---

Jeg undrede mig lidt over denne pakke i min log.
Source addressen er åbenlyst forkert, men hvorfor
sender man sådan en pakke? Jeg kan ikke se, hvad
man kan få ud af at sende sådan en pakke:

iptables REJECT: IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:08:00
SRC=192.168.1.4 DST=62.xx.xx.91 LEN=40 TOS=0x00 PREC=0x00 TTL=22 ID=39426
PROTO=TCP SPT=21 DPT=21 WINDOW=1028 RES=0x00 SYN FIN URGP=0

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razrep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk

---

"Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
news:3D32E943.3A43A2@daimi.au.dk...
> Jeg undrede mig lidt over denne pakke i min log.
> Source addressen er åbenlyst forkert,

Åbenlys? Nu kender jeg jo ikke dit netværk, men 192.168.1.4 er da en fin
intern adresse.

>men hvorfor
> sender man sådan en pakke? Jeg kan ikke se, hvad
> man kan få ud af at sende sådan en pakke:
>
> iptables REJECT: IN=eth0 OUT=
MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:08:00
> SRC=192.168.1.4 DST=62.xx.xx.91 LEN=40 TOS=0x00 PREC=0x00 TTL=22 ID=39426
> PROTO=TCP SPT=21 DPT=21 WINDOW=1028 RES=0x00 SYN FIN URGP=0

SYN og FIN i samme pakke? Jeg tror ikke personen opnår noget ved dette. Jeg
tror bare det er en der leger lidt.

mvh
db

---

Daniel Blankensteiner wrote:

> SYN og FIN i samme pakke? Jeg tror ikke personen opnår noget ved dette. Jeg
> tror bare det er en der leger lidt.

Man kan gætte lidt om TCP softwaren (OS) udfra hvilke svar der genereres
ved sådanne absurde kombinationer.

--
Hroi Sigurdsson

---

Hroi Sigurdsson wrote:
>
> Daniel Blankensteiner wrote:
>
> > SYN og FIN i samme pakke? Jeg tror ikke personen opnår noget ved dette. Jeg
> > tror bare det er en der leger lidt.
>
> Man kan gætte lidt om TCP softwaren (OS) udfra hvilke svar der genereres
> ved sådanne absurde kombinationer.

Ja, men hvis ikke man bruger sig egen IP addresse,
får man jo ikke noget svar.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razrep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk

---

Kasper Dupont wrote:

>>Man kan gætte lidt om TCP softwaren (OS) udfra hvilke svar der genereres
>>ved sådanne absurde kombinationer.
>
>
> Ja, men hvis ikke man bruger sig egen IP addresse,
> får man jo ikke noget svar.

Hvorfor tror du at 192.168.1.4 nødvendigvis er spoofed, bare fordi at
det er en RFC1918 adresse? Prøv lige at beskrive dit netværk: hvad er
"ude", hvad er "inde". Hvilke netværk router du imellem?

--
Hroi Sigurdsson hroi@asdf.dk
Danske nyhedsfeeds i RSS-format: http://asdf.dk/rss/da/

---

"Hroi Sigurdsson" <hroi@asdf.dk> wrote in message
news:3D347889.30808@asdf.dk...
> >>Man kan gætte lidt om TCP softwaren (OS) udfra hvilke svar der genereres
> >>ved sådanne absurde kombinationer.
> >
> >
> > Ja, men hvis ikke man bruger sig egen IP addresse,
> > får man jo ikke noget svar.
>
> Hvorfor tror du at 192.168.1.4 nødvendigvis er spoofed, bare fordi at
> det er en RFC1918 adresse? Prøv lige at beskrive dit netværk: hvad er
> "ude", hvad er "inde". Hvilke netværk router du imellem?

