Re: IP Spoofing o BLASTER?

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Ottobre 2003 ml@sikurezza.org
Soggetto: Re: IP Spoofing o BLASTER?
Mittente: embyte
Data: 17 Oct 2003 21:44:47 -0000

On Thursday 16 October 2003 15:10, Paolo Montevecchi wrote:
> Stato dell'arte:
> I pacchetti che snort a loggato hanno come ip source 127.0.0.1 porta 80 e
> come destinatario per il 50% la macchina su cui gira snort e per l'altro
> 50% degli ip pubblici della Lan che io gestisco.

Prendi Ethereal e dai una occhiata a queste cose:
1) indirizzi MAC del frame ethernet (fai una corrispondenza del source per 
identificare da dove vengono)
2) i pacchetti contengono dei dati? Di che tipo?
3) cè una certa correlazione dei campi ID, SEQ tra i vari pacchetti? Potrebbe 
essere un tool o un worm che genera traffico sempre uguale
4) la porta destinazione è sempre la stessa?

Se vuoi mandami i log in formato tcpdump (salvali da Ethereal) che ci do 
un'occhiata.

Ciao
-- 
bash$ :(){ :|:&};: 

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

In risposta a:
- Re:IP Spoofing o BLASTER?, Paolo Montevecchi

Data:
- precedente: Re: Re:IP Spoofing o BLASTER?, Fabio Panigatti
- successivo: esame CISSP a roma, 15 novembre 2003, marco misitano
- indice

Argomento:
- precedente: Re: IP Spoofing o BLASTER?, Fabio Panigatti
- successivo: Re: Re:IP Spoofing o BLASTER?, Raistlin
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005