---

Jeg har lige installeret en Firewall..
Som alle andre firewalls kommer den op i tide og utide med trafik man skal
godkende eller spærre.
Nu har jeg kun en tilbage jeg ikke kender,
Er der nogle af jer der kender denne trafik?

File Version : 5.1.2600.2180
File Description : NDIS User mode I/O Driver (ndisuio.sys)
File Path : C:\WINDOWS\system32\DRIVERS\ndisuio.sys
Connection origin : remote initiated
Protocol : TCP
Local Address : 192.168.10.106
Local Port : 1060 (POLESTAR - POLESTAR)
Remote Name :
Remote Address : 65.54.140.158
Remote Port : 80

Ethernet packet details:
Ethernet II (Packet Length: 438)
Destination: 00-10-a7-25-73-dd
Source: 00-07-40-35-a7-92
Type: IP (0x0800)
Internet Protocol
Version: 4
Header Length: 20 bytes
Flags:
.1.. = Don't fragment: Set
..0. = More fragments: Not set
Fragment offset:0
Time to live: 47
Protocol: 0x6 (TCP - Transmission Control Protocol)
Header checksum: 0x30ab (Correct)
Source: 65.54.140.158
Destination: 192.168.10.106
Transmission Control Protocol (TCP)
Source port: 80
Destination port: 1060
Sequence number: 1928018320
Acknowledgment number: 2897748669
Header length: 20
Flags:
0... .... = Congestion Window Reduce (CWR): Not set
.0.. .... = ECN-Echo: Not set
..0. .... = Urgent: Not set
...1 .... = Acknowledgment: Set
.... 1... = Push: Set
.... .0.. = Reset: Not set
.... ..0. = Syn: Not set
.... ...1 = Fin: Set
Checksum: 0xc71a (Correct)
Data (384 Bytes)

Binary dump of the packet:
0000: 00 10 A7 25 73 DD 00 07 : 40 35 A7 92 08 00 45 00 | ...%s...@5....E.
0010: 01 A8 06 39 40 00 2F 06 : AB 30 41 36 8C 9E C0 A8 | ...9@./..0A6....
0020: 0A 6A 00 50 04 24 72 EB : 39 90 AC B8 22 BD 50 19 | .j.P.$r.9...".P.
0030: 41 B3 1A C7 00 00 48 54 : 54 50 2F 31 2E 31 20 32 | A.....HTTP/1.1 2
0040: 30 30 20 4F 4B 0D 0A 43 : 61 63 68 65 2D 43 6F 6E | 00 OK..Cache-Con
0050: 74 72 6F 6C 3A 20 6E 6F : 2D 63 61 63 68 65 0D 0A | trol: no-cache..
0060: 50 72 61 67 6D 61 3A 20 : 6E 6F 2D 63 61 63 68 65 | Pragma: no-cache
0070: 0D 0A 43 6F 6E 74 65 6E : 74 2D 4C 65 6E 67 74 68 | ..Content-Length
0080: 3A 20 34 32 0D 0A 43 6F : 6E 74 65 6E 74 2D 54 79 | : 42..Content-Ty
0090: 70 65 3A 20 69 6D 61 67 : 65 2F 67 69 66 0D 0A 4C | pe: image/gif..L
00A0: 61 73 74 2D 4D 6F 64 69 : 66 69 65 64 3A 20 54 75 | ast-Modified: Tu
00B0: 65 2C 20 32 30 20 46 65 : 62 20 32 30 30 31 20 31 | e, 20 Feb 2001 1
00C0: 39 3A 30 39 3A 30 33 20 : 47 4D 54 0D 0A 41 63 63 | 9:09:03 GMT..Acc
00D0: 65 70 74 2D 52 61 6E 67 : 65 73 3A 20 62 79 74 65 | ept-Ranges: byte
00E0: 73 0D 0A 45 54 61 67 3A : 20 22 62 35 39 65 61 65 | s..ETag: "b59eae
00F0: 39 36 37 30 39 62 63 30 : 31 3A 34 31 65 22 0D 0A | 96709bc01:41e"..
0100: 53 65 72 76 65 72 3A 20 : 4D 69 63 72 6F 73 6F 66 | Server: Microsof
0110: 74 2D 49 49 53 2F 36 2E : 30 0D 0A 50 33 50 3A 20 | t-IIS/6.0..P3P:
0120: 43 50 3D 22 42 55 53 20 : 43 55 52 20 43 4F 4E 6F | CP="BUS CUR CONo
0130: 20 46 49 4E 20 49 56 44 : 6F 20 4F 4E 4C 20 4F 55 | FIN IVDo ONL OU
0140: 52 20 50 48 59 20 53 41 : 4D 6F 20 54 45 4C 6F 22 | R PHY SAMo TELo"
0150: 0D 0A 44 61 74 65 3A 20 : 53 75 6E 2C 20 32 31 20 | ..Date: Sun, 21
0160: 41 75 67 20 32 30 30 35 : 20 31 38 3A 30 33 3A 35 | Aug 2005 18:03:5
0170: 34 20 47 4D 54 0D 0A 43 : 6F 6E 6E 65 63 74 69 6F | 4 GMT..Connectio
0180: 6E 3A 20 63 6C 6F 73 65 : 0D 0A 0D 0A 47 49 46 38 | n: close....GIF8
0190: 39 61 01 00 01 00 80 00 : 00 00 00 00 FF FF FF 21 | 9a.............!
01A0: F9 04 01 00 00 01 00 2C : 00 00 00 00 01 00 01 00 | .......,........
01B0: 00 02 01 4C 00 3B : | ...L.;