Din firewall filterer forhåbentlig pakker med private adresser fra som
kommer fra Internettet, så den må da være sendt fra dit LAN.

mvh
db

---

Daniel Blankensteiner wrote:
>
> "Hroi Sigurdsson" <hroi@asdf.dk> wrote in message
> news:3D347889.30808@asdf.dk...
> > >>Man kan gætte lidt om TCP softwaren (OS) udfra hvilke svar der genereres
> > >>ved sådanne absurde kombinationer.
> > >
> > >
> > > Ja, men hvis ikke man bruger sig egen IP addresse,
> > > får man jo ikke noget svar.
> >
> > Hvorfor tror du at 192.168.1.4 nødvendigvis er spoofed, bare fordi at
> > det er en RFC1918 adresse? Prøv lige at beskrive dit netværk: hvad er
> > "ude", hvad er "inde". Hvilke netværk router du imellem?
>
> Din firewall filterer forhåbentlig pakker med private adresser fra som
> kommer fra Internettet, så den må da være sendt fra dit LAN.

Jeg har ikke noget LAN, der er tale om en enkelt computer koblet til
et kabelmodem, og det er det hele. Mit kabelmodem bruger 192.168.100.x,
og min ISP bruger nogle 10.x.x.x addresser. Jeg har ikke gjort noget
specielt for at filtrere RFC1918 addresser i min firewall, fordi det
alligevel ikke påvirker min sikkerhed. Uden noget lokalnet er der ingen
grund til at skelne RFC1918 addresser fra resten af IP addresserne.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razrep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk

---

Den Tue, 16 Jul 2002 23:04:23 +0200 skrev Kasper Dupont:
>Daniel Blankensteiner wrote:
>>
>> "Hroi Sigurdsson" <hroi@asdf.dk> wrote in message
>> news:3D347889.30808@asdf.dk...
>> > >>Man kan gætte lidt om TCP softwaren (OS) udfra hvilke svar der genereres
>> > >>ved sådanne absurde kombinationer.
>> > >
>> > >
>> > > Ja, men hvis ikke man bruger sig egen IP addresse,
>> > > får man jo ikke noget svar.
>> >
>> > Hvorfor tror du at 192.168.1.4 nødvendigvis er spoofed, bare fordi at
>> > det er en RFC1918 adresse? Prøv lige at beskrive dit netværk: hvad er
>> > "ude", hvad er "inde". Hvilke netværk router du imellem?
>>
>> Din firewall filterer forhåbentlig pakker med private adresser fra som
>> kommer fra Internettet, så den må da være sendt fra dit LAN.
>
>Jeg har ikke noget LAN, der er tale om en enkelt computer koblet til
>et kabelmodem, og det er det hele. Mit kabelmodem bruger 192.168.100.x,
>og min ISP bruger nogle 10.x.x.x addresser.

Hvis jeg ikke tager fejl, kan alle brugere på et kabelnet se hinanden
via RFC1918 adresser, så det kunne faktisk være en af naboerne der var
igang med at scanne...

Mvh
Kent
--
F0 0F C7 C8 - Intel Pentium bug

---

"Kent Friis" <leeloo@phreaker.net> skrev i en meddelelse
news:ah23gn$j5p$1@sunsite.dk...
> Hvis jeg ikke tager fejl, kan alle brugere på et kabelnet se hinanden
> via RFC1918 adresser, så det kunne faktisk være en af naboerne der var
> igang med at scanne...

Hvordan undgår man dette?

Cablemodem
Win98SE (updated)
IExplorer 6
Outlook Express 6
Tiny Personal Firewall

---

Kent Friis wrote:
>
> Den Tue, 16 Jul 2002 23:04:23 +0200 skrev Kasper Dupont:
> >
> >Jeg har ikke noget LAN, der er tale om en enkelt computer koblet til
> >et kabelmodem, og det er det hele. Mit kabelmodem bruger 192.168.100.x,
> >og min ISP bruger nogle 10.x.x.x addresser.
>
> Hvis jeg ikke tager fejl, kan alle brugere på et kabelnet se hinanden
> via RFC1918 adresser, så det kunne faktisk være en af naboerne der var
> igang med at scanne...

Øh, hvordan det, når nu computerne ikke har RFC1918 addresser?

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razrep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk

---

"Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
news:3D34AB18.908C9F96@daimi.au.dk...
> > >Jeg har ikke noget LAN, der er tale om en enkelt computer koblet til
> > >et kabelmodem, og det er det hele. Mit kabelmodem bruger 192.168.100.x,
> > >og min ISP bruger nogle 10.x.x.x addresser.
> >
> > Hvis jeg ikke tager fejl, kan alle brugere på et kabelnet se hinanden
> > via RFC1918 adresser, så det kunne faktisk være en af naboerne der var
> > igang med at scanne...
>
> Øh, hvordan det, når nu computerne ikke har RFC1918 addresser?

