[linux-guvenlik] Re: 127.0.0.1'den gelen trafik

• Previous message: Oguz ARDUC: "[linux-guvenlik] Re: SECUR> SECURITY: Linux fights off worms (fwd)"
• In reply to: Burak DAYIOGLU: "[linux-guvenlik] 127.0.0.1'den gelen trafik"
• Next in thread: Burak DAYIOGLU: "[linux-guvenlik] Re: 127.0.0.1'den gelen trafik"

Unicast MAC adresleri 0 ile baslamali diye biliyorum, MAC adresi oldukca
ilginc boyle bir MAC adresine sahip degiliz. Sniffer ciktilarini aldigim
makineden 4 hop uzaklikta TT networku bulunuyor. Sonuc olarak ISP router'I
uzerinde anti-spoofing ayarlari yapilarak paketlerin gelmesini engelledik.

Saygilar.

-----Original Message-----
From: linux-guvenlik-bounce@liste.linux.org.tr
[mailto:linux-guvenlik-bounce@liste.linux.org.tr]On Behalf Of Burak DAYIOGLU
Sent: Wednesday, October 01, 2003 8:29 AM
To: linux-guvenlik@linux.org.tr
Subject: [linux-guvenlik] 127.0.0.1'den gelen trafik

Merhaba,
Dun listedeki onerimin arkasindan Deniz Hoca bir snoop kaydini bana
gonderdi. Kayit toplam 267s sureli alinmis ve icerisinde cok benzer
toplam 28 paket vardi.

Tum paketler 127.0.0.1:80'den bir yerel agdaki farkli IP adreslerine
giden RST-ACK paketleriydi. Kayit tutulan sure boyunca hic paket
gonderilmeden donuste "baglantiyi kabul etmiyorum" anlamina gelen
RST-ACK'ler donuyor.

Tum Ethernet cercevelerinin gondericisi ayni ve MAC adresi
73:32:70:31:63:30. Bu MAC adresi, sniffer'in izledigi agdaki ag gecidine
mi ait bilmiyorum, eger degilse soruna neden olan sistem bu sistem
olmali...

Tum IP paketlerinin TTL'leri 124 iken gozlenmis. Default TTL'ler
genellikle 2^n biciminde seciliyor bu nedenle gondericinin default
TTL'inin 128 oldugunu tahmin ediyorum. Eger MAC adresinden bir sonuc
cikmazsa 4 hop uzaklikta bir sistemde problem oldugunu dusunuyorum.
Default TTL'in 128 oldugu sistemler, p0f imzalarinda agirlikli Windows
turevleri olarak gorunuyorlar. Paketlerin gondericisi cok yuksek
olasilikla bir Windows web server olmali...

Third-party-effect olma olasiligi da yuksek ama bu paketler daha
fazla bilgi vermiyor.

Ben paketleri daha fazla yorumlayamiyorum. Umarim bu ipuclari Deniz
Hoca'nin cozum uretmesinde yardimci olur...

selamlar, iyi calismalar.

--
Burak DAYIOGLU
Danisman, Pro-G Bilisim Guvenligi ve Arastirma Ltd.
http://www.pro-g.com.tr                             info@pro-g.com.tr
Tel: +90 312 2101494                            Faks: +90 312 2101493
*****************************************************************
Bu mesaj ve ekleri mesajda gonderildigi belirtilen kisi ya da
kisilere ozeldir. Eger gonderilen mesajin muhatabi  degilseniz,
icerigini ve varsa ekindeki dosyalari kimseye aktarmayiniz ya da
kopyalamayiniz. Boyle bir durumda lutfen gondereni uyarip, mesaji
imha ediniz.
** Bu e-posta bilinen zararli icerige karsi kontrol edilmistir **
*****************************************************************
The contents of this email and any attachments are confidential.
It is intended for the named recipient(s) only. If you have
received this email in error please notify the system manager or
the sender immediately and do not disclose the contents to any
one or make copies.
**This email is scanned for known vandals and malicious content**
*****************************************************************

• Previous message: Oguz ARDUC: "[linux-guvenlik] Re: SECUR> SECURITY: Linux fights off worms (fwd)"
• In reply to: Burak DAYIOGLU: "[linux-guvenlik] 127.0.0.1'den gelen trafik"
• Next in thread: Burak DAYIOGLU: "[linux-guvenlik] Re: 127.0.0.1'den gelen trafik"