[HACK] Protocolo 255

Angel Protector angelprotector at hotmail.com
Fri Jun 27 13:47:46 CEST 2003


>From: Dani Gomà <dgoma at telepolis.es>
>Subject: [HACK] Protocolo 255
>
>Hola,

Hi

>Tengo un problemilla (por no decir un problema de cojones), observad este
>fragmento capturado por el tcpdump desde mi firewall:
>
>
>16:20:20.556293 I 10.3.0.62 > 192.26.210.1: ip-proto-255 1480 (frag
>12822:1480 at 0+)
>16:20:20.556296 I 10.3.0.62 > 192.26.210.1: (frag 12822:20 at 1480)
>16:20:20.556300 I 10.3.0.62 > 192.26.210.1: ip-proto-255 1480 (frag
>12823:1480 at 0+)
>16:20:20.556303 I 10.3.0.62 > 192.26.210.1: (frag 12823:20 at 1480)
>16:20:20.556307 I 10.3.0.62 > 192.26.210.1: ip-proto-255 1480 (frag
>
>Como veis hay una montaña de tráfico dirigido desde una ip de mi red
>privada, hasta un dirección pública situada en Canadá. És tal el volumen 
>que
>el firewall es incapaz de alojar tantas conexiones en memoria y muere ...
>
>Me ha pasado con varios clientes distintos de la LAN privada (todos
>windows), y no tengo ni idea de que está pasando ... alguien conoce algún
>tipo de ataque o gusano que se aproveche del protocolo 255 ??? Haber si
>podeis echar un poco de luz sobre el tema ...

Haber... sinceramente estaria bueno poder ver el payload completo de este
trafico, de todas formas pareceria ser algun ataque de denegacion de
servicio, a partir de direcciones spoofeadas... mmm quizas con alguna
utilidad como hping.

Realmente pudiste detectar que el origen real del trafico son tus clientes
windows??? o lo estas suponiendo por las ip's??  Tienes algun signo de
compromiso? tu firewall o ids acusan algun otro tipo de trafico extraño?
seguido a este o anterior??


>Muchas gracias
>
>Dani

Okis.. saludos.

Angel Protector
Raregazz Security Team
[http://www.raregazz.org/]

_________________________________________________________________
Charla con tus amigos en línea mediante MSN Messenger: 
http://messenger.yupimsn.com/




More information about the hacking mailing list