DSL traffic

Panagiotis Atmatzidis p.atmatzidis at gmail.com
Fri Apr 28 01:34:24 EEST 2006


Giorgos Keramidas wrote:
> On 2006-04-27 20:48, Konstantinos Togias <ktogias at math.upatras.gr> wrote:
>> Ναι.. Κι εγώ έχω τα ίδια κρόυσματα... Πρόκειται για compromized
>> windows pcs που κάνουν portscan για να χτηπίσουν γνωστά vunerabilities
>> των windows. Είναι τόσα πολλά τα hits που κυριολεκτικά μου γέμιζε τα
>> logs. Στο τέλος αποφάσισα να μην κάνω log όσα πακέτα πάνε σε γνωστές
>> win ports (πχ. netbios, windows network κλπ).
> 
> Που να δεις τι στέλνουν τα μη-compromised Windows PCs όταν αποφασίσουν
> ότι είναι ώρα να αρχίσουν να 'ανακαλύπτουν τον κόσμο' με UDP broadcast:
> 
> % # tcpdump -tttt -nl -v -r /var/log/pflog | grep NBT | head -1
> % 2006-04-27 20:00:27.897424 IP [...] proto: UDP (17), [...] a.b.c.d.138 > w.x.y.255.138: NBT UDP PACKET(138)
> % # tcpdump -tttt -nl -v -r /var/log/pflog | grep NBT | tail -1
> % 2006-04-27 20:54:57.557586 IP [...] proto: UDP (17), [...] a.b.c.e.138 > w.x.y.255.138: NBT UDP PACKET(138)
> % # tcpdump -tttt -nl -v -r /var/log/pflog | fgrep -v 10.6.0.123 | grep NBT | wc -l
> %      962
> % # perl -e 'print 962.0/54 . "\n"'
> # 17.8148148148148
> % # $ perl -e 'print 60.0 / ( 962.0 / 54 ) . "\n"'
> # 3.36798336798337
> 
> 17.814... πακέτα το λεπτό = 1 πακέτο ανά 3.367983... δευτερόλεπτα.
> 
> ΤΗΣ ΤΡΕΛΗΣ από UDP broacast :P
> 
> 

Μα πρέπει να υπάρχει κάποιος προφανείς λόγος για να στέλνουν πακέτα UDP, 
δεν μπορεί να το κάνουν random απλώς για να υπάρχει traffic. Μήπως 
κάποια services περιμένουν reply ή προσπαθούν απλώς να δηλώσουν την 
ύπαρξη του υπολογιστή έτσι ώστε σε περίπτωση που είσαι σε δίκτυο π.χ. να 
δουν αυτόματα κάποια shares ή άλλες δικτυακές υπηρεσίες?




More information about the Linux-greek-users mailing list