Hurricane Electric

vg · Сообщение vg » 27 сен 2003, 01:37

drain bamage

а со второго взгляда может показаться, что кто-то spoof'ит ваш адрес и пытается открыть blind tcp session на 66.220.17.152:80 ... варианты разные бывают, а вы - сразу в морду

1) "...со второго взгляда может показаться..." - не может и с третьего. Обратите внимание на сокет "клиента" x.y.w.z:1009. Все пакеты, которые я привёл, являются анормальными для клиентов http. Везде клиентский порт, меньше 1023.

2) спуф здесь не причём. Здесь всем понятно, что его использование может быть различным. Например, его используют для того, что "от имени" другого выполнить исследовние ряда портов "жертвы". В этом случае, на меня ехали бы пакеты или с флагом RST , или с флагом SYN ASK, но!!! с диапазона исследуемых доступных портов хостов 66.220.17.152, 66.220.17.151. Например, с сокетов 66.220.17.152:25, ...20,....21,...23,....445 и т.д. По факту - едет только с 80-го порта.

Про использовании спуфа в данном случае для DoS американских малышей - это просто смешно при том кол-ве пакетов.
Теоретически никто не отрицает принципиальную возможность организации распределённой атаки. При этом следует предположить что "мы", например, одни из 100, кто атакует 80 порт, а есть ещё тысячи других хостов, которые вовлечены в "распределённую игру" по другим портам. Это здесь не причём. Нет на хостах 66.220.17.151 и
66.220.17.152 никаких www.

3) на хостах 66.220.17.151 и 66.220.17.152 никаких www, если только это не что-то очень и очень "клубное". Да впрочем нет потому, что нет. Почитайте. Попробуйте пролукапить форвард зону. Там PTR!!!!!!! -ресурсы (это в форварде-то) и один единственный NS - ns1.maxexp.com. Попробуйте разрешить имена хостов .151, .152, да впрочем и других. Имена Вас сильно удивят.

4) Теоретически - не отрицаю принципиальную возможность существования летучих Галандцев из-за недоучек админов. Но ни какой криворукости админов не хватит, чтобы сделать то, что сделано на тех компах и в DNS. Это невозможно.

5)

"...а вы - сразу в морду..."

- это было преувеличение.
Я мирный человек.

PS. Поэтические пункты 2,3,4 можно и не смотреть. Для специалиста достаточно п.1.

ajkj3em · Сообщение **ajkj3em** » 27 сен 2003, 09:45

vg писал(а):
PS. Поэтические пункты 2,3,4 можно и не смотреть. Для специалиста достаточно п.1.

не зная вашего точного setup'a ни один специалист на основании того, что 1009 попадает в reserved range, тут вам ничего не скажет.

vg · Сообщение vg » 27 сен 2003, 16:02

drain bamage:

не зная вашего точного setup'a ни один специалист на основании того, что 1009 попадает в reserved range, тут вам ничего не скажет.

1) Скажет. Простите, но Вы видели такие конфигурации клиентов http или TCP хоста в целом, о которых говорите ?

2) Скажет. Пакеты, которые я привёл - это вторые пакеты хенд-шейка.
Это подразумевает, что должны были "первые" SYN-пакеты с хостов нашей сетки. Не было таких пакетов. Мы бы придушили гада сразу.

3) В продолжении темы спуффинга. Я вот здесь себя поймал на мысле -ведь ни один приличный админ не "выпустит" из своей сетки пакеты, не принадлежащие его сетке (rfc 2827). Не было никакого спуфа, думаю.

PS. Мне кажется, что тема топика уже исчерпала себя, и если Вы не возражаете, то я бы попросил Marmot-a, или закрыть её, или удалить (что лучше).