[linux] Flood hack ?? podivne spravanie // arp who-has 500x/1sekunda

Úterý Leden 3 23:32:55 CET 2006

On Tue, Jan 03, 2006 at 11:14:02PM +0100, Jan Kunder wrote:
> Ahoj
> 
> Chcel by som sa spytat na IMHO abnormalne spravanie sa v sieti.
> Vsimol som si to tak, ze sietovka (citaj dioda ETHERNET) na 
> chello-cable-modem stale blikala!
> 
> Za 10 sekund pozorovania (tcpdump), ked nebol ziaden traffic/requesty z 
> mojej strany som vyzistil toto:
> nonstop opakujuce sa:
> 18:31:31.294356 arp who-has chello085216166124.chello.sk tell 
> chello085216160001.chello.sk
> 18:31:31.301249 arp who-has chello085216165170.chello.sk tell 
> chello085216160001.chello.sk
> 18:31:31.313380 arp who-has chello085216164224.chello.sk tell 
> chello085216163174.chello.sk
> 18:31:31.313660 arp who-has chello085216165086.chello.sk tell 
> chello085216163174.chello.sk

No vyzera to kazdopadne divne. U mna taketo momentalne nepozorujem. Na
druhej strane ja som celkom dobre ofirewallovany.
http://platon.sk/cvs/cvs.php/scripts/shell/firewall/fw-universal.sh

Ale isteho casu som pozoroval pokusy o prihlasovanie cez ssh. To mi uz
aj robilo nejaky load na serveri a vytazovalo linku. Cize ak mas chello,
urcite sa oplati mat dobre nakonfigurovany firewall. Je super mat
verejnu IP (aj ked dynamicky pridelenu), ale potom s roznymi pokusmi
o utok musis ratat.

rajo

-- 
Lubomir Host 'rajo' <rajo AT platon.sk>   ICQ #:  257322664   ,''`.
Platon Group                              http://platon.sk/  : :' :
Homepage: http://rajo.platon.sk/                             `. `'
http://www.gnu.org/philosophy/no-word-attachments.html         `-