebet var
rettet imod. Et angreb mod Internet Information Server gør ingen skade
på en Apache server, og et angreb mod Solaris rlogin gør ingen skade
på en Windows XP maskine.

Jeg anbefaler derfor at slå den rapportering fra, den er slet ikke
beregnet til at foretage anmeldelser udfra, den er beregnet til at
vise dig at din Sygate er åh så vigtig, så du ikke tør undvære
programmet.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Takker for svarene. De er fyldestgørende

--
Med venlig hilsen, Ole Larsen.
15.01.05: 12 nyeste fotografiske billeder på:
http://home.tiscali.dk/muggler/Nyeste/index.htm

---

Kent Friis wrote:

> 99% af det du ser er sandsynligvis tilfældig støj. Fx har Windows-
> maskiner en irriterende mani med at sende SMB-pakker til alle der
> kommunikerer med dem, hvis der er den mindste fejl i deres DNS-
> konfiguration.

Tror du ikke nærmere, der er tale om en hob af inficerede maskiner?
Jeg får f.eks 2-3 'angrebsforsøg'[1] i minuttet fra alle mulige IP'er.
Der er dog en del fra 84.164.x.x - adresser.

[1] Port 135,139,445

--
Med venlig hilsen
Stig Johansen

---

Den Tue, 08 Feb 2005 23:36:16 +0100 skrev Stig Johansen:
> Kent Friis wrote:
>
>> 99% af det du ser er sandsynligvis tilfældig støj. Fx har Windows-
>> maskiner en irriterende mani med at sende SMB-pakker til alle der
>> kommunikerer med dem, hvis der er den mindste fejl i deres DNS-
>> konfiguration.
>
> Tror du ikke nærmere, der er tale om en hob af inficerede maskiner?
> Jeg får f.eks 2-3 'angrebsforsøg'[1] i minuttet fra alle mulige IP'er.
> Der er dog en del fra 84.164.x.x - adresser.
>
> [1] Port 135,139,445

Det er SMB-portene, så det kan sagtens være Windows-maskiner.

Dengang jeg havde problemer med den slags i log'en (inden jeg satte
den til ikke at logge det den afviser) var det vores interne
mailserver, og jeg er ret sikker på den ikke var inficeret.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis wrote:

> Det er SMB-portene, så det kan sagtens være Windows-maskiner.

Netop - er det ikke dem, der bliver brugt til Blaster,Sasser og hvad de nu
hedder?

> Dengang jeg havde problemer med den slags i log'en (inden jeg satte
> den til ikke at logge det den afviser) var det vores interne
> mailserver, og jeg er ret sikker på den ikke var inficeret.

Nu skulle det ikke forstås som 'problemer' med loggen. Pointen var, at der
er en del /forskillige/ IP adresser.
Det skal lige nævnes, at jeg til enhver tid kun lige har logdata for ca. 1
times tid (200 entries), men jeg kigger på den en gang imellem i
forbindelse med, eksempelvis denne tråd, så faktuelle data kan jeg ikke
give.

Budskabet med bla. 80.164.x.x - adresserne er, at der formentlig er tale om
bredbånd fra TDC.

Det jeg frygter (ikke mig, men på vegne brugerne) er, at der er en /ret/
stor mængde inficerede maskiner rundt omkring.

Nu kender jeg ikke så meget til WinXP, men et interessant spørgsmål kunne
være:
Hvad sker der hvis man opdaterer/patcher sin WinXP *efter* den er inficeret?
Bliver det opdaget?
Sidder man og tror, at man er sikker, mens der i virkeligheden ligger en
(uopdaget) trojaner?

--
Med venlig hilsen
Stig Johansen

---

Den Wed, 09 Feb 2005 06:37:03 +0100 skrev Stig Johansen:
> Kent Friis wrote:
>
>> Det er SMB-portene, så det kan sagtens være Windows-maskiner.
>
> Netop - er det ikke dem, der bliver brugt til Blaster,Sasser og hvad de nu
> hedder?

Det kan være begge dele, jeg konstaterer blot at det sagtens *kan* være
Windows-maskiner der leder efter "venner".

>> Dengang jeg havde problemer med den slags i log'en (inden jeg satte
>> den til ikke at logge det den afviser) var det vores interne
>> mailserver, og jeg er ret sikker på den ikke var inficeret.
>
> Nu skulle det ikke forstås som 'problemer' med loggen. Pointen var, at der
> er en del /forskillige/ IP adresser.
> Det skal lige nævnes, at jeg til enhver tid kun lige har logdata for ca. 1
> times tid (200 entries), men jeg kigger på den en gang imellem i
> forbindelse med, eksempelvis denne tråd, så faktuelle data kan jeg ikke
> give.
>
> Budskabet med bla. 80.164.x.x - adresserne er, at der formentlig er tale om
> bredbånd fra TDC.

