/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Forkerte IP-adresser - med (ond) vilje?
Fra : Erik Bak


Dato : 06-08-01 23:45

PAS PÅ: Klik *ikke* ukritisk på linket i denne post !

Nu til mit spørgsmål:

På min Hotmail-konto får jeg dagligt bunker af spammails. Mange er reklamer
for erotiske sider.
De pågældende mails indeholder links som f.eks. følgende:

httpX://854.104.89.39-hfujbe-lpudrtc-mbzja.htm@00000000320.00000000262.00000
000152.0000000075/clients/swn/co/index.html?redirect=www.geocities.com/zvvtb
cq/yxcgmugjj/jdwtlds.htmX
Jeg har indsat X'erne.

Som jeg læser linket, logges der på en http-server med brugernavnet før
snabel-a'et. Webserveren har tilsyneladende adressen
00000000320.00000000262.00000000152.0000000075. Problemet er nu, at jeg har
læst at Windows (IE?) bliver forvirret over den forkerte notation af
IP-adressen. Ovenstående adresse opfattes derfor *ikke* (som man kunne tro)
som 320.262.152.75 , men derimod som 208.178.106.61. Prøv selv at pinge 'den
lange' adresse.

Er disse "forkerte IP-adresser" et forsøg på at forvirre Windows/IE og
dermed gøre skade?
Eller er der en anden - og mere harmløs - forklaring?

Mvh
Erik

Svar via mail? Fjern 2 fra min emailadresse!
--
---



 
 
Niels Callesøe (07-08-2001)
Kommentar
Fra : Niels Callesøe


Dato : 07-08-01 00:08

"Erik Bak" <erik_FJERNDETTEbak@hotmail.com> wrote in
<news:3b6f1f39$0$245$edfadb0f@dspool01.news.tele.dk>:

> Eller er der en anden - og mere harmløs - forklaring?

Ja. Det handler om, at spammerne forsøger at maskere hvor den URL du
ser rent faktisk peger hen, af flere årsager. Der findes masser af
dokumentation på dette fænomen (prøv Gargle), her er et enekelt
relevant link:

http://www.pc-help.org/obscure.htm

--
Niels Callesøe - nørd light
Disclaimer:
http://www.spacefish.net/nica/index.php3?step=disclaim

Bertel Lund Hansen (07-08-2001)
Kommentar
Fra : Bertel Lund Hansen


Dato : 07-08-01 07:15

Niels Callesøe skrev:

>Ja. Det handler om, at spammerne forsøger at maskere hvor den URL du
>ser rent faktisk peger hen, af flere årsager.

Og camoufleringen baserer sig på at Windows åbenbart læser et tal
med et indledende 0 som et oktalt tal.

255 er jo det største tal der kan stå i led i et et IP-nummer.
Det 'direkte' nummer ville derfor ingen mening have.

Man kunne også have regnet de fire tal sammen til ét.

Alle de følgende fire numre udpeger f.eks. mit domæne. De to
sidste virker muligvis kun i Windows, men de første to er
generelle:

   195.249.157.101

   3287915877

   0303.0371.0235.0145

   030376316545

Man kan tilføje ekstra foranstillede nuller ved de to sidste.

--
Bertel
http://lundhansen.dk/bertel/   FIDUSO: http://fiduso.dk/

Henrik Christian Gro~ (07-08-2001)
Kommentar
Fra : Henrik Christian Gro~


Dato : 07-08-01 11:05

Bertel Lund Hansen <skrivtil@lundhansen.dk> writes:

> Alle de følgende fire numre udpeger f.eks. mit domæne. De to
> sidste virker muligvis kun i Windows, men de første to er
> generelle:

De virker alle sammen under Linux (Debian 2.2r3)

..Henrik

--
"Det er fundamentalt noget humanistisk vås, at der er noget,
der hedder blød matematik."
--- citat Henrik Jeppesen, dekan for det naturvidenskabelige fakultet

Thomas Jespersen (07-08-2001)
Kommentar
Fra : Thomas Jespersen


Dato : 07-08-01 21:05

"Erik Bak" <erik_FJERNDETTEbak@hotmail.com> writes:

> Som jeg læser linket, logges der på en http-server med brugernavnet før
> snabel-a'et. Webserveren har tilsyneladende adressen
> 00000000320.00000000262.00000000152.0000000075. Problemet er nu, at jeg har
> læst at Windows (IE?) bliver forvirret over den forkerte notation af
> IP-adressen. Ovenstående adresse opfattes derfor *ikke* (som man kunne tro)
> som 320.262.152.75 , men derimod som 208.178.106.61. Prøv selv at pinge 'den
> lange' adresse.

[320] og [262] er ikke gyldige numre i et IP-nummer. Men hvis du
sætter et nul foran [0320], [0262] (eller flere nuller) vil mange
programmeringssprog fortolke det som et oktal-tal (i 8-talssystemet i
modsætning til vores 10-talssystem). Eftersom en webbrowser
naturligvis er skrevet i disse sprog, vil denne finesse blive overført
til browseren (medmindre man er en omhyggelig programmør).

