|
|
 | Forsøg på spoofing
Fra : Hans |
Dato : 01-02-06 19:27 |
|
Er der nogen son har et bud på hvordan jeg finder den bøverrik som bliver
ved med forsøg på spoofing af min forbindelse:
http://kvik.org/inet/spoofing.txt
Ovenstående er bare en bid af min Zywall's log, men sådan har det set ud
siden kl. 14.00 og still going strong. Jeg er ikke specielt bekymret, men
det er irriterende at vedkommende bruger min båndbredde.
Hans
| |
 Ukendt (01-02-2006)
| Kommentar
Fra : Ukendt |
Dato : 01-02-06 20:16 |
|
Hans wrote:
>
> Er der nogen son har et bud på hvordan jeg finder den bøverrik som bliver
> ved med forsøg på spoofing af min forbindelse:
>
> http://kvik.org/inet/spoofing.txt
>
> Ovenstående er bare en bid af min Zywall's log, men sådan har det set ud
> siden kl. 14.00 og still going strong. Jeg er ikke specielt bekymret, men
> det er irriterende at vedkommende bruger min båndbredde.
Det er vel bare din udbyder, der sender nogle multicast pakker.
Der er ingen symptomer på spoofing i den log.
--
Kasper Dupont -- Rigtige mænd skriver deres egne backupprogrammer
#define _(_)"d.%.4s%."_"2s" /* This is my new email address */
char*_="@2kaspner"_()"%03"_("4s%.")"t\n";printf(_+11,_+6,_,6,_+2,_+7,_+6);
| |
Lars Møller (01-02-2006)
| Kommentar
Fra : Lars Møller |
Dato : 01-02-06 20:16 |
|
Hans wrote:
> Er der nogen son har et bud på hvordan jeg finder den bøverrik som bliver
> ved med forsøg på spoofing af min forbindelse:
>
> http://kvik.org/inet/spoofing.txt
>
> Ovenstående er bare en bid af min Zywall's log, men sådan har det set ud
> siden kl. 14.00 og still going strong. Jeg er ikke specielt bekymret, men
> det er irriterende at vedkommende bruger min båndbredde.
>
> Hans
>
>
>
>
Umiddelbart vil jeg tro, at du har startet en multicast applikation.
Og port 1900 hm... Universal Plug And Play Service, Simple Service
Discovery Protocol
Med venlig hilsen
Lars P. Møller
| |
Hans (01-02-2006)
| Kommentar
Fra : Hans |
Dato : 01-02-06 20:22 |
|
Lars Møller wrote:
> Hans wrote:
>> Er der nogen son har et bud på hvordan jeg finder den bøverrik som
>> bliver ved med forsøg på spoofing af min forbindelse:
>>
>> http://kvik.org/inet/spoofing.txt
>>
>> Ovenstående er bare en bid af min Zywall's log, men sådan har det
>> set ud siden kl. 14.00 og still going strong. Jeg er ikke specielt
>> bekymret, men det er irriterende at vedkommende bruger min
>> båndbredde. Hans
>>
>>
>>
>>
> Umiddelbart vil jeg tro, at du har startet en multicast applikation.
>
> Og port 1900 hm... Universal Plug And Play Service, Simple Service
> Discovery Protocol
>
Der går ingen pakker ud fra mit system. Alt i loggen foregår på Wan-siden,
men hvad der undrer mig er at private adresser får lov til at blive routed
på vores netværk.
Hans
| |
 Christian E. Lysel (01-02-2006)
| Kommentar
Fra : Christian E. Lysel |
Dato : 01-02-06 21:42 |
|
Hans wrote:
> Der går ingen pakker ud fra mit system. Alt i loggen foregår på Wan-siden,
> men hvad der undrer mig er at private adresser får lov til at blive routed
> på vores netværk.
Mit bud er at det ej bliver routet.
Det er broadcast og multicast trafik du ser i din logfil.
Prøv at smide en sniffer på WAN siden, og jeg gætter på du ser andre
kunders ethernet arp forspørgelser og andre broadcast og multicast pakker.
