/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Hvad er det for nogle UDP pakker?
Fra : Kasper Dupont


Dato : 23-03-04 18:53

Siden 9. marts har jeg modtaget en strøm af UDP
pakker på 818 bytes hver. Pakkerne bliver sendt
fra tilfældige source IP og port adresser til
skiftevis port 1026 og port 1027. Pakkerne kommer
altid i par, først en til port 1026 derefter en
til port 1027 indenfor et par sekunder. De to
pakker bliver altid sendt med forskellige source
IP, så jeg formoder at mindst den ene må være
spoofet.

Hvad kan det være? Min første tanke var en eller
anden orm, men jeg kan ikke lige komme i tanke
om nogen orm, der startede den dag eller i øvrigt
opfører sig på den måde. Jeg kiggede på google
og fandt kun en enkelt tråd i en belgisk
nyhedsgruppe. Jeg kan ikke belgisk, men der var
nu alligevel ikke noget, der lignede et svar.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

 
 
Michael (23-03-2004)
Kommentar
Fra : Michael


Dato : 23-03-04 19:47


"Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
news:40607977.A44D0ECA@daimi.au.dk...
> Siden 9. marts har jeg modtaget en strøm af UDP
> pakker på 818 bytes hver. Pakkerne bliver sendt
> fra tilfældige source IP og port adresser til
> skiftevis port 1026 og port 1027. Pakkerne kommer
> altid i par, først en til port 1026 derefter en
> til port 1027 indenfor et par sekunder. De to
> pakker bliver altid sendt med forskellige source
> IP, så jeg formoder at mindst den ene må være
> spoofet.

Jeg ved ikke om det hjælper dig, men fandt lidt om de porte i går da jeg sad
og rodede lidt med at stramme min egen sikkerhed...
http://www.iana.org/assignments/port-numbers

/ Michael...



Hroi Sigurdsson (24-03-2004)
Kommentar
Fra : Hroi Sigurdsson


Dato : 24-03-04 00:28

Kasper Dupont wrote:

> Siden 9. marts har jeg modtaget en strøm af UDP
> pakker på 818 bytes hver. Pakkerne bliver sendt
> fra tilfældige source IP og port adresser til
> skiftevis port 1026 og port 1027. Pakkerne kommer
> altid i par, først en til port 1026 derefter en
> til port 1027 indenfor et par sekunder. De to
> pakker bliver altid sendt med forskellige source
> IP, så jeg formoder at mindst den ene må være
> spoofet.

Det ligner forsøg på pop-up spam via windows messenger servicen som
lytter på en port i det lave område startende på port 1025. Da der er
tale om en forbindelsesløs protokol er det ikke nødvendigt med en gyldig
afsenderadresse så begge adresser er sikkert spoofede og derfor meget
besværlige at spore. Der sendes til et par porte adgangen så
sandsynligheden for at ramme den rigtige port er højest.

--
Hroi

Kasper Dupont (24-03-2004)
Kommentar
Fra : Kasper Dupont


Dato : 24-03-04 13:43

Hroi Sigurdsson wrote:
>
> Det ligner forsøg på pop-up spam via windows messenger servicen som
> lytter på en port i det lave område startende på port 1025. Da der er
> tale om en forbindelsesløs protokol er det ikke nødvendigt med en gyldig
> afsenderadresse så begge adresser er sikkert spoofede og derfor meget
> besværlige at spore. Der sendes til et par porte adgangen så
> sandsynligheden for at ramme den rigtige port er højest.

Du har ret. Jeg sniffede lidt med ethereal og fandt
beskeden nedenfor. Den skal der såmænd nok være nogen,
der hopper på. Men hvad for en slags malware mon man
får, hvis man faktisk henter deres "patch".


Microsoft Security Bulletin MS03-043

Buffer Overrun in Messenger Service Could Allow Code Execution (828035)

Affected Software:

Microsoft Windows NT Workstation
Microsoft Windows NT Server 4.0
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Win98
Microsoft Windows Server 2003

Non Affected Software:

Microsoft Windows Millennium Edition

Your system is affected, download the patch from the address below !
FIRST TYPE THE ADDRESS BELOW INTO YOUR INTERNET BROWSER, THEN CLICK 'OK'.
THE ADDRESS WILL DISAPPEAR ONCE YOU HIT 'OK'.

www.windows-patch.info

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

Anders Wegge Jakobse~ (24-03-2004)
Kommentar
Fra : Anders Wegge Jakobse~


Dato : 24-03-04 16:11

"Kasper" == Kasper Dupont <kasperd@daimi.au.dk> writes:

> Hroi Sigurdsson wrote:
>>
>> Det ligner forsøg på pop-up spam via windows messenger servicen som
>> lytter på en port i det lave område startende på port 1025. Da der er
>> tale om en forbindelsesløs protokol er det ikke nødvendigt med en gyldig
>> afsenderadresse så begge adresser er sikkert spoofede og derfor meget
>> besværlige at spore. Der sendes til et par porte adgangen så
>> sandsynligheden for at ramme den rigtige port er højest.

