Scritto da: Paolo1 19/09/2003 10.54
E' normale che IE comunichi con il localhost su udp, e le connessioni sul localhost sono sicure, per cui non c'è ragione per impedirglielo (limitatamente a QUELL'indizizzo, ovviamente).
10.55
Ovvio,quello è un indirizzo di loopback ma mi è capitato parecchie volte di vedere lameroni che simulavano un indirizzo di loopback...
Quindi in questo caso le ipotesi sono due:
1)1) stanno scaricando la rete riempiendola di syn flood, sperando che il defenser ne svuoti la cache tampone (del fw, router o qualsiasi altro appliance) per evitare un buffer overflow (DoS) e quindi lanciare un bit di ack per spoofare allegramente.
2) cercando di capire cosa ci sia dietro a ciò che vedono dalle risposte al loro scan. Solitamente un router o un front-end generico, se ben settati, ignorano il traffico d'ingresso se classificato come scan altrimenti avvisano di un DoS in corso, magari grazie a un sistema di rilevazione intrusioni.
Nel caso di un personal firewall, il suo cioè, aspettano risposte dal metodo di stop dei pacchetti usato, o magari...si stan bevendo e fumando l'impossibile e non se ne accorgono nemmeno
Riassumendo penso che sia un DoS o uno smurf se sul loopback hai una broadcast aperta (ma non credo bisogna proprio abilitare l'opzione relativa nel kernel,almeno su Linux,su windows non so
). Se è IP Spoofing credo che sia cosa a basso livello e quindi molto elaborata e complessa
Modificato da Dax0r 19/09/2003 15.44