From: Stefan Arbeiter (stefan.arbeiter_at_student.uni-tuebingen.de)
Date: 21. Oct 2000
On Sat, 21 Oct 2000, Sebastian Stark wrote:
> Oct 19 20:39:29 gosh ipmon[15668]: 20:39:28.973598
> tun0 @0:22 b 192.168.63.5 -> 62.180.218.93 PR icmp len 20 56 icmp 3/3
> for 62.180.218.93,53 - 192.168.63.5,53 PR udp len 20 20480 IN
Wenn ich das richtige lese, schickt 192.168.63.5 hier ein ICMP
Destination unreachable / Port unreachable für den Port 53 auf
62.180.218.93,53 an 62.180.218.93.
> Kann mir jemand evtl erlaeutern, was dieses "for <ip> - <ip>" zu bedeuten hat?
Offensichtlich wertet IPfilter die ICMP-Code aus, vielleicht bezieht sich
die IP nach dem "-" auf Port und Protokoll des ursprünglichen Paketes.
Du kannst ja mit SING selber solche ICMP-Nachrichten erzeugen, und
an deinen IP-Filter Host schicken -
> Zu bemerken ist, dass "192.168.63.5" _keine_ von mir verwendete Adresse ist,
> sondern offensichtlich gespooft wurde. Die 62er Adresse ist meine aktuelle
> Dialup IP.
Die Adresse ist zwar komisch, aber wenn du ICMP Typ 3 abfängst, kann
auch regulärer Traffic das auslösen -
Vor allem : Was bringt es, dir von einer gespooften Quelladdresse ein
ICMP 3 Typ 3 zu schicken ? Darauf gibt's doch keine Antwort ?
Keine Ahnung. Vielleicht ne Cisco auf Jolt %-)
gruss
stefan
-- Life is black. To make it sweet, add sugar and milk.
Dieses Archiv wurde generiert von hypermail 2.1.2 : 11. Mar 2002 CET