From: Burak DAYIOGLU (burak.dayioglu@pro-g.com.tr)
Date: Wed 01 Oct 2003 - 01:28:51 EDT
Merhaba,
Dun listedeki onerimin arkasindan Deniz Hoca bir snoop kaydini bana
gonderdi. Kayit toplam 267s sureli alinmis ve icerisinde cok benzer
toplam 28 paket vardi.
Tum paketler 127.0.0.1:80'den bir yerel agdaki farkli IP adreslerine
giden RST-ACK paketleriydi. Kayit tutulan sure boyunca hic paket
gonderilmeden donuste "baglantiyi kabul etmiyorum" anlamina gelen
RST-ACK'ler donuyor.
Tum Ethernet cercevelerinin gondericisi ayni ve MAC adresi
73:32:70:31:63:30. Bu MAC adresi, sniffer'in izledigi agdaki ag gecidine
mi ait bilmiyorum, eger degilse soruna neden olan sistem bu sistem
olmali...
Tum IP paketlerinin TTL'leri 124 iken gozlenmis. Default TTL'ler
genellikle 2^n biciminde seciliyor bu nedenle gondericinin default
TTL'inin 128 oldugunu tahmin ediyorum. Eger MAC adresinden bir sonuc
cikmazsa 4 hop uzaklikta bir sistemde problem oldugunu dusunuyorum.
Default TTL'in 128 oldugu sistemler, p0f imzalarinda agirlikli Windows
turevleri olarak gorunuyorlar. Paketlerin gondericisi cok yuksek
olasilikla bir Windows web server olmali...
Third-party-effect olma olasiligi da yuksek ama bu paketler daha
fazla bilgi vermiyor.
Ben paketleri daha fazla yorumlayamiyorum. Umarim bu ipuclari Deniz
Hoca'nin cozum uretmesinde yardimci olur...
selamlar, iyi calismalar.
-- Burak DAYIOGLU Danisman, Pro-G Bilisim Guvenligi ve Arastirma Ltd. http://www.pro-g.com.tr info@pro-g.com.tr Tel: +90 312 2101494 Faks: +90 312 2101493