Re: kazaa mi proba la rete ???

At 10.08 22/03/2002 +0100, you wrote:
>Ragazzi, come la paranoia insegna ho il mio bel IDS che mi "controlla" la
>rete.
>Ultimamente ho notato che i client Kazaa (utilizzati solo da noi
>amministatori) mi "probano" la rete
>ovvero prendono le routing tables... e provano a connettersi alla porta 1214
>di host randomici delle net presenti nella routing table.

Non ti preoccupare, la  1214 è la porta che utilizzano i prog
peer to peer come kazaa, morpheus & C.

Se tu ti connetti con un browser in http ala porta 1214 di una
macchina su cui sta girando kazaa troverai un elenco dei files
condivisi da quella macchina

Non ti preoccupare è una parola grossa comunque è il protocollo
che è fatto così, kazaa cerchera solo altri host su cui gira il client

Ciao



>sono normalissimi Syn, giusto per vedere se la "porta è aperta"
>
>
>CID:125 [**] -Syn non permesso a DMZ Pubblica! [**]
>2002-03-22 10:05:23 192.168.5.17:1646 -> 192.168.3.17:1214
>TCP TTL:128 TOS:0x0 ID:8115 IPLen:48 HLen:5 CSumIP:0x51A2
>******S* Seq:0x69CC242A Ack:0x0 Win:0x4000 CSumTCP:0x208A
>TCP Options (4) => NO-OP NO-OP SACKOK MSS:05B4
>
>CID:106 [**] Syn non permesso a DMZ Privata! [**]
>2002-03-22 09:41:40 192.168.5.17:1188 -> 192.168.0.98:1214
>TCP TTL:128 TOS:0x0 ID:1491 IPLen:48 HLen:5 CSumIP:0x6B31
>******S* Seq:0x55239BA2 Ack:0x0 Win:0x4000 CSumTCP:0xBF33
>TCP Options (4) => SACKOK NO-OP MSS:05B4 NO-OP
>
>
>che ne dite ???
>
>potrebbe essere una cosa dovuta al connection tracking del NAT ??
>
>
>
>
>________________________________________________________
>http://www.sikurezza.org - Italian Security Mailing List


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List