From: Sertan Kolat (warex@punkass.com)
Date: Thu 02 Oct 2003 - 07:50:38 EDT
Selamlar,
Burak DAYIOGLU wrote:
> Tum paketler 127.0.0.1:80'den bir yerel agdaki farkli IP adreslerine
> giden RST-ACK paketleriydi. Kayit tutulan sure boyunca hic paket
> gonderilmeden donuste "baglantiyi kabul etmiyorum" anlamina gelen
> RST-ACK'ler donuyor.
>
Usenet'te ayni sorunu yasayan oldukca fazla kisinin mesaji var. Yabanci
guvenlik listelerinden birisinde de ayni sekilde bir thread
hatirliyorum. Konu incidents@securityfocus.com 'da bahsedildi gibi
aklimda kalmisti ancak bugun security-basics'te bu sekilde bir mail gordum.
http://securityfocus.com/archive/105/339790/2003-09-29/2003-10-05/1
Burada ve gordugum diger tum mesajlarda durum sizin bahsettiginiz gibi.
127.0.0.1:80 'den gelen RST ve ACK flagleri set edilmis paketler var.
RST-ACK paketleri birisi tarafindan bilerek olusturulmamissa, ki oyle
oldugunu dusunmuyorum cunku SYN flagli paketler gibi bir amac gutmuyor,
sizin de belirttiginiz gibi herhangi bir baglanti istegi karsisinda
verilen reset cevaplari gibi duruyor.
Yanlis olabilir, blaster virusu sirasinda Microsoft'un windowsupdate.com
domainini 127.0.0.1 adresini gosterecek seklinde ayarladigini hatirliyorum.
Burada Deniz beyin de belirttigi gibi; 80. porttan geriye donen
paketler, blaster veya bir varyantinin bulastigi viruslu bir makinanin,
spoofed sourcelar ile windowsupdate.com'a(127.0.0.1) ulasmaya calismasi
ve 127.0.0.1:80 kaynakli yerlerden size ve dunyanin cesitli yerlerine
paketler donuyor olmasi.
> Tum Ethernet cercevelerinin gondericisi ayni ve MAC adresi
> 73:32:70:31:63:30. Bu MAC adresi, sniffer'in izledigi agdaki ag gecidine
> mi ait bilmiyorum, eger degilse soruna neden olan sistem bu sistem
> olmali...
>
Diger gordugum maillerde de, MAC adresi ag gecidine ait.
Saygilar,
Sertan