Re:IP Spoofing o BLASTER?

Scusate il distubo ma ho interesse a riaccendere questa discussione. 

Da un po di giorni ho iniziato a provare il funzionamento di snort, così ho 
sto provando a monitorare il traffico che arriva al mio laptop, che è 
collegato alla rete locale (dove lavoro) attraverso uno switch. 

La prima cosa che mi è apparsa evidente è stata la valanga di pacchetti che 
allertavano snort con la signature :BAD-TRAFFIC loopback traffic. Ho letto le 
email sulla vostra ml ma non ho chiarito i miei dubbi.

Stato dell'arte:
I pacchetti che snort a loggato hanno come ip source 127.0.0.1 porta 80 e come 
destinatario per il 50% la macchina su cui gira snort e per l'altro 50% degli 
ip pubblici della Lan che io gestisco.

Domande:

1.
E' possibile che questi pacchetti in ingresso siano dei pacchetti Broadcast? 
Ho provato ad effettuare un controllo incorciato snort-tcpdump, e ho noato 
che gli allert di snort li ritrovo nell'output di tcpdum solo se non ho 
impostato il flag "! broadcast"?

2.
Chi invia questi pacchetti broadcast(se così son fatti)?

3. 
Se fosse vera la spiegazione di Fabio Panigatti postata 17 settembre 2003, e 
questi pacchetti arrivassero realmente da intenet attaverso il roouter, 
perchè dovrebbero essere diretti alle macchine della mia LAN?

Posso aver detto molte stupidezze e mi scuso in anticipo, ma ho voluto 
scrivervi perchè vorrei imparare da questi problemi.

Saluti

Paolo 


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List