DSL traffic

[Giorgos Keramidas]

On 2006-04-27 20:48, Konstantinos Togias <ktogias at math.upatras.gr> wrote:
> Ναι.. Κι εγώ έχω τα ίδια κρόυσματα... Πρόκειται για compromized
> windows pcs που κάνουν portscan για να χτηπίσουν γνωστά vunerabilities
> των windows. Είναι τόσα πολλά τα hits που κυριολεκτικά μου γέμιζε τα
> logs. Στο τέλος αποφάσισα να μην κάνω log όσα πακέτα πάνε σε γνωστές
> win ports (πχ. netbios, windows network κλπ).

Που να δεις τι στέλνουν τα μη-compromised Windows PCs όταν αποφασίσουν
ότι είναι ώρα να αρχίσουν να 'ανακαλύπτουν τον κόσμο' με UDP broadcast:

% # tcpdump -tttt -nl -v -r /var/log/pflog | grep NBT | head -1
% 2006-04-27 20:00:27.897424 IP [...] proto: UDP (17), [...] a.b.c.d.138 > w.x.y.255.138: NBT UDP PACKET(138)
% # tcpdump -tttt -nl -v -r /var/log/pflog | grep NBT | tail -1
% 2006-04-27 20:54:57.557586 IP [...] proto: UDP (17), [...] a.b.c.e.138 > w.x.y.255.138: NBT UDP PACKET(138)
% # tcpdump -tttt -nl -v -r /var/log/pflog | fgrep -v 10.6.0.123 | grep NBT | wc -l
%      962
% # perl -e 'print 962.0/54 . "\n"'
# 17.8148148148148
% # $ perl -e 'print 60.0 / ( 962.0 / 54 ) . "\n"'
# 3.36798336798337

17.814... πακέτα το λεπτό = 1 πακέτο ανά 3.367983... δευτερόλεπτα.

ΤΗΣ ΤΡΕΛΗΣ από UDP broacast :P