Du bruger en intern adresse 192.168.100.x (der er egentlig ingen grund til
at skrive x til sidst).
Har du fået afvide at du SKAL bruge denne adresse? Det lyder nemlig som om
du har forbindelse til nettet via et stort LAN, især eftersom din ISP bruger
10.x.x.x (igen ingen grund til x'er), da dette også er en intern IP.
http://rfc.net/rfc1918.html

mvh
db

---

"Daniel Blankensteiner" <db@traceroute.dk> wrote in message
news:ah2ad1$84f$1@sunsite.dk...
> > Øh, hvordan det, når nu computerne ikke har RFC1918 addresser?
>
> Du bruger en intern adresse 192.168.100.x (der er egentlig ingen grund til
> at skrive x til sidst).
> Har du fået afvide at du SKAL bruge denne adresse? Det lyder nemlig som om
> du har forbindelse til nettet via et stort LAN, især eftersom din ISP
bruger
> 10.x.x.x (igen ingen grund til x'er), da dette også er en intern IP.
> http://rfc.net/rfc1918.html

btw, fik du også subnet mask? Du kunne jo prøve at scanne 192.168.100.0-254
eller lave en broadcast til 192.168.100.255.

mvh
db

---

Daniel Blankensteiner wrote:
>
> "Daniel Blankensteiner" <db@traceroute.dk> wrote in message
> news:ah2ad1$84f$1@sunsite.dk...
> > > Øh, hvordan det, når nu computerne ikke har RFC1918 addresser?
> >
> > Du bruger en intern adresse 192.168.100.x (der er egentlig ingen grund til
> > at skrive x til sidst).
> > Har du fået afvide at du SKAL bruge denne adresse? Det lyder nemlig som om
> > du har forbindelse til nettet via et stort LAN, især eftersom din ISP
> bruger
> > 10.x.x.x (igen ingen grund til x'er), da dette også er en intern IP.
> > http://rfc.net/rfc1918.html
>
> btw, fik du også subnet mask?

Ja, men den har intet med 192.168.100 nettet at gøre.

> Du kunne jo prøve at scanne 192.168.100.0-254
> eller lave en broadcast til 192.168.100.255.

Kabelmodemet svarer ikke på broadcast pings, den
eneste addresse i det interval er mit kabelmodem
på 192.168.100.1.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razrep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk

---

"Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
news:3D35350A.D0D75036@daimi.au.dk...
> > > Du bruger en intern adresse 192.168.100.x (der er egentlig ingen grund
til
> > > at skrive x til sidst).
> > > Har du fået afvide at du SKAL bruge denne adresse? Det lyder nemlig
som om
> > > du har forbindelse til nettet via et stort LAN, især eftersom din ISP
> > bruger
> > > 10.x.x.x (igen ingen grund til x'er), da dette også er en intern IP.
> > > http://rfc.net/rfc1918.html
> >
> > btw, fik du også subnet mask?
>
> Ja, men den har intet med 192.168.100 nettet at gøre.

Hvordan kan din subnet mask ikke hvad noget med din IP at gøre?

mvh
db

---

Daniel Blankensteiner wrote:
>
> "Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
> news:3D35350A.D0D75036@daimi.au.dk...
> > > > Du bruger en intern adresse 192.168.100.x (der er egentlig ingen grund
> til
> > > > at skrive x til sidst).
> > > > Har du fået afvide at du SKAL bruge denne adresse? Det lyder nemlig
> som om
> > > > du har forbindelse til nettet via et stort LAN, især eftersom din ISP
> > > bruger
> > > > 10.x.x.x (igen ingen grund til x'er), da dette også er en intern IP.
> > > > http://rfc.net/rfc1918.html
> > >
> > > btw, fik du også subnet mask?
> >
> > Ja, men den har intet med 192.168.100 nettet at gøre.
>
> Hvordan kan din subnet mask ikke hvad noget med din IP at gøre?