0320 (oktal) -> 208 (decimal)
0262 (oktal) -> 178 (decimal)
0152 (oktal) -> 106 (decimal)
075 (oktal) -> 61 (decimal)

På samme måde kan du muligvis skrive det i hexadecimal:
http://0xD0.0xB2.0x6A.0x3D/

(Her kunne jeg dog forestille mig at browseren vil fortolke et 'x',
altså et ikke-tal, som om det drejede som om et domænenavn med
tilhørende subdomæne og derved give fejl.)

Jeg aner ikke om dette også er beskrevet i de RFCer der standardiserer
IP nummer formatet.


Kim S. Poulsen (07-08-2001)
Kommentar
Fra : Kim S. Poulsen


Dato : 07-08-01 21:59

On 07 Aug 2001 22:05:28 +0200, Thomas Jespersen <thomas@daimi.au.dk>
wrote:
snip
>
> [320] og [262] er ikke gyldige numre i et IP-nummer. Men hvis du
>sætter et nul foran [0320], [0262] (eller flere nuller) vil mange
>programmeringssprog fortolke det som et oktal-tal (i 8-talssystemet i
>modsætning til vores 10-talssystem).
snip

Mener du der er noget galt med Bertel Lund Hansens forklaring 2
linjer oppe?

MVH. Kim S. Poulsen (OZ4ZP)

Thomas Jespersen (08-08-2001)
Kommentar
Fra : Thomas Jespersen


Dato : 08-08-01 01:10

Kim S. Poulsen <kimsp@post4.tele.dk> writes:

> Mener du der er noget galt med Bertel Lund Hansens forklaring 2
> linjer oppe?

Du er godt klar over at usenetbeskeder ikke ankommer på alle
usenetservere på samme tid ikke ? :)

Kim S. Poulsen (08-08-2001)
Kommentar
Fra : Kim S. Poulsen


Dato : 08-08-01 10:13

On 08 Aug 2001 02:09:42 +0200, Thomas Jespersen <thomas@daimi.au.dk>
wrote:

>Kim S. Poulsen <kimsp@post4.tele.dk> writes:
>
>> Mener du der er noget galt med Bertel Lund Hansens forklaring 2
>> linjer oppe?
>
>Du er godt klar over at usenetbeskeder ikke ankommer på alle
>usenetservere på samme tid ikke ? :)

Ja.
Har du kigget på tidspunktet >14 timer, her var brevduer måske et
alternativ
MVH. Kim S. Poulsen (OZ4ZP)

Kent Friis (08-08-2001)
Kommentar
Fra : Kent Friis


Dato : 08-08-01 16:46

Den Wed, 08 Aug 2001 11:13:25 +0200 skrev Kim S. Poulsen:
>On 08 Aug 2001 02:09:42 +0200, Thomas Jespersen <thomas@daimi.au.dk>
>wrote:
>
>>Kim S. Poulsen <kimsp@post4.tele.dk> writes:
>>
>>> Mener du der er noget galt med Bertel Lund Hansens forklaring 2
>>> linjer oppe?
>>
>>Du er godt klar over at usenetbeskeder ikke ankommer på alle
>>usenetservere på samme tid ikke ? :)
>
>Ja.
>Har du kigget på tidspunktet >14 timer, her var brevduer måske et
>alternativ
>MVH. Kim S. Poulsen (OZ4ZP)

14 timers forsinkelse sker nemt på fx. en leafnode server der henter en
gang i døgnet.

Fx. hvis serveren henter hver aften 23:00 (til billig telefontakst), og
læser news når man kommer hjem fra arbejde omkring 17:00...

Mvh
Kent
--
Running Windows on a Pentium is like having a brand new Porsche but only
be able to drive backwards with the handbrake on.
(Unknown source)

Kim S. Poulsen (08-08-2001)
Kommentar
Fra : Kim S. Poulsen


Dato : 08-08-01 17:05

On Wed, 8 Aug 2001 15:46:23 +0000 (UTC), kfr@fleggaard.dk (Kent Friis)
wrote:


>14 timers forsinkelse sker nemt på fx. en leafnode server der henter en
>gang i døgnet.
>
>Fx. hvis serveren henter hver aften 23:00 (til billig telefontakst), og
>læser news når man kommer hjem fra arbejde omkring 17:00...
>
>Mvh
>Kent
Er det ikke UNI-C. Hvad er er en leafnode server?

MVH. Kim S. Poulsen (OZ4ZP)

Kim S. Poulsen (08-08-2001)
Kommentar
Fra : Kim S. Poulsen


Dato : 08-08-01 17:15

On Wed, 08 Aug 2001 18:05:17 +0200, Kim S. Poulsen
<kimsp@post4.tele.dk> wrote:
> Hvad er er en leafnode server?
>
>MVH. Kim S. Poulsen (OZ4ZP)
Har slået det op.
MVH. Kim S. Poulsen (OZ4ZP)

Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408849
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste