|
From
|
Luca Berra <bluca@comedia.it>
|
|
Date
|
Sat, 27 Sep 2003 15:43:43 +0200
|
|
Subject
|
Re: [hackmeeting] Trace route MOOOLTO strano
|
On Sat, Sep 27, 2003 at 03:54:21PM +0200, pix wrote:
>troppo poco chiara come spiegazione; ricominciamo.
>
>
>a) ti prendi un ip dinamico dal carrier
>b) abiliti routing tra PPPadapter (se connessione PPP, ovviamente) e sk
>rete (192.168.x.y o altro ip privato)
>c) attacchi un pc alla eth (ti basta hub o crosswire) e ti assegni un ip
>della stessa classe del carrier (cosi' lo fai fesso anche se e' rfc 2827
>compliant) fregandolo, a scelta, tra quelli in uso da altri utenti e quelli
>ancora disponibili nel pool dinamico su sk(ma ti basta la loopback) ed un
>192.168.x.y+1 su un' altra.
>
>
>nel primo caso risulta un attacco da parte di un utente ignaro ed innocente
>(o presunto tale), nel secondo da un utente inesistente in quel dato
>istante.
non ho capito:
1) sarebbe un modo complicato di fare ip spoofing?
2) c'e' un modo per cui facendo cosi' i pacchetti ti ritornano?
nel caso 2, come fai a convincere il router a monte a inviare verso di
te i pacchetti destinati all'ip 'rubato'?
>nel particolare direi che si e' verificata la seconda condizione in quanto
>il percorso per il destinatario ultimo NON e' transitato da un router
>"migliore" poiche' se ne fosse esistito uno il routing avrebbe segiuto cio'
>che IB "annuncia" [via BGP; se vuoi info guarda l' AS relativo ad IB], non
>quanto annunciato da un host del kaiser.
non credo che IB usi bgp all'interno, piu' facile eigrp o ospf.
cmq credo che tu basi tutto il tuo discorso sull'assunto che
217.141.250.134 non sia un router.
ma 217.141.250.134 e' un router
fai un po di traceroute verso
81.73.246-251.1
quiz: offro una birra a chi mi indovina i due indirizzi di 217.141.250.134 lato
81.73.249/24 e 81.73.248/24, ovviamente motivando, le birre aumentano se
il coso dovesse avere altre interfacce.
Per quanto riguarda il possibile attacco chiederei ancora al poster
originale di darci qualche dettaglio in piu', visto che dichiara che
l'ip attaccato non era ruotato su internet e che l'attacco proveniva da
piu' di 10 hop di distanza
L.
--
Luca Berra -- bluca@comedia.it
Communication Media & Services S.r.l.
/"\
\ / ASCII RIBBON CAMPAIGN
X AGAINST HTML MAIL
/ \
_______________________________________________
hackmeeting mailing list
hackmeeting@kyuzz.org
http://lists.kyuzz.org/mailman/listinfo/hackmeeting
![[<--]](/icons/prev.gif){kind=icon}
![[-->]](/icons/next.gif){kind=icon}