Det var ikke min IP, det var kabelmodemets IP. De har IP
addresser på forskellige subnets. Kabelmodemet har en
Klasse C RFC1918 addresse, min computer har en almindelig
klasse A addresse. Og hvis nogen synes det er underligt,
så skal jeg straks give dem ret, men sådan er det altså.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razrep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk

---

Den Wed, 17 Jul 2002 01:24:08 +0200 skrev Kasper Dupont:
>Kent Friis wrote:
>>
>> Den Tue, 16 Jul 2002 23:04:23 +0200 skrev Kasper Dupont:
>> >
>> >Jeg har ikke noget LAN, der er tale om en enkelt computer koblet til
>> >et kabelmodem, og det er det hele. Mit kabelmodem bruger 192.168.100.x,
>> >og min ISP bruger nogle 10.x.x.x addresser.
>>
>> Hvis jeg ikke tager fejl, kan alle brugere på et kabelnet se hinanden
>> via RFC1918 adresser, så det kunne faktisk være en af naboerne der var
>> igang med at scanne...
>
>Øh, hvordan det, når nu computerne ikke har RFC1918 addresser?

Alle computerne? Eller kun dem der har bedt om et rigtigt ip-nummer?

Det er selvfølgelig heller ikke sikkert at alle kabelnet er konfigureret
ens, du kunne jo have været heldig at netop dit kabelnet ikke havde valgt
at spare på ip-adresserne (et par tusinde rfc1918 adresser er *meget*
billigere end et par tusinde offentlige ip-adresser). Men det er det
eneste gæt jeg har, der virker bare en smule logisk. Og når dit
kabelmodem har en 192.168 adresse, så er der jo noget der tyder i den
retning.

Mvh
Kent
--
Linux 0.12 is out
Windows XP is now obsolete!!!

---

Kent Friis wrote:
>
> Den Wed, 17 Jul 2002 01:24:08 +0200 skrev Kasper Dupont:
> >Kent Friis wrote:
> >>
> >> Den Tue, 16 Jul 2002 23:04:23 +0200 skrev Kasper Dupont:
> >> >
> >> >Jeg har ikke noget LAN, der er tale om en enkelt computer koblet til
> >> >et kabelmodem, og det er det hele. Mit kabelmodem bruger 192.168.100.x,
> >> >og min ISP bruger nogle 10.x.x.x addresser.
> >>
> >> Hvis jeg ikke tager fejl, kan alle brugere på et kabelnet se hinanden
> >> via RFC1918 adresser, så det kunne faktisk være en af naboerne der var
> >> igang med at scanne...
> >
> >Øh, hvordan det, når nu computerne ikke har RFC1918 addresser?
>
> Alle computerne? Eller kun dem der har bedt om et rigtigt ip-nummer?

Ingen af computerne har RFC1918 addresser. Samtlige computer har
en rigtig (dynamisk) IP addresse.

>
> Det er selvfølgelig heller ikke sikkert at alle kabelnet er konfigureret
> ens, du kunne jo have været heldig at netop dit kabelnet ikke havde valgt
> at spare på ip-adresserne (et par tusinde rfc1918 adresser er *meget*
> billigere end et par tusinde offentlige ip-adresser). Men det er det
> eneste gæt jeg har, der virker bare en smule logisk. Og når dit
> kabelmodem har en 192.168 adresse, så er der jo noget der tyder i den
> retning.

Kabelmodemet har addresse 192.168.100.1, det er den eneste
RC1918 addresse på mit lokalnet. Kabelmodemet vil relaye
DHCP requests til min ISPs DHCP server, men hvis den er gået
ned, vil kabelmodemet dog tildele IP addresser fra intervalet
192.168.100.10-42. Når der bruges IP addresser udenfor dette
subnet, vil kabelmodemt fungere som bridge mellem ethernettet
og HCFnettet, man ser altså ikke kabelmodemets IP addresse.
Min default gateway er heller ikke en RFC1918 addresse.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razrep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk

