/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
KaZaA - underlige
Fra : Claus E. Petersen


Dato : 19-04-02 23:08

Hejsan derude.

Jeg undrer mig lidt.

Jeg har 2 subnets (192.168.1.0/192.168.2.0) (og en linuxbox (redhat 7.2) der
agerer firewall/router i midten som 192.168.1.1 og 192.168.2.1).
Jeg har KaZaA kørende på 192.168.1.10 (Win2K) og en enkelt linux-box
192.168.2.2 (Redhat 7.1)
Det der undrer mig er at der bliver sendt pakker fra 192.168.1.10 til
ikke-eksisterende adresser på subnet 192.168.2.0

Er der nogen der kan forklare hvorfor der bliver sendt tcp-pakker til
ikke-eksisterende addresser på mit net ?

Pakkerne som bliver opsamlet af iptables ser typisk således ud (sat på linie
af hensyn til overskuelighed):

Apr 19 23:53:39 tleilax kernel: HACK-BOX:
IN=eth1
OUT=eth2
SRC=192.168.1.10
DST=192.168.2.35 (ikke eksisterende ip (min kommentar))
LEN=48
TOS=0x00
PREC=0x00
TTL=127
ID=16226
DF
PROTO=TCP
SPT=1998
DPT=1214
WINDOW=16384
RES=0x00
SYN
URGP=0

mvh
Claus E. Petersen






 
 
Claus E. Petersen (19-04-2002)
Kommentar
Fra : Claus E. Petersen


Dato : 19-04-02 23:18

Jeg bør måske lige understrege at "HACK-BOX" ikke er udtryk for at jeg
udvikler virus/trojans men at det er regel som jeg har defineret for
"suspekte" maskiner på mit net.

- cep

"Claus E. Petersen" <REMOVEc.e.petersen@mail.dk> wrote in message
news:3cc0954f$0$224$edfadb0f@dspool01.news.tele.dk...
> Hejsan derude.
>
> Jeg undrer mig lidt.
>
> Jeg har 2 subnets (192.168.1.0/192.168.2.0) (og en linuxbox (redhat 7.2)
der
> agerer firewall/router i midten som 192.168.1.1 og 192.168.2.1).
> Jeg har KaZaA kørende på 192.168.1.10 (Win2K) og en enkelt linux-box
> 192.168.2.2 (Redhat 7.1)
> Det der undrer mig er at der bliver sendt pakker fra 192.168.1.10 til
> ikke-eksisterende adresser på subnet 192.168.2.0
>
> Er der nogen der kan forklare hvorfor der bliver sendt tcp-pakker til
> ikke-eksisterende addresser på mit net ?
>
> Pakkerne som bliver opsamlet af iptables ser typisk således ud (sat på
linie
> af hensyn til overskuelighed):
>
> Apr 19 23:53:39 tleilax kernel: HACK-BOX:
> IN=eth1
> OUT=eth2
> SRC=192.168.1.10
> DST=192.168.2.35 (ikke eksisterende ip (min kommentar))
> LEN=48
> TOS=0x00
> PREC=0x00
> TTL=127
> ID=16226
> DF
> PROTO=TCP
> SPT=1998
> DPT=1214
> WINDOW=16384
> RES=0x00
> SYN
> URGP=0
>
> mvh
> Claus E. Petersen
>
>
>
>
>



Kim Greve (26-04-2002)
Kommentar
Fra : Kim Greve


Dato : 26-04-02 23:01

"Claus E. Petersen" <REMOVEc.e.petersen@mail.dk> skrev i en meddelelse news:3cc0954f$0$224$edfadb0f@dspool01.news.tele.dk...
> Hejsan derude.
>
> Jeg undrer mig lidt.
>
> Jeg har 2 subnets (192.168.1.0/192.168.2.0) (og en linuxbox (redhat 7.2) der
> agerer firewall/router i midten som 192.168.1.1 og 192.168.2.1).
> Jeg har KaZaA kørende på 192.168.1.10 (Win2K) og en enkelt linux-box
> 192.168.2.2 (Redhat 7.1)
> Det der undrer mig er at der bliver sendt pakker fra 192.168.1.10 til
> ikke-eksisterende adresser på subnet 192.168.2.0

Hvorfor der er noget der prøver at sende pakker til et ikke eksisterende subnet, kan jeg ikke svare dig på, men min første tanke er at noget af den spyware der er i Kazaa prøver at "komme ud" (eller er det ind?)


--
Kim Greve


Zilly ink (27-04-2002)
Kommentar
Fra : Zilly ink


Dato : 27-04-02 08:29

Kim Greve wrote:
> Hvorfor der er noget der prøver at sende pakker til et ikke
> eksisterende subnet, kan jeg ikke svare dig på, men min første tanke
> er at noget af den spyware der er i Kazaa prøver at "komme ud" (eller
> er det ind?)

Jeg kørte for nogen tid siden en lille "spytest" på Kazaa med Ad-ware.
Jeg fandt over 40 små sladrehanke.

Så ukendt trafik er helt reelt en mulighed qua Kazaa´s design.

--
Regards

Zillyink.
Remove: 123 from @



Kim Greve (01-05-2002)
Kommentar
Fra : Kim Greve


Dato : 01-05-02 19:00

"Zilly ink" <zilly123ink@hotmail.com> skrev i en meddelelse news:3cca5321$0$61952$edfadb0f@dspool01.news.tele.dk...
> Kim Greve wrote:
> > Hvorfor der er noget der prøver at sende pakker til et ikke
> > eksisterende subnet, kan jeg ikke svare dig på, men min første tanke
> > er at noget af den spyware der er i Kazaa prøver at "komme ud" (eller
> > er det ind?)
>
> Jeg kørte for nogen tid siden en lille "spytest" på Kazaa med Ad-ware.
> Jeg fandt over 40 små sladrehanke.
>
> Så ukendt trafik er helt reelt en mulighed qua Kazaa´s design.
>

Brug KaZaa Lite i stedet for, den indeholder ikke spyware.

----
Kim Greve.



Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408929
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste