Re: strani "giri" di traffico su adsl [was: Incredibile ... no bufala ..

Uhmmm.....
direi che il "pazzo della situazione" non sei tu, ma il comportamento che
indichi potrebbe assomigliare molto ad una ricerca "broadcast" di chi
ha spedito il pacchetto e "giri" inutili dello stesso fra i vari router
telecom
e chi vi è attaccato dietro.
Ciò in base a quanto dici...
>  ..... CUT .....                    A dire il vero l'azione di
> sniffing non è stata del tutto corretta in quanto il pacchetto era
composto
> dall'indirizzo IP di destinazione (FTP Server), l'indirizzo IP sorgente
> 192.168.1.28 (che non era il mio e che comunque non fa parte di nessuna
> sotto-rete in uso in entrambi gli uffici), la pass e la login.

Indi il pacchetto "mal forgiato" inviato all'host di destinazione, per il
famoso
3way - handshake, non è stato correttamente consegnato e ha cominciato a
"girovagare per la rete" fino a quando i vari "count hop" non lo hanno
segato
del tutto. Questo significa che potrebbe essere stato "visto" anche da
altri.
Quello che mi fa riflettere di più è che il collega con il quale parlavi era
di
Palermo anche lui (stessa diramazione a livello di router periferici
Telecom
=> sottorete (wan) cittadina o meglio Regionale)

Mi viene da pensare che sia tu che il tuo collega avete:
- Stesso provider di servizi (in questo caso Telecom x Adsl ? se metti su
  GNOMBA + samba troverai un sacco di C$ condivisi in rete senza che gli
   utenti che "giocano" con mIrc ne siano al corrente)
- Ipotizzo stessa architettura Internet -> NAT (+ FW ?) -> LAN
   (comunissima a molti di noi suppongo)
- Stavate lavorando entrambi con Win (versione ???)
- Eravate in chat con ??? (msn ?, mIrc ?.. questo, assieme al punto sul
S.Op.
   potrebbe aver fatto "scattare" il meccanismo di duplicazione del
messaggio
   attraverso una gestione "poco ortodossa" del Sock TCP/IP e il tuo
pacchetto
   è finito dall'altro lato senza scomodare molto i router del Gestore; il
fatto che
   anche un'altro programma stava cercando poi di utilizzare anche il
protocollo
   per il Win potrebbe essere stata un'altra possibile "comunione")

Come vedi ci sono troppe variabili a noi sconosciute per darti anche un
minimo di aiuto concreto, e qui sto ragionando molto per ipotesi.

Ultimo appunto: il "collega di banco dell'altro lato" con lo sniffer che ci
faceva
   in ufficio ? ... saremmo molto ai limiti delle violazioni elementari
(salvo che
  non fosse espressamente autorizzato) della Privacy, sicurezza ecc. ecc.
Ma questo è un'altro tema del quale (se leggi gli archivi) è già stato detto
molto
in lista.

ciao
Stefano

Ps: lavorando come te e il "compagno di banco" nella stessa città, puoi
postarmi in PVT per scambio idee, consigli in merito. ecc. e che non siano
di interesse comune per la lista.

riciao


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List