From: Deniz CEVIK (deniz@intellect.com.tr)
Date: Tue 30 Sep 2003 - 05:53:09 EDT
Antispoofing ayari yapilmaz ise route edebilir. Routing destination'a gore
yapilcagi için source IP çok önemli degil (source base routing yapilmadigini
var sayiyoruz.) Zaten bu paketlerde bana internet üzerinden geliyor. Dün ve
bugun benzer sikayetleri'de bir kaç müsterimizden almistik. Firewall
loglarim detayli olarak durumu gösteriyor ve spoofingden dolayi blokluyor.
Destination portunun 80 olmasi, ve destination portunun sürekli degismesi
sanki bir http baglantisini geri dönüs paketlerini isaret ediyor ama
destination IP adresi sürekli degisiyor, bana ayrilan subnet'I komple
tariyor. Ayni blaster veya welchia gibi.
Sorun internet bandwidth'inin %10 dan fazlasinin benzer trafik için
gitmesi. Eger bir worm ise ve local networklere bulasabilecegi düsünülürse
olusturacagi trafik muazzam olacaktir. Tabi birde hala land atak yiyen
windowslarin sonu olacak.
Iyi Çalismalar
-----Original Message-----
From: linux-guvenlik-bounce@liste.linux.org.tr
[mailto:linux-guvenlik-bounce@liste.linux.org.tr]On Behalf Of DoganZorlu
Sent: Tuesday, September 30, 2003 12:44 PM
To: Deniz CEVIK
Subject: [linux-guvenlik] Re: Yeni bir virüs mü
DC> Selamlar,
DC> Biraz linux disi bir konu olacak ama, dünden itibaren oldukça yogun
miktarda
DC> internet üzerinden source IP adresi 127.0.0.1 olan destination?u
networkumde
DC> herhangi bir makineye dogru paketler almaya basladim. Source portu 80 ve
DC> hedef portu sürekli degisiyor.Saniyede 1000 üzeri benzer baglanti istegi
DC> aliyorum.
127.0.0.1 ? hiçbir router cihazı bu adresten gelen paketi route
edemez/etmez. Cihazların loopback interface idir bu.. Ağa neyle
bakıyorsunuz bu durumu anlamak için ?
Eğer source ve dest ters olursa o zaman anlamlı oluyor. dest port 80 ve
yerel ağdan source ve değişik
source portlar bildik tanıdık http bağlantılarına işaret ediyor. Ama
sizin söylediğiniz senaryo biraz acayip...
-- Dogan Zorlu Grup Software, Izmir ***************************************************************** Bu mesaj ve ekleri mesajda gonderildigi belirtilen kisi ya da kisilere ozeldir. Eger gonderilen mesajin muhatabi degilseniz, icerigini ve varsa ekindeki dosyalari kimseye aktarmayiniz ya da kopyalamayiniz. Boyle bir durumda lutfen gondereni uyarip, mesaji imha ediniz. ** Bu e-posta bilinen zararli icerige karsi kontrol edilmistir ** ***************************************************************** The contents of this email and any attachments are confidential. It is intended for the named recipient(s) only. If you have received this email in error please notify the system manager or the sender immediately and do not disclose the contents to any one or make copies. **This email is scanned for known vandals and malicious content** *****************************************************************