Hvis du ikke gider at se på det så ret din LAN sides adresserum til et
andet eller slå spoofing beskederne fra.
Hvis du ikke gider modtage trafikken så ring til leverandøren og hør om
det er deres design. Hvis det er tilfælde så skift leverandør, ellers få
dem til at rette deres fejl.
| |
Hans (01-02-2006)
| Kommentar
Fra : Hans |
Dato : 01-02-06 22:07 |
|
Christian E. Lysel wrote:
> Hans wrote:
>> Der går ingen pakker ud fra mit system. Alt i loggen foregår på
>> Wan-siden, men hvad der undrer mig er at private adresser får lov
>> til at blive routed på vores netværk.
>
> Mit bud er at det ej bliver routet.
>
> Det er broadcast og multicast trafik du ser i din logfil.
>
Jeg kan sagtens se scenariet for mig. Nogen har sat deres maskiner sammen i
en switch og direkte på forbindelsen. Der er så oprettet en rfc1918 adresse
på hver maskine til fildeling og andre services, men jeg mener det er en
fejl at disse adresser kan ses på vores backbone.
>
> Prøv at smide en sniffer på WAN siden, og jeg gætter på du ser andre
> kunders ethernet arp forspørgelser og andre broadcast og multicast
> pakker.
Det har jeg prøvet, og det var en tvivlsom oplevelse at se al den trafik
passere, noget jeg ikke har set før med de tidligere ISP'er jeg har haft.
Min Wan-lampe står og blinker lystigt hele døgnet rundt selv om mit udstyr
kører eller ej. 
>
> Hvis du ikke gider at se på det så ret din LAN sides adresserum til et
> andet eller slå spoofing beskederne fra.
>
Jeg kan ikke slå beskederne fra, da spoofing ligger i en samlet attack
gruppe, men jeg har ændret mit lan til et andet segment hvorefter beskederne
er ophørt, men trafikken er der jo stadig.
>
> Hvis du ikke gider modtage trafikken så ring til leverandøren og hør
> om det er deres design. Hvis det er tilfælde så skift leverandør,
> ellers få dem til at rette deres fejl.
>
Da det er vores bolignet er det ikke en option at skifte da priserne er
yderst attraktive, så jeg vil nok tage kontakt til supporten om der ikke er
mulighed for at oprette et centralt filter til rfc1918 adresser.
Hans
| |
Kent Friis (01-02-2006)
| Kommentar
Fra : Kent Friis |
Dato : 01-02-06 22:20 |
|
Den Wed, 1 Feb 2006 22:07:15 +0100 skrev Hans:
> Christian E. Lysel wrote:
>> Hans wrote:
>>> Der går ingen pakker ud fra mit system. Alt i loggen foregår på
>>> Wan-siden, men hvad der undrer mig er at private adresser får lov
>>> til at blive routed på vores netværk.
>>
>> Mit bud er at det ej bliver routet.
>>
>> Det er broadcast og multicast trafik du ser i din logfil.
>>
> Jeg kan sagtens se scenariet for mig. Nogen har sat deres maskiner sammen i
> en switch og direkte på forbindelsen. Der er så oprettet en rfc1918 adresse
> på hver maskine til fildeling og andre services, men jeg mener det er en
> fejl at disse adresser kan ses på vores backbone.
Medmindre du vil sætte en router op hos hver enkelt kunde, er der
ikke noget du kan gøre. Det hjælper ikke engang at lade dem selv
gøre det, det kan de jo tydeligvis ikke finde ud af.
>> Hvis du ikke gider at se på det så ret din LAN sides adresserum til et
>> andet eller slå spoofing beskederne fra.
>>
> Jeg kan ikke slå beskederne fra, da spoofing ligger i en samlet attack
> gruppe,
Defekt skrammel.
> men jeg har ændret mit lan til et andet segment hvorefter beskederne
> er ophørt, men trafikken er der jo stadig.
Og det vil den blive ved med at være sålænge netværket er indrettet
som det er.
>> Hvis du ikke gider modtage trafikken så ring til leverandøren og hør
>> om det er deres design. Hvis det er tilfælde så skift leverandør,
>> ellers få dem til at rette deres fejl.