Det er samme net som du selv poster fra - det kunne være windows-
maskiner der tror det er deres subnet (og sådan som visse ISP'er router,
kan det egentlig ikke overraske. Jeg får fx en /24 tildelt fra Tele2's
DHCP-server, men jeg har sg* kun et IP-nummer).

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

On 2005-02-09, Kent Friis <nospam@nospam.invalid> wrote:
>
> Det er samme net som du selv poster fra - det kunne være windows-
> maskiner der tror det er deres subnet (og sådan som visse ISP'er router,
> kan det egentlig ikke overraske. Jeg får fx en /24 tildelt fra Tele2's
> DHCP-server, men jeg har sg* kun et IP-nummer).

Og hvad så? En PC på et ethernet kan også nøjes med en IP selvom den er
i en /24.

--
Andreas

---

Den Wed, 9 Feb 2005 17:13:41 +0000 (UTC) skrev Andreas Plesner Jacobsen:
> On 2005-02-09, Kent Friis <nospam@nospam.invalid> wrote:
>>
>> Det er samme net som du selv poster fra - det kunne være windows-
>> maskiner der tror det er deres subnet (og sådan som visse ISP'er router,
>> kan det egentlig ikke overraske. Jeg får fx en /24 tildelt fra Tele2's
>> DHCP-server, men jeg har sg* kun et IP-nummer).
>
> Og hvad så? En PC på et ethernet kan også nøjes med en IP selvom den er
> i en /24.

Ja, men den er på en ADSL, og du kan være helt sikker på at de ikke
spilder 252 IP-numre per ADSL-forbindelse.

Dvs. der er mange andre PC'er på samme subnet, og enten kan disse ikke
kontaktes, eller også bruger de proxy-arp, hvilket betyder at hvis
en maskine forsøger at kontakte de andre maskiner på samme subnet,
så er det faktisk en række tilfældige personer der sidder og får
underlige beskeder på deres firewalls.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

On 2005-02-09, Kent Friis <nospam@nospam.invalid> wrote:
>>>
>>> Det er samme net som du selv poster fra - det kunne være windows-
>>> maskiner der tror det er deres subnet (og sådan som visse ISP'er router,
>>> kan det egentlig ikke overraske. Jeg får fx en /24 tildelt fra Tele2's
>>> DHCP-server, men jeg har sg* kun et IP-nummer).
>>
>> Og hvad så? En PC på et ethernet kan også nøjes med en IP selvom den er
>> i en /24.
>
> Ja, men den er på en ADSL, og du kan være helt sikker på at de ikke
> spilder 252 IP-numre per ADSL-forbindelse.

Og? En ADSL-forbindelse kan sagtens være en del af et broadcast-domæne -
det giver ihvertfald langt mere mening end at den er en /30 for sig
selv, da du så skal bruge 4 adresser pr kunde.

> Dvs. der er mange andre PC'er på samme subnet, og enten kan disse ikke
> kontaktes, eller også bruger de proxy-arp,

Hvorfor skulle de ikke kunne kontaktes; hvis de reelt ER en del af det
samme broadcast-domæne er der ikke noget til hinder for dette.

> hvilket betyder at hvis
> en maskine forsøger at kontakte de andre maskiner på samme subnet,
> så er det faktisk en række tilfældige personer der sidder og får
> underlige beskeder på deres firewalls.

Det lyder som et applikationsproblem, ikke et netværksproblem.

--
Andreas

---

Den Wed, 9 Feb 2005 19:16:26 +0000 (UTC) skrev Andreas Plesner Jacobsen:
> On 2005-02-09, Kent Friis <nospam@nospam.invalid> wrote:
>>>>
>>>> Det er samme net som du selv poster fra - det kunne være windows-
>>>> maskiner der tror det er deres subnet (og sådan som visse ISP'er router,
>>>> kan det egentlig ikke overraske. Jeg får fx en /24 tildelt fra Tele2's
>>>> DHCP-server, men jeg har sg* kun et IP-nummer).
>>>
>>> Og hvad så? En PC på et ethernet kan også nøjes med en IP selvom den er
>>> i en /24.
>>
>> Ja, men den er på en ADSL, og du kan være helt sikker på at de ikke
>> spilder 252 IP-numre per ADSL-forbindelse.
>
> Og? En ADSL-forbindelse kan sagtens være en del af et broadcast-domæne -
> det giver ihvertfald langt mere mening end at den er en /30 for sig
> selv, da du så skal bruge 4 adresser pr kunde.

Ved nærmere eftersyn er det en /19 og ikke en /24, så det er endnu
værre. Personligt ville jeg foretrække:

ipconfig eth1 12.34.56.78 pointopoint 12.34.56.01

Det giver ingen spildte IP-adresser, og ikke noget hokus-pokus. Jeg
har bare ikke set andet end Linux-maskiner der kunne det trick, vores
Cisco-mand på arbejdet mente i hvert fald ikke at Cisco'er kan.