---

Den Mon, 15 Jul 2002 17:24:51 +0200 skrev Kasper Dupont:
>Jeg undrede mig lidt over denne pakke i min log.
>Source addressen er åbenlyst forkert, men hvorfor
>sender man sådan en pakke? Jeg kan ikke se, hvad
>man kan få ud af at sende sådan en pakke:
>
>iptables REJECT: IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:08:00
>SRC=192.168.1.4 DST=62.xx.xx.91 LEN=40 TOS=0x00 PREC=0x00 TTL=22 ID=39426
>PROTO=TCP SPT=21 DPT=21 WINDOW=1028 RES=0x00 SYN FIN URGP=0

For at du skal bruge en masse tid på at undre dig over den pakke, så
du slet ikke opdager den ved siden af, der var den rigtige?

Umiddelbart skulle man jo tro det bare var en NAT der ikke var slået
til, men så ville SPT og DPT ikke begge være 21.

En anden mulighed er at det er et forsøg på at SYN-floode din maskine.

Mvh
Kent
--
6.0 FDiv 3.0 = 1.999773462873 - Intel Pentium bug

---

Kasper Dupont wrote:

> Jeg undrede mig lidt over denne pakke i min log.
> Source addressen er åbenlyst forkert, men hvorfor
> sender man sådan en pakke? Jeg kan ikke se, hvad
> man kan få ud af at sende sådan en pakke:
>
> iptables REJECT: IN=eth0 OUT=
> MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:08:00 SRC=192.168.1.4
> DST=62.xx.xx.91 LEN=40 TOS=0x00 PREC=0x00 TTL=22 ID=39426 PROTO=TCP SPT=21
> DPT=21 WINDOW=1028 RES=0x00 SYN FIN URGP=0

Ja, det ser jo underligt ud. Men jeg får også af og til sådanne pakker,
og jeg spekulerer på, om det kan være første del af et to-trins angreb
mod maskiner med en bestemt fejl i firewallen:

Første skridt er, at sende pakken ovenfor, der pga. SYN+FIN kombinationen
muligvis kan lægge en (bestemt type) firewall ned (eller alternativt sætte
den ud af spillet på den givne port). Andet skridt er at sende en helt
normal request mod din maskine, som nu kører uden firewall.

Bare en tanke.

-Claus

---

Claus Rasmussen wrote:
>
> Kasper Dupont wrote:
>
> > Jeg undrede mig lidt over denne pakke i min log.
> > Source addressen er åbenlyst forkert, men hvorfor
> > sender man sådan en pakke? Jeg kan ikke se, hvad
> > man kan få ud af at sende sådan en pakke:
> >
> > iptables REJECT: IN=eth0 OUT=
> > MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:08:00 SRC=192.168.1.4
> > DST=62.xx.xx.91 LEN=40 TOS=0x00 PREC=0x00 TTL=22 ID=39426 PROTO=TCP SPT=21
> > DPT=21 WINDOW=1028 RES=0x00 SYN FIN URGP=0
>
> Ja, det ser jo underligt ud. Men jeg får også af og til sådanne pakker,
> og jeg spekulerer på, om det kan være første del af et to-trins angreb
> mod maskiner med en bestemt fejl i firewallen:
>
> Første skridt er, at sende pakken ovenfor, der pga. SYN+FIN kombinationen
> muligvis kan lægge en (bestemt type) firewall ned (eller alternativt sætte
> den ud af spillet på den givne port). Andet skridt er at sende en helt
> normal request mod din maskine, som nu kører uden firewall.

Det lyder rimeligt nok, men der kom ingen unormale pakker de følgende
to timer.

--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razrep@daimi.au.dk
or mailto:mcxumhvenwblvtl@skrammel.yaboo.dk

---

Kasper Dupont wrote:

> Claus Rasmussen wrote:
>>
>> Første skridt er, at sende pakken ovenfor, der pga. SYN+FIN kombinationen
>> muligvis kan lægge en (bestemt type) firewall ned (eller alternativt
>> sætte den ud af spillet på den givne port). Andet skridt er at sende en
>> helt normal request mod din maskine, som nu kører uden firewall.
>
> Det lyder rimeligt nok, men der kom ingen unormale pakker de følgende
> to timer.

Hmm. Så er det nok heller ikke det. Men det er en mystisk sag.

-Claus