>>
> Da det er vores bolignet er det ikke en option at skifte da priserne er
> yderst attraktive, så jeg vil nok tage kontakt til supporten om der ikke er
> mulighed for at oprette et centralt filter til rfc1918 adresser.
Et centralt filter vil IKKE hjælpe, trafikken passerer ikke en
central router. Hvis den gjorde ville du ikke være i samme
broadcast-segment, og dermed ikke se trafikken.
Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.
| |
Hans (02-02-2006)
| Kommentar
Fra : Hans |
Dato : 02-02-06 18:30 |
|
Kent Friis wrote:
>
>>> Hvis du ikke gider at se på det så ret din LAN sides adresserum til
>>> et andet eller slå spoofing beskederne fra.
>>>
>> Jeg kan ikke slå beskederne fra, da spoofing ligger i en samlet
>> attack gruppe,
>
> Defekt skrammel.
>
Nej da, det er jo netop ikke Cisco.
>
> Et centralt filter vil IKKE hjælpe, trafikken passerer ikke en
> central router. Hvis den gjorde ville du ikke være i samme
> broadcast-segment, og dermed ikke se trafikken.
>
Det har du så nok ret i.
Hans
| |
Christian E. Lysel (01-02-2006)
| Kommentar
Fra : Christian E. Lysel |
Dato : 01-02-06 22:37 |
|
Hans wrote:
> Jeg kan sagtens se scenariet for mig. Nogen har sat deres maskiner sammen i
> en switch og direkte på forbindelsen. Der er så oprettet en rfc1918 adresse
Disse maskiner kan faktisk køre fildeling imellem sig, og det kan
være praktisk.
> på hver maskine til fildeling og andre services, men jeg mener det er en
> fejl at disse adresser kan ses på vores backbone.
Hvis netværket er designet sådan er det en fejl ellers ikke.
Tal med de ansvarlige om hvordan det er designet, jeg gætter på de
har forsøgt at holde prisen nede på et leje hvor alle kan være med.
> Det har jeg prøvet, og det var en tvivlsom oplevelse at se al den trafik
> passere, noget jeg ikke har set før med de tidligere ISP'er jeg har haft.
> Min Wan-lampe står og blinker lystigt hele døgnet rundt selv om mit udstyr
> kører eller ej.
Jeg gætter på din båndbredde ikke bliver forstyrret af det.
Lokalt har du vel en 10/100 Mbit forbindelse der routes over en 2-10
Mbit forbindelse.
> er ophørt, men trafikken er der jo stadig.
Ja og sandsynlig altid været der, og?
>>Hvis du ikke gider modtage trafikken så ring til leverandøren og hør
>>om det er deres design. Hvis det er tilfælde så skift leverandør,
>>ellers få dem til at rette deres fejl.
>>
>
> Da det er vores bolignet er det ikke en option at skifte da priserne er
> yderst attraktive, så jeg vil nok tage kontakt til supporten om der ikke er
> mulighed for at oprette et centralt filter til rfc1918 adresser.
Prisen bestemmer designet.
Hvis designet er uhensigtmæssigt og du og de andre gerne vil give flere
penge tror jeg godt designet kan ændres, ellers glem det.
| |
Hans (01-02-2006)
| Kommentar
Fra : Hans |
Dato : 01-02-06 22:55 |
|
Christian E. Lysel wrote:
>
> Tal med de ansvarlige om hvordan det er designet, jeg gætter på de
> har forsøgt at holde prisen nede på et leje hvor alle kan være med.
>
Der er nok ingen tvivl om at alt står åbent, hvilket giver nogle ulemper
hvis brugerne ikke tænker sig om.
>
> Jeg gætter på din båndbredde ikke bliver forstyrret af det.
>
> Lokalt har du vel en 10/100 Mbit forbindelse der routes over en 2-10
> Mbit forbindelse.
>
Vores intranet er 100 Mbit ud til det centrale udstyr hvor båndbredden
styres, og min forbindelse er 10/10 Mbit, men i praksis 23/10 Mbit, og jeg
mærker ingen begrænsning fra andre brugere uanset tidspunktet på døgnet.