>> Dvs. der er mange andre PC'er på samme subnet, og enten kan disse ikke
>> kontaktes, eller også bruger de proxy-arp,
>
> Hvorfor skulle de ikke kunne kontaktes; hvis de reelt ER en del af det
> samme broadcast-domæne er der ikke noget til hinder for dette.

Det håber jeg sg* ikke den dag en eller anden begynder at flood-
pinge broadcast-adressen.

Jeg mener iøvrigt heller ikke jeg ser broadcast-trafik udover hvad
der kommer fra gateway'en til min PC, men det er godt nok ved at
være et stykke tid siden jeg har haft ethereal kørende uden filter.

>> hvilket betyder at hvis
>> en maskine forsøger at kontakte de andre maskiner på samme subnet,
>> så er det faktisk en række tilfældige personer der sidder og får
>> underlige beskeder på deres firewalls.
>
> Det lyder som et applikationsproblem, ikke et netværksproblem.

Det er et netværksproblem i den forstand at netværkes-opsætningen
fortæller applikationen en ting der ikke har hold i virkeligheden.

Nu er vi endda i dk.edb.sikkerhed, hvor det før har været nævnt
at diverse personlige firewalls kigger på netmasken for at se
hvilke IP-numre der er LAN, og så ikke filtrerer trafik til/fra
disse. Endnu et problem skabt af denne tåbelige opsætning.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis <nospam@nospam.invalid> writes:
>Nu er vi endda i dk.edb.sikkerhed, hvor det før har været nævnt
>at diverse personlige firewalls kigger på netmasken for at se
>hvilke IP-numre der er LAN, og så ikke filtrerer trafik til/fra
>disse. Endnu et problem skabt af denne tåbelige opsætning.

Hvis en firewalls udgangspunkt er, at "LAN er sikkert", så
vil jeg nok tillægge hele produktet en tillid omkring 0. I
praksis betyder det jo også, at den kalder netværket på en
konference for scriptkiddies for "sikkert". Og universitets
netværk. Og den trådløse netadgang på McDonalds.

ADSL er jo ikke det eneste medie, der benytter broadcast
domains på tværs af kunder. Det gør praktisk talt alle
leverandører efterhånden; ja, de fleste dialin-opsætninger
var (og er stadig) baseret på det.

I forhold til firewalls er der selvfølgelig forskel på
LAN og dialin, men set fra et IP-mæssigt synspunkt har
intet ændret sig. Det skyldes basalt set, at der ikke
findes en autoriseret løsning på problemet: hvis man
skal overholde specifikationen, kan man ikke lave et
netværk, der består af én koncentrator og 1.000+
kunder, der hver får én adresse OG deres eget subnet at
leve i.

Eller, det kan man sådan set godt. Men folk vil nok
larme en del, hvis de pludselig får en RFC1918-IP. De
larmer nok også lige så meget, hvis de får deres helt
eget IPv6-net.

Mvh.
   Klaus.

---

Den Thu, 10 Feb 2005 05:34:26 +0000 (UTC) skrev Klaus Ellegaard:
> Kent Friis <nospam@nospam.invalid> writes:
>>Nu er vi endda i dk.edb.sikkerhed, hvor det før har været nævnt
>>at diverse personlige firewalls kigger på netmasken for at se
>>hvilke IP-numre der er LAN, og så ikke filtrerer trafik til/fra
>>disse. Endnu et problem skabt af denne tåbelige opsætning.
>
> Hvis en firewalls udgangspunkt er, at "LAN er sikkert", så
> vil jeg nok tillægge hele produktet en tillid omkring 0.

Jeg snakker om *personlige* firewalls... Behøver jeg sige mere?

Dem der startede med at give en masse alarmer om "hackingforsøg"
med afsenderport 53, og hostnames der ofte inkluderede ns1, ns2
osv. Dem som løste det problem ved at whiteliste al trafik med
afsenderport 53. Dem som forhindrede folk i at tilslutte deres
netværks-printere, fordi firewall'en blokerede for dem.

Hvis man skal lave en "firewall", der ikke skal konfigureres, og
ikke giver kunden problemer, er man jo nødt til at have visse
ting åbne.

Med andre ord: Det er ikke muligt at lave en sådan firewall, og
samtidig have et sikkert produkt. Men der er konstant nogen der
prøver.

Jeg nævner ingen navne, for jeg ved ikke nok til at sige hvilke
der har det problem (og hvilke der har det omvendte: "min printer
virker kun når jeg slukker min firewall"), men jeg har fået indtryk
af - her i gruppen - at det er en af de løsninger der har været
forsøgt. Det er dog muligt jeg husker forkert - detaljer om ZA & co
er ikke det der er prioriteret højest i mit hoved

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

Kent Friis <nospam@nospam.invalid> writes:
>> Hvis en firewalls udgangspunkt er, at "LAN er sikkert", så
>> vil jeg nok tillægge hele produktet en tillid omkring 0.
>
>Jeg snakker om *personlige* firewalls... Behøver jeg sige mere?