/Rene

---

In article <4308c3e3$0$1159$ba624c82@nntp02.dk.telia.net>, "Old Code Dude" wrote:
> Jeg har lige installeret en Firewall..
> Som alle andre firewalls kommer den op i tide og utide med trafik man skal
> godkende eller spærre.
> Nu har jeg kun en tilbage jeg ikke kender,
> Er der nogle af jer der kender denne trafik?
>
> File Version : 5.1.2600.2180
> File Description : NDIS User mode I/O Driver (ndisuio.sys)
> File Path : C:\WINDOWS\system32\DRIVERS\ndisuio.sys
> Connection origin : remote initiated
> Protocol : TCP
> Local Address : 192.168.10.106
> Local Port : 1060 (POLESTAR - POLESTAR)
> Remote Name :
> Remote Address : 65.54.140.158
> Remote Port : 80

Netkort driver der vil tale med en webserver på 65.54.140.158
IP adressen ejes af et ondt firma der er kendt for at installere software
på din maskine. Nemlig Microsoft.

---

"Povl H. Pedersen" <povlhp@acomputer.home.terminal.dk> skrev i en meddelelse
> Netkort driver der vil tale med en webserver på 65.54.140.158
> IP adressen ejes af et ondt firma der er kendt for at installere software
> på din maskine. Nemlig Microsoft.

HE HE..:OK...Jeg lader det gå igennem næste gang.
Måske er det min Opdatering der kommer der......
/Rene

(Tak for svaret)

---

Den Sun, 21 Aug 2005 20:14:02 +0200 skrev "Old Code Dude":
> Jeg har lige installeret en Firewall..
> Som alle andre firewalls kommer den op i tide og utide med trafik man skal
> godkende eller spærre.
> Nu har jeg kun en tilbage jeg ikke kender,
> Er der nogle af jer der kender denne trafik?

Din firewall er defekt.

> Connection origin : remote initiated

Forkert, det er et svar på en pakke fra din maskine.

> Protocol : TCP
> Local Address : 192.168.10.106
> Local Port : 1060 (POLESTAR - POLESTAR)

Den port din maskine brugte da den connectede til serveren.

> Remote Name :
> Remote Address : 65.54.140.158
> Remote Port : 80

Her kan vi se at der er tale om en webserver.

> Acknowledgment number: 2897748669

Nummeret på den forgående pakke fra din egen maskine.

> ...1 .... = Acknowledgment: Set

Viser at det er et svar på en tidligere pakke.

> .... ..0. = Syn: Not set

Og at det ikke er et forsøg på at oprette en ny connection.

> .... ...1 = Fin: Set

Men derimod at afslutte en eksisterende (der kommer ikke mere data -
billedet er ikke større).

> 0180: 6E 3A 20 63 6C 6F 73 65 : 0D 0A 0D 0A 47 49 46 38 | n: close....GIF8
> 0190: 39 61 01 00 01 00 80 00 : 00 00 00 00 FF FF FF 21 | 9a.............!

Og så er det iøvrigt et billede i GIF-format din web-browser lige har
hentet.

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

"Kent Friis" <nospam@nospam.invalid> skrev i en >>

> Mvh
> Kent
> --
> Hard work may pay off in the long run, but laziness pays off right now.