>
>> er ophørt, men trafikken er der jo stadig.
>
> Ja og sandsynlig altid været der, og?
>
Det har du ret i, men ikke i samme grad som i dag.
>
>> Da det er vores bolignet er det ikke en option at skifte da priserne
>> er yderst attraktive, så jeg vil nok tage kontakt til supporten om
>> der ikke er mulighed for at oprette et centralt filter til rfc1918
>> adresser.
>
> Prisen bestemmer designet.
>
> Hvis designet er uhensigtmæssigt og du og de andre gerne vil give
> flere penge tror jeg godt designet kan ændres, ellers glem det.
>
Jeg tror desværre ikke det kun er vores netværk som har problemet, så det
bliver nok en umulig opgave.
Hans
| |
Kent Friis (01-02-2006)
| Kommentar
Fra : Kent Friis |
Dato : 01-02-06 23:01 |
|
Den Wed, 1 Feb 2006 22:55:27 +0100 skrev Hans:
> Christian E. Lysel wrote:
>>
>> Tal med de ansvarlige om hvordan det er designet, jeg gætter på de
>> har forsøgt at holde prisen nede på et leje hvor alle kan være med.
>>
> Der er nok ingen tvivl om at alt står åbent, hvilket giver nogle ulemper
> hvis brugerne ikke tænker sig om.
>>
>> Jeg gætter på din båndbredde ikke bliver forstyrret af det.
>>
>> Lokalt har du vel en 10/100 Mbit forbindelse der routes over en 2-10
>> Mbit forbindelse.
>>
> Vores intranet er 100 Mbit ud til det centrale udstyr hvor båndbredden
> styres, og min forbindelse er 10/10 Mbit, men i praksis 23/10 Mbit, og jeg
> mærker ingen begrænsning fra andre brugere uanset tidspunktet på døgnet.
Og så brokker du dig over 0.01 MBit ud af de 100, som ikke påvirker
de 23/10 overhovedet?
Hvad er problemet egentlig?
>>> er ophørt, men trafikken er der jo stadig.
>>
>> Ja og sandsynlig altid været der, og?
>>
> Det har du ret i, men ikke i samme grad som i dag.
Ikke hvis du vil betale for en router til hver eneste bruger på
netværket.
>>> Da det er vores bolignet er det ikke en option at skifte da priserne
>>> er yderst attraktive, så jeg vil nok tage kontakt til supporten om
>>> der ikke er mulighed for at oprette et centralt filter til rfc1918
>>> adresser.
>>
>> Prisen bestemmer designet.
>>
>> Hvis designet er uhensigtmæssigt og du og de andre gerne vil give
>> flere penge tror jeg godt designet kan ændres, ellers glem det.
>>
> Jeg tror desværre ikke det kun er vores netværk som har problemet, så det
> bliver nok en umulig opgave.
Er det et problem for dit båndbredde hvis andre netværk har et
lignende setup?
Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.
| |
Peer Krogh Petersen (01-02-2006)
| Kommentar
Fra : Peer Krogh Petersen |
Dato : 01-02-06 20:23 |
|
"Hans" <nospam@kvik.org.invalid> skrev i en meddelelse
news:43e0fd89$0$15781$14726298@news.sunsite.dk...
> Er der nogen son har et bud på hvordan jeg finder den bøverrik som bliver
> ved med forsøg på spoofing af min forbindelse:
>
> http://kvik.org/inet/spoofing.txt
Lugter lidt af DoS ??
Der er i manualen til bl.a. Zywall 2 udemærkede forklaringer på IP Spoofing.
mvh
Peer
| |
Hans (01-02-2006)
| Kommentar
Fra : Hans |
Dato : 01-02-06 20:31 |
|
Peer Krogh Petersen wrote:
> "Hans" <nospam@kvik.org.invalid> skrev i en meddelelse
> news:43e0fd89$0$15781$14726298@news.sunsite.dk...
