DSL traffic

[Giorgos Keramidas]

On 2006-04-28 01:34, Panagiotis Atmatzidis <p.atmatzidis at gmail.com> wrote:
>Giorgos Keramidas wrote:
>>On 2006-04-27 20:48, Konstantinos Togias <ktogias at math.upatras.gr> wrote:
>>>Ναι.. Κι εγώ έχω τα ίδια κρόυσματα... Πρόκειται για compromized
>>>windows pcs που κάνουν portscan για να χτηπίσουν γνωστά vunerabilities
>>>των windows. Είναι τόσα πολλά τα hits που κυριολεκτικά μου γέμιζε τα
>>>logs. Στο τέλος αποφάσισα να μην κάνω log όσα πακέτα πάνε σε γνωστές
>>>win ports (πχ. netbios, windows network κλπ).
>>
>>Που να δεις τι στέλνουν τα μη-compromised Windows PCs όταν αποφασίσουν
>>ότι είναι ώρα να αρχίσουν να 'ανακαλύπτουν τον κόσμο' με UDP broadcast:
>>
>>% # tcpdump -tttt -nl -v -r /var/log/pflog | grep NBT | head -1
>>% 2006-04-27 20:00:27.897424 IP [...] proto: UDP (17), [...] a.b.c.d.138 >
>>w.x.y.255.138: NBT UDP PACKET(138)
>>% # tcpdump -tttt -nl -v -r /var/log/pflog | grep NBT | tail -1
>>% 2006-04-27 20:54:57.557586 IP [...] proto: UDP (17), [...] a.b.c.e.138 >
>>w.x.y.255.138: NBT UDP PACKET(138)
>>% # tcpdump -tttt -nl -v -r /var/log/pflog | fgrep -v 10.6.0.123 | grep
>>NBT | wc -l
>>%      962
>>% # perl -e 'print 962.0/54 . "\n"'
>># 17.8148148148148
>>% # $ perl -e 'print 60.0 / ( 962.0 / 54 ) . "\n"'
>># 3.36798336798337
>>
>>17.814... πακέτα το λεπτό = 1 πακέτο ανά 3.367983... δευτερόλεπτα.
>>
>>ΤΗΣ ΤΡΕΛΗΣ από UDP broacast :P
>
> Μα πρέπει να υπάρχει κάποιος προφανείς λόγος για να στέλνουν πακέτα UDP,
> δεν μπορεί να το κάνουν random απλώς για να υπάρχει traffic. Μήπως
> κάποια services περιμένουν reply ή προσπαθούν απλώς να δηλώσουν την
> ύπαρξη του υπολογιστή έτσι ώστε σε περίπτωση που είσαι σε δίκτυο π.χ. να
> δουν αυτόματα κάποια shares ή άλλες δικτυακές υπηρεσίες?

Ο προφανής λόγος είναι ότι έτσι έχει σχεδιαστεί να δουλεύει ένα
σημαντικό μέρος από το SMB πρωτόκολο (ναι, καλά το ψυλιάστηκες ότι έχει
σχέση με την αυτόματη ανακάλυψη των διαθέσιμων μηχανημάτων, shares,
κλπ.)