Nejda - jeg undrede mig bare over, at du drog dem ind i
problemstillingen. Vi er vist enige om, at personlige
firewalls er falsk sikkerhed på højeste plan, så om de
tror det ene eller det andet om LANs sikkerhed i al
almindelighed, gør ikke rigtig nogen forskel.

Min pointe var egentlig også mere, at store broadcast
domains på ADSL ikke er nyt. Det har været sådan for
praktisk talt alle Internet-opkoblinger siden den slags
blev opfundet.

Det eneste "nye" er, at nettet er blevet mere fjendtligt
inden for de seneste 3-4 års tid.

Mvh.
   Klaus.

---

"Andreas" == Andreas Plesner Jacobsen <apj@daarligstil.dk> writes:

> On 2005-02-09, Kent Friis <nospam@nospam.invalid> wrote:

>> Ja, men den er på en ADSL, og du kan være helt sikker på at de ikke
>> spilder 252 IP-numre per ADSL-forbindelse.

> Og? En ADSL-forbindelse kan sagtens være en del af et
> broadcast-domæne - det giver ihvertfald langt mere mening end at den
> er en /30 for sig selv, da du så skal bruge 4 adresser pr kunde.

Pro@ccess ADSL fra TDC er en /30. Dengang jeg var TDC kunde var fast
IP et tilkøb. Når man bestilte det, fik man et fint brev med den faste
IP adresse, herunder den tilhørende "broadcast" IP på segmentet.

--
/Wegge <http://wiki.wegge.dk>
echo mail: !#^."<>"|tr "<> mail:" dk@wegge
mailto:awegge@gmail.com - Invitationer på FCFS basis

---

On 09 Feb 2005 15:48:09 GMT, Kent Friis <nospam@nospam.invalid> wrote:

>Det er samme net som du selv poster fra - det kunne være windows-
>maskiner der tror det er deres subnet (og sådan som visse ISP'er router,
>kan det egentlig ikke overraske. Jeg får fx en /24 tildelt fra Tele2's
>DHCP-server, men jeg har sg* kun et IP-nummer).

Mere realistisk er det en orm, der i stedet for at gætte på en helt
tilfældig IP-adresse (som de første orme gjorde) laver en vægtet
sandsynlighed med 25% sandsynlighed for at vælge en IP-adresse i samme
/24-net, 25% sandsynlighed for at vælge en IP-adresse i samme /16-net,
25% sandsynlighed for at vælge en IP-adresse i samme /8-net og 25%
sandsynlighed for at poste til en øvrig IP-adresse.

Vægtningen kan godt være anderledes, men ideen er at sikre en
hurtigere udbredelse ved at antage, at man oftest og hurtigst kan
kontakte en IP-adresse, der ligger nær én selv, end én, der ligger
langt væk. Vel er der tusindevis af undtagelser til dette, men hvis
alternativet er at gætte på en tilfældig IP-adresse, så er det
sandsynligvis en yderst effektiv metode.

--
- Peter Brodersen

---

Kent Friis wrote:

> Det er samme net som du selv poster fra - det kunne være windows-
> maskiner der tror det er deres subnet

Njahnej, det tvivler jeg på. Jeg har fast IP, så jeg sidder vel på mit
'eget' /30 subnet?

--
Med venlig hilsen
Stig Johansen

---

On 2005-02-09, Stig Johansen <> wrote:
>
>> Det er samme net som du selv poster fra - det kunne være windows-
>> maskiner der tror det er deres subnet
>
> Njahnej, det tvivler jeg på. Jeg har fast IP, så jeg sidder vel på mit
> 'eget' /30 subnet?

Ikke nødvendigvis. TDC producerer fx fast IP på nogle produkter på
nøjagtig samme måde som dynamisk IP, altså en DHCP-server og et større
subnet at dele ud fra.

--
Andreas

---

Andreas Plesner Jacobsen wrote:

> Ikke nødvendigvis. TDC producerer fx fast IP på nogle produkter på
> nøjagtig samme måde som dynamisk IP, altså en DHCP-server og et større
> subnet at dele ud fra.

Jeg skrev det lidt blødt, for jeg kan ikke lige finde mine data fra TDC.
Men jeg har en pro@ccess forbindelse med fast IP - sådan en hvor jeg har IP
80.164.154.94, subnet 255.255.255.252 med default gateway mod
80.164.154.93.
Det burde være rimelig adskilt fra andre subnets.


--
Med venlig hilsen
Stig Johansen