>> Er der nogen son har et bud på hvordan jeg finder den bøverrik som
>> bliver ved med forsøg på spoofing af min forbindelse:
>>
>> http://kvik.org/inet/spoofing.txt
>
>
>
> Lugter lidt af DoS ??
>
> Der er i manualen til bl.a. Zywall 2 udemærkede forklaringer på IP
> Spoofing.
Jeg er helt med på hvad spoofing er, og pakkerne kommer da heller ikke
videre på grund af anti-spoofing filteret, men det ville være rart at kunne
finde Mac-adressen på afsenderen.
Hans
| |
Christian E. Lysel (01-02-2006)
| Kommentar
Fra : Christian E. Lysel |
Dato : 01-02-06 21:43 |
|
Hans wrote:
> videre på grund af anti-spoofing filteret, men det ville være rart at kunne
> finde Mac-adressen på afsenderen.
Det vil en pakkesniffer evt. kunne fortælle.
| |
Kent Friis (01-02-2006)
| Kommentar
Fra : Kent Friis |
Dato : 01-02-06 22:20 |
|
Den Wed, 01 Feb 2006 21:42:41 +0100 skrev Christian E. Lysel:
> Hans wrote:
>> videre på grund af anti-spoofing filteret, men det ville være rart at kunne
>> finde Mac-adressen på afsenderen.
>
> Det vil en pakkesniffer evt. kunne fortælle.
Kan den også fortælle hvad man så kan bruge mac-adressen til? Udover
at se at det iøvrigt er et RTL8139 netkort det kommer fra...
Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.
| |
Hans (01-02-2006)
| Kommentar
Fra : Hans |
Dato : 01-02-06 22:25 |
|
Kent Friis wrote:
> Den Wed, 01 Feb 2006 21:42:41 +0100 skrev Christian E. Lysel:
>> Hans wrote:
>>> videre på grund af anti-spoofing filteret, men det ville være rart
>>> at kunne finde Mac-adressen på afsenderen.
>>
>> Det vil en pakkesniffer evt. kunne fortælle.
>
> Kan den også fortælle hvad man så kan bruge mac-adressen til? Udover
> at se at det iøvrigt er et RTL8139 netkort det kommer fra...
>
Mac-adressen er registreret sammen med en fast IP hos vores udbyder, så den
er ganske kundespecifik. Vi har mulighed for 3 faste IP-adresser.
Hans
| |
Christian E. Lysel (01-02-2006)
| Kommentar
Fra : Christian E. Lysel |
Dato : 01-02-06 22:31 |
|
Kent Friis wrote:
>>>videre på grund af anti-spoofing filteret, men det ville være rart at kunne
>>>finde Mac-adressen på afsenderen.
>>
>>Det vil en pakkesniffer evt. kunne fortælle.
>
>
> Kan den også fortælle hvad man så kan bruge mac-adressen til? Udover
Ja, spørgeren vil da få det rart.
| |
Kent Friis (01-02-2006)
| Kommentar
Fra : Kent Friis |
Dato : 01-02-06 21:09 |
|
Den Wed, 1 Feb 2006 19:27:20 +0100 skrev Hans:
> Er der nogen son har et bud på hvordan jeg finder den bøverrik som bliver
> ved med forsøg på spoofing af min forbindelse:
>
> http://kvik.org/inet/spoofing.txt
>
> Ovenstående er bare en bid af min Zywall's log, men sådan har det set ud
> siden kl. 14.00 og still going strong. Jeg er ikke specielt bekymret, men
> det er irriterende at vedkommende bruger min båndbredde.
Det er en eller anden dims der mangler NAT, som multicaster noget
SSDP. Ifølge google kunne det evt. være Windows Messenger, men der
er sikkert en million andre muligheder. Og et par 137/138, det er
Windows SMB (CIFS) der forsøger at finde "venner".
Det eneste i den log der har med spoofing at gøre er din Zywall
der åbenbart har lært et nyt ord den ikke ved hvad betyder. Der
er ingen af de IP-numre der er dine, det er rfc1918 adresser og
multicast-adresser det hele.