Tak for svaret....
/Rene

---

Kent Friis wrote:
>
> Den Sun, 21 Aug 2005 20:14:02 +0200 skrev "Old Code Dude":
>
> > 0180: 6E 3A 20 63 6C 6F 73 65 : 0D 0A 0D 0A 47 49 46 38 | n: close....GIF8
> > 0190: 39 61 01 00 01 00 80 00 : 00 00 00 00 FF FF FF 21 | 9a.............!
>
> Og så er det iøvrigt et billede i GIF-format din web-browser lige har
> hentet.

Og det er et meget lille billede, kun 1x1 pixel.
Og det ser ud til at komme fra en server ved navn
c.msn.com

[kasperd@hactar:pts/22:/tmp] tr ' ' '\n' | grep '^[0-9A-F][0-9A-F]$' | while read X ; do printf "\x$X" ; done >test.gif
47 49 46 38 | n: close....GIF8
0190: 39 61 01 00 01 00 80 00 : 00 00 00 00 FF FF FF 21 | 9a.............!
01A0: F9 04 01 00 00 01 00 2C : 00 00 00 00 01 00 01 00 | .......,........
01B0: 00 02 01 4C 00 3B
[kasperd@hactar:pts/22:/tmp] file test.gif
test.gif: GIF image data, version 89a, 1 x 1

--
Kasper Dupont
Note to self: Don't try to allocate
256000 pages with GFP_KERNEL on x86.

---

Den Mon, 22 Aug 2005 00:18:43 +0200 skrev Kasper Dupont:
> Kent Friis wrote:
>>
>> Den Sun, 21 Aug 2005 20:14:02 +0200 skrev "Old Code Dude":
>>
>> > 0180: 6E 3A 20 63 6C 6F 73 65 : 0D 0A 0D 0A 47 49 46 38 | n: close....GIF8
>> > 0190: 39 61 01 00 01 00 80 00 : 00 00 00 00 FF FF FF 21 | 9a.............!
>>
>> Og så er det iøvrigt et billede i GIF-format din web-browser lige har
>> hentet.
>
> Og det er et meget lille billede, kun 1x1 pixel.
> Og det ser ud til at komme fra en server ved navn
> c.msn.com
>
> [kasperd@hactar:pts/22:/tmp] tr ' ' '\n' | grep '^[0-9A-F][0-9A-F]$' | while read X ; do printf "\x$X" ; done >test.gif
> 47 49 46 38 | n: close....GIF8
> 0190: 39 61 01 00 01 00 80 00 : 00 00 00 00 FF FF FF 21 | 9a.............!
> 01A0: F9 04 01 00 00 01 00 2C : 00 00 00 00 01 00 01 00 | .......,........
> 01B0: 00 02 01 4C 00 3B
> [kasperd@hactar:pts/22:/tmp] file test.gif
> test.gif: GIF image data, version 89a, 1 x 1

Så er det måske ligefrem hele billedet vi ser?

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

Kent Friis wrote:
>
> Så er det måske ligefrem hele billedet vi ser?

Betyder "Content-Length: 42" ikke at
filen er 42 bytes lang?

--
Kasper Dupont
Note to self: Don't try to allocate
256000 pages with GFP_KERNEL on x86.

---

Den Tue, 23 Aug 2005 00:01:20 +0200 skrev Kasper Dupont:
> Kent Friis wrote:
>>
>> Så er det måske ligefrem hele billedet vi ser?
>
> Betyder "Content-Length: 42" ikke at
> filen er 42 bytes lang?

Jo, havde du ligefrem tænkt dig at jeg selv skulle tælle efter? Jeg
havde ikke lige nærlæst headeren. Så alle og enhver kan faktisk se ud af
dump'en hvilket billede det er han har downloadet.

Desværre er billedet for småt til at det er tydeligt hvad det
forestiller Men det kunne faktisk godt være et ned-skaleret
pornobillede :-þ

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

---

Kent Friis skrev:

> Kasper Dupont:
>> Betyder "Content-Length: 42" ikke at filen er 42 bytes lang?

> Desværre er billedet for småt til at det er tydeligt hvad det
> forestiller Men det kunne faktisk godt være et ned-skaleret
> pornobillede :-þ

Det kunne da også være en tip'o'hat til Hitchhikers Guide To The
Galaxy (svaret på det ultimative spørgsmål. Jeg kan desværre ikke
længere huske i hvilket afsnit af trilogien i fem afsnit det kom).