Podivne chovani firewallu na portu 53(mozna UTOK)

[Pavel Kankovsky]

On Fri, 20 Jul 2001, Igor Bujna wrote:

> Jul 19 11:58:55 ns kernel: Packet log: input DENY eth1 PROTO=6 
> 63.209.147.246:13175 212.47.29.16:53 L=44 S=0x00 I=0 
> F=0x0000 T=231 (#69) 
[...]
> Toto mne moc nezarazi, i kdyz si myslim , ze bind radeji komunikuje 
> pres UDP nez TCP, tak bych si myslel, ze nedko scanuje muj 
> pocitac.
> Jenze Techto vypisu je za sebou asi tak 200(tak bajocko).
> A po kazde z jine IP-adresy, tak ze scan to nemuze byt...
> Nevim co si mam o tom myslet.

Take jsem si toho povsimnul. Smrst pokusu z uplne ruznych IP adres
v rozmezi nekolika sekund. Nedostal jsem s k tomu, abych to nejak
analyzoval, ale pracovni hypotezy jsou, ze je to nejaky zmateny
distribuovany DNS resolver, nebo ze je to nejaky sken pripadne DoS utok
se zfalsovanymi adresami (u skenu by ty zfalsovane slouzily jako "kourova
clona" pro jednu opravdovou).

--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."