Trafikken du ser er sandsynligvis ikke anderledes end tilsvarende
trafik fra andre på samme broadcast-domæne[1], din ZyWall kløjs
bare i dem her fordi de ikke er NAT'et (som de burde være).
Mvh
Kent
[1] Går ud fra der ikke er noget fancy multicast-routning involveret.
--
Hard work may pay off in the long run, but laziness pays off right now.
| |
Hans (01-02-2006)
| Kommentar
Fra : Hans |
Dato : 01-02-06 21:25 |
|
Kent Friis wrote:
> Den Wed, 1 Feb 2006 19:27:20 +0100 skrev Hans:
>> Er der nogen son har et bud på hvordan jeg finder den bøverrik som
>> bliver ved med forsøg på spoofing af min forbindelse:
>>
>> http://kvik.org/inet/spoofing.txt
>>
>> Ovenstående er bare en bid af min Zywall's log, men sådan har det
>> set ud siden kl. 14.00 og still going strong. Jeg er ikke specielt
>> bekymret, men det er irriterende at vedkommende bruger min
>> båndbredde.
>
> Det er en eller anden dims der mangler NAT, som multicaster noget
> SSDP. Ifølge google kunne det evt. være Windows Messenger, men der
> er sikkert en million andre muligheder. Og et par 137/138, det er
> Windows SMB (CIFS) der forsøger at finde "venner".
>
Det er vi helt enige om.
>
> Det eneste i den log der har med spoofing at gøre er din Zywall
> der åbenbart har lært et nyt ord den ikke ved hvad betyder. Der
> er ingen af de IP-numre der er dine, det er rfc1918 adresser og
> multicast-adresser det hele.
>
Jeg mener nu at den har ret i dens udmelding, da mit Lan bagved firewallen
ligger i samme ip-segment som der forsøges spoofet udefra.
>
> Trafikken du ser er sandsynligvis ikke anderledes end tilsvarende
> trafik fra andre på samme broadcast-domæne[1], din ZyWall kløjs
> bare i dem her fordi de ikke er NAT'et (som de burde være).
>
Det som undrer mig er, at rfc1918 adresserne overhovedet får lov til at
blive rutet på backbonen.
Hans
| |
Kent Friis (01-02-2006)
| Kommentar
Fra : Kent Friis |
Dato : 01-02-06 22:15 |
|
gDen Wed, 1 Feb 2006 21:24:54 +0100 skrev Hans:
> Kent Friis wrote:
>> Den Wed, 1 Feb 2006 19:27:20 +0100 skrev Hans:
>>> Er der nogen son har et bud på hvordan jeg finder den bøverrik som
>>> bliver ved med forsøg på spoofing af min forbindelse:
>>>
>>> http://kvik.org/inet/spoofing.txt
>>>
>>> Ovenstående er bare en bid af min Zywall's log, men sådan har det
>>> set ud siden kl. 14.00 og still going strong. Jeg er ikke specielt
>>> bekymret, men det er irriterende at vedkommende bruger min
>>> båndbredde.
>>
>> Det er en eller anden dims der mangler NAT, som multicaster noget
>> SSDP. Ifølge google kunne det evt. være Windows Messenger, men der
>> er sikkert en million andre muligheder. Og et par 137/138, det er
>> Windows SMB (CIFS) der forsøger at finde "venner".
>>
> Det er vi helt enige om.
>>
>> Det eneste i den log der har med spoofing at gøre er din Zywall
>> der åbenbart har lært et nyt ord den ikke ved hvad betyder. Der
>> er ingen af de IP-numre der er dine, det er rfc1918 adresser og
>> multicast-adresser det hele.
>>
> Jeg mener nu at den har ret i dens udmelding, da mit Lan bagved firewallen
> ligger i samme ip-segment som der forsøges spoofet udefra.
Det er kun fordi du tilfældigvis har brugt samme rfc1918 blok som
afsenderen har.
Afsender-adressen er ikke 192.168.1.1 på dit netværk, men 192.168.1.1 på
*hans* netværk.