> Du har ret. Jeg sniffede lidt med ethereal og fandt beskeden
> nedenfor. Den skal der såmænd nok være nogen, der hopper på. Men
> hvad for en slags malware mon man får, hvis man faktisk henter deres
> "patch".

Men ender hos et firma der vil sælge en IPBlocker:


<quote>
Welcome to SecureSoft.

Product to buy: Windows Software Patch - IPBlocker
License type: Single user license
Cost: $19.95 - One time charge
Description: Fixes the problems related to Microsoft Messenger
service.
Security issues and popup stop.

License Type

Single User License
@ $19.95 - One Time Charge
</quote>

Og så vil de ellers se kreditkortinformationer.

Ikke et firma jeg ville handle med.

--
/Wegge <http://outside.bakkelygaard.dk/~wegge/>
echo mail: !#^."<>"|tr "<> mail:" dk@wegge

Christian Iversen (24-03-2004)
Kommentar
Fra : Christian Iversen


Dato : 24-03-04 00:30

Kasper Dupont wrote:

> Siden 9. marts har jeg modtaget en strøm af UDP
> pakker på 818 bytes hver. Pakkerne bliver sendt
> fra tilfældige source IP og port adresser til
> skiftevis port 1026 og port 1027. Pakkerne kommer
> altid i par, først en til port 1026 derefter en
> til port 1027 indenfor et par sekunder. De to
> pakker bliver altid sendt med forskellige source
> IP, så jeg formoder at mindst den ene må være
> spoofet.

Har du kigget på indholdet?

--
M.V.H
Christian Iversen

Kasper Dupont (24-03-2004)
Kommentar
Fra : Kasper Dupont


Dato : 24-03-04 10:51

Christian Iversen wrote:
>
> Har du kigget på indholdet?

Nej, men det vil jeg prøve. Så kan jeg også se om
Hroi har ret. det lød i hvert fald som en sandsynlig
forklaring.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

Peder Vendelbo Mikke~ (27-03-2004)
Kommentar
Fra : Peder Vendelbo Mikke~


Dato : 27-03-04 06:24

Kasper Dupont skrev:

> Siden 9. marts har jeg modtaget en strøm af UDP
> pakker på 818 bytes hver. Pakkerne bliver sendt
> fra tilfældige source IP og port adresser til
> skiftevis port 1026 og port 1027. Pakkerne kommer
> altid i par, først en til port 1026 derefter en
> til port 1027 indenfor et par sekunder. De to
> pakker bliver altid sendt med forskellige source
> IP, så jeg formoder at mindst den ene må være
> spoofet.

> Hvad kan det være?

Ifølge: http://isc.sans.org/ er det ICQ.


Kasper Dupont (27-03-2004)
Kommentar
Fra : Kasper Dupont


Dato : 27-03-04 09:06

Peder Vendelbo Mikkelsen wrote:
>
> Kasper Dupont skrev:
>
> > Siden 9. marts har jeg modtaget en strøm af UDP
> > pakker på 818 bytes hver. Pakkerne bliver sendt
> > fra tilfældige source IP og port adresser til
> > skiftevis port 1026 og port 1027. Pakkerne kommer
> > altid i par, først en til port 1026 derefter en
> > til port 1027 indenfor et par sekunder. De to
> > pakker bliver altid sendt med forskellige source
> > IP, så jeg formoder at mindst den ene må være
> > spoofet.
>
> > Hvad kan det være?
>
> Ifølge: http://isc.sans.org/ er det ICQ.

De skelner ikke mellem TCP og UDP. Ifølge deres egen
liste bruger ICQ TCP. Den trafik jeg ser er UDP. Og
den trafik de ser er sandsynligvis også UDP. Så jeg
synes ikke det lyder som ICQ. Desuden bliver den
samme trafik sendt til hhv. 1026 og 1027. ICQ bruger
ifølge deres oplysninger kun den ene. Den anden
bruges af nterm, men det er også TCP. Forklaringen
om popupspam lyder mere sandsynlig.

--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
/* Would you like fries with that? */

Peder Vendelbo Mikke~ (27-03-2004)
Kommentar
Fra : Peder Vendelbo Mikke~


Dato : 27-03-04 22:22

Kasper Dupont skrev:

> Forklaringen om popupspam lyder mere sandsynlig.

Det har du vist ret i:

http://www.mynetwatchman.com/kb/news/2004-msgspamfrag.htm

Søg
Reklame
Statistik
Spørgsmål : 177559
Tips : 31968
Nyheder : 719565
Indlæg : 6408938
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste