[linux] Flood hack ?? podivne spravanie // arp who-has 500x/1sekunda
Lubomir Host
rajo na platon.sk
Úterý Leden 3 23:32:55 CET 2006
On Tue, Jan 03, 2006 at 11:14:02PM +0100, Jan Kunder wrote:
> Ahoj
>
> Chcel by som sa spytat na IMHO abnormalne spravanie sa v sieti.
> Vsimol som si to tak, ze sietovka (citaj dioda ETHERNET) na
> chello-cable-modem stale blikala!
>
> Za 10 sekund pozorovania (tcpdump), ked nebol ziaden traffic/requesty z
> mojej strany som vyzistil toto:
> nonstop opakujuce sa:
> 18:31:31.294356 arp who-has chello085216166124.chello.sk tell
> chello085216160001.chello.sk
> 18:31:31.301249 arp who-has chello085216165170.chello.sk tell
> chello085216160001.chello.sk
> 18:31:31.313380 arp who-has chello085216164224.chello.sk tell
> chello085216163174.chello.sk
> 18:31:31.313660 arp who-has chello085216165086.chello.sk tell
> chello085216163174.chello.sk
No vyzera to kazdopadne divne. U mna taketo momentalne nepozorujem. Na
druhej strane ja som celkom dobre ofirewallovany.
http://platon.sk/cvs/cvs.php/scripts/shell/firewall/fw-universal.sh
Ale isteho casu som pozoroval pokusy o prihlasovanie cez ssh. To mi uz
aj robilo nejaky load na serveri a vytazovalo linku. Cize ak mas chello,
urcite sa oplati mat dobre nakonfigurovany firewall. Je super mat
verejnu IP (aj ked dynamicky pridelenu), ale potom s roznymi pokusmi
o utok musis ratat.
rajo
--
Lubomir Host 'rajo' <rajo AT platon.sk> ICQ #: 257322664 ,''`.
Platon Group http://platon.sk/ : :' :
Homepage: http://rajo.platon.sk/ `. `'
http://www.gnu.org/philosophy/no-word-attachments.html `-
Další informace o konferenci linux