>> Trafikken du ser er sandsynligvis ikke anderledes end tilsvarende
>> trafik fra andre på samme broadcast-domæne[1], din ZyWall kløjs
>> bare i dem her fordi de ikke er NAT'et (som de burde være).
>>
> Det som undrer mig er, at rfc1918 adresserne overhovedet får lov til at
> blive rutet på backbonen.
Det gør de sandsynligvis heller ikke, det er sandsynligvis broadcast
trafik som ikke routes. Du skal nok finde personen med NAT-problemer
på samme central (eller whatever) som dig selv.
Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.
| |
Hans (01-02-2006)
| Kommentar
Fra : Hans |
Dato : 01-02-06 22:39 |
|
Kent Friis wrote:
> gDen Wed, 1 Feb 2006 21:24:54 +0100 skrev Hans:
>> Kent Friis wrote:
>>> Den Wed, 1 Feb 2006 19:27:20 +0100 skrev Hans:
>>>
>> Jeg mener nu at den har ret i dens udmelding, da mit Lan bagved
>> firewallen ligger i samme ip-segment som der forsøges spoofet udefra.
>
> Det er kun fordi du tilfældigvis har brugt samme rfc1918 blok som
> afsenderen har.
>
> Afsender-adressen er ikke 192.168.1.1 på dit netværk, men 192.168.1.1
> på *hans* netværk.
>
Er det ikke også det jeg skriver ovenfor, at trafikken udefra ligger i samme
segment? Jeg taler ikke om trafik fra mit eget lan.
>
>> Det som undrer mig er, at rfc1918 adresserne overhovedet får lov til
>> at blive rutet på backbonen.
>
> Det gør de sandsynligvis heller ikke, det er sandsynligvis broadcast
> trafik som ikke routes. Du skal nok finde personen med NAT-problemer
> på samme central (eller whatever) som dig selv.
>
Nu må jeg se om det fortsætter i morgen da vedkommende tilsyneladende er
gået i seng. Det startede i dag kl. 15.01 og ophørte kl. 22.12, så mon ikke
det handler om en skoleelev, og måske også forældrene som ikke helt har tjek
på netværk og sikkerhed.
Hans
| |
Kent Friis (01-02-2006)
| Kommentar
Fra : Kent Friis |
Dato : 01-02-06 22:58 |
|
Den Wed, 1 Feb 2006 22:38:56 +0100 skrev Hans:
> Kent Friis wrote:
>> gDen Wed, 1 Feb 2006 21:24:54 +0100 skrev Hans:
>>> Kent Friis wrote:
>>>> Den Wed, 1 Feb 2006 19:27:20 +0100 skrev Hans:
>>>>
>>> Jeg mener nu at den har ret i dens udmelding, da mit Lan bagved
>>> firewallen ligger i samme ip-segment som der forsøges spoofet udefra.
>>
>> Det er kun fordi du tilfældigvis har brugt samme rfc1918 blok som
>> afsenderen har.
>>
>> Afsender-adressen er ikke 192.168.1.1 på dit netværk, men 192.168.1.1
>> på *hans* netværk.
>>
> Er det ikke også det jeg skriver ovenfor, at trafikken udefra ligger i samme
> segment? Jeg taler ikke om trafik fra mit eget lan.
Nej, du siger at den har ret i at det er spoofet, og det er det ikke.
Trafikken *kommer* rent faktisk fra hans netværk.
>>> Det som undrer mig er, at rfc1918 adresserne overhovedet får lov til
>>> at blive rutet på backbonen.
>>
>> Det gør de sandsynligvis heller ikke, det er sandsynligvis broadcast
>> trafik som ikke routes. Du skal nok finde personen med NAT-problemer
>> på samme central (eller whatever) som dig selv.
>>
> Nu må jeg se om det fortsætter i morgen da vedkommende tilsyneladende er
> gået i seng. Det startede i dag kl. 15.01 og ophørte kl. 22.12, så mon ikke
> det handler om en skoleelev, og måske også forældrene som ikke helt har tjek
> på netværk og sikkerhed.
Der er typisk ikke noget sikkerhedsmæssigt problem i udgående
trafik.
Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.
| |
|
|