[HACK] Protocolo 255
Dani Gomà
dgoma at telepolis.es
Thu Jun 26 16:43:16 CEST 2003
Hola,
Tengo un problemilla (por no decir un problema de cojones), observad este
fragmento capturado por el tcpdump desde mi firewall:
16:20:20.556293 I 10.3.0.62 > 192.26.210.1: ip-proto-255 1480 (frag
12822:1480 at 0+)
16:20:20.556296 I 10.3.0.62 > 192.26.210.1: (frag 12822:20 at 1480)
16:20:20.556300 I 10.3.0.62 > 192.26.210.1: ip-proto-255 1480 (frag
12823:1480 at 0+)
16:20:20.556303 I 10.3.0.62 > 192.26.210.1: (frag 12823:20 at 1480)
16:20:20.556307 I 10.3.0.62 > 192.26.210.1: ip-proto-255 1480 (frag
12824:1480 at 0+)
16:20:20.556311 I 10.3.0.62 > 192.26.210.1: (frag 12824:20 at 1480)
16:20:20.556315 I 10.3.0.62 > 192.26.210.1: ip-proto-255 1480 (frag
12825:1480 at 0+)
16:20:20.556318 I 10.3.0.62 > 192.26.210.1: (frag 12825:20 at 1480)
16:20:20.556322 I 10.3.0.62 > 192.26.210.1: ip-proto-255 1480 (frag
12826:1480 at 0+)
16:20:20.556325 I 10.3.0.62 > 192.26.210.1: (frag 12826:20 at 1480
16:20:20.556329 I 10.3.0.62 > 192.26.210.1: ip-proto-255 1480 (frag
12827:1480 at 0+)
16:20:20.556333 I 10.3.0.62 > 192.26.210.1: (frag 12827:20 at 1480)
16:20:20.556337 I 10.3.0.62 > 192.26.210.1: ip-proto-255 1480 (frag
12828:1480 at 0+)
16:20:20.556341 I 10.3.0.62 > 192.26.210.1: (frag 12828:20 at 1480)
16:20:20.556345 I 10.3.0.62 > 192.26.210.1: ip-proto-255 1480 (frag
12829:1480 at 0+)
16:20:20.556348 I 10.3.0.62 > 192.26.210.1: (frag 12829:20 at 1480)
16:20:20.556353 I 10.3.0.62 > 192.26.210.1: ip-proto-255 1480 (frag
12830:1480 at 0+)
16:20:20.556356 I 10.3.0.62 > 192.26.210.1: (frag 12830:20 at 1480)
16:20:20.556361 I 10.3.0.62 > 192.26.210.1: ip-proto-255 1480 (frag
12831:1480 at 0+)
16:20:20.556364 I 10.3.0.62 > 192.26.210.1: (frag 12831:20 at 1480)
16:20:20.556368 I 10.3.0.62 > 192.26.210.1: ip-proto-255 1480 (frag
12832:1480 at 0+)
16:20:20.556372 I 10.3.0.62 > 192.26.210.1: (frag 12832:20 at 1480)
16:20:20.561444 I 10.3.0.62 > 192.26.210.1: ip-proto-255 1480 (frag
12833:1480 at 0+)
Como veis hay una montaña de tráfico dirigido desde una ip de mi red
privada, hasta un dirección pública situada en Canadá. És tal el volumen que
el firewall es incapaz de alojar tantas conexiones en memoria y muere ...
Me ha pasado con varios clientes distintos de la LAN privada (todos
windows), y no tengo ni idea de que está pasando ... alguien conoce algún
tipo de ataque o gusano que se aproveche del protocolo 255 ??? Haber si
podeis echar un poco de luz sobre el tema ...
Muchas gracias
Dani
More information about the hacking
mailing list