Messaggio 00199 di 329

From SilveRo <copyright@tin.it>

Date Sat, 18 Oct 2003 20:05:43 +0000

Subject [hackmeeting] tcpdump log - fastweb

Quando Hiromi ha provato Suse (e poi lo ha mandato a fare in culo, perchè è 
una merda), il firewall automatico ha inserito una 40 di righe di regole 
nell'iptables, tra cui si leggeva pure un tale daniele.residential.fw.
Oggi ho saputo da qualcuno che usa un firewall per windows (mi pare zonealarm) 
che anche lui nei log vede sto daniele, quindi, incuriosito, ho fatto un 
tcpdump, e mi è spuntato sto stronzo  ;D

Per il momento non ho il tempo di leggermi il man e altra documentazione sul 
tcpdump, che non ho mai usato, ma ho intenzione di istruirmi al + presto. 

Sapendo che in ml ci sono quelli che la sanno lunga in materia, allego un file 
di testo col log (cortino, ho fatto un grep), magari qualcuno mi può dire 
qualcosina, nel caso in cui devo scrivere ad abuse@fastweb.it.

thxxx  =***

SilveRo


-- 
Think Gray
(things aren't all black or all white)

root@silvero silvero # tcpdump | grep residential.fw
tcpdump: listening on eth0
19:55:46.743859 1.11.20.35.32815 > daniele.residential.fw.domain:  38835+ PTR? 35.20.11.1.in-addr.arpa. (41) (DF)
19:55:46.747863 daniele.residential.fw.domain > 1.11.20.35.32815:  38835 NXDomain 0/1/0 (105) (DF)
19:55:46.763511 1.11.20.35.32815 > daniele.residential.fw.domain:  38836+ PTR? 81.64.183.80.in-addr.arpa. (43) (DF)
19:55:46.772788 daniele.residential.fw.domain > 1.11.20.35.32815:  38836 1/3/0 (158) (DF)
19:55:46.783517 1.11.20.35.32815 > daniele.residential.fw.domain:  38837+ PTR? 10.128.253.1.in-addr.arpa. (43) (DF)
19:55:46.785943 daniele.residential.fw.domain > 1.11.20.35.32815:  38837* 1/1/0 (102) (DF)
19:55:46.803486 1.11.20.35.32815 > daniele.residential.fw.domain:  38838+ PTR? 168.255.181.80.in-addr.arpa. (45) (DF)
19:55:46.808470 daniele.residential.fw.domain > 1.11.20.35.32815:  38838 1/3/0 (162) (DF)
19:55:46.828434 1.11.20.35.32815 > daniele.residential.fw.domain:  38839+ PTR? 140.107.182.80.in-addr.arpa. (45) (DF)
19:55:46.832804 daniele.residential.fw.domain > 1.11.20.35.32815:  38839 1/3/0 (162) (DF)
19:55:46.848332 1.11.20.35.32815 > daniele.residential.fw.domain:  38840+ PTR? 167.164.54.213.in-addr.arpa. (45) (DF)
19:55:46.859789 daniele.residential.fw.domain > 1.11.20.35.32815:  38840 1/3/0 (170) (DF)
19:55:46.873486 1.11.20.35.32815 > daniele.residential.fw.domain:  38841+ PTR? 225.6.182.80.in-addr.arpa. (43) (DF)
19:55:46.876924 daniele.residential.fw.domain > 1.11.20.35.32815:  38841 1/3/0 (158) (DF)
19:55:46.882376 1.11.20.35.32815 > daniele.residential.fw.domain:  38842+ PTR? 143.29.116.80.in-addr.arpa. (44) (DF)
19:55:46.886478 daniele.residential.fw.domain > 1.11.20.35.32815:  38842 1/3/0 (160) (DF)
19:55:46.893589 1.11.20.35.32815 > daniele.residential.fw.domain:  38843+ PTR? 131.242.142.62.in-addr.arpa. (45) (DF)
19:55:46.899263 daniele.residential.fw.domain > 1.11.20.35.32815:  38843 1/3/2 (174) (DF)
19:55:46.873486 1.11.20.35.32815 > daniele.residential.fw.domain:  38841+ PTR? 225.6.182.80.in-addr.arpa. (43) (DF)
19:55:46.876924 daniele.residential.fw.domain > 1.11.20.35.32815:  38841 1/3/0 (158) (DF)
19:55:46.882376 1.11.20.35.32815 > daniele.residential.fw.domain:  38842+ PTR? 143.29.116.80.in-addr.arpa. (44) (DF)
19:55:46.886478 daniele.residential.fw.domain > 1.11.20.35.32815:  38842 1/3/0 (160) (DF)
19:55:46.893589 1.11.20.35.32815 > daniele.residential.fw.domain:  38843+ PTR? 131.242.142.62.in-addr.arpa. (45) (DF)
19:55:46.899263 daniele.residential.fw.domain > 1.11.20.35.32815:  38843 1/3/2 (174) (DF)
19:55:46.900562 1.11.20.35.32815 > daniele.residential.fw.domain:  38844+ PTR? 10.7.112.213.in-addr.arpa. (43) (DF)
19:55:46.938827 daniele.residential.fw.domain > 1.11.20.35.32815:  38844 1/2/2 (194) (DF)
19:55:46.949986 1.11.20.35.32815 > daniele.residential.fw.domain:  38845+ PTR? 2.0.0.224.in-addr.arpa. (40) (DF)
19:55:46.954215 daniele.residential.fw.domain > 1.11.20.35.32815:  38845 1/4/3 PTR[|domain] (DF)
19:55:46.968252 1.11.20.35.32815 > daniele.residential.fw.domain:  38846+ PTR? 3.20.11.1.in-addr.arpa. (40) (DF)
19:55:46.977226 daniele.residential.fw.domain > 1.11.20.35.32815:  38846 NXDomain 0/1/0 (104) (DF)
19:55:46.993327 1.11.20.35.32815 > daniele.residential.fw.domain:  38847+ PTR? 1.20.11.1.in-addr.arpa. (40) (DF)
19:55:46.995780 daniele.residential.fw.domain > 1.11.20.35.32815:  38847 NXDomain 0/1/0 (104) (DF)
19:55:47.001469 1.11.20.35.32815 > daniele.residential.fw.domain:  38848+ PTR? 64.136.36.66.in-addr.arpa. (43) (DF)
19:55:47.005843 daniele.residential.fw.domain > 1.11.20.35.32815:  38848 1/2/2 (146) (DF)
19:55:47.038366 1.11.20.35.32815 > daniele.residential.fw.domain:  38849+ PTR? 75.153.40.213.in-addr.arpa. (44) (DF)
19:55:47.045072 daniele.residential.fw.domain > 1.11.20.35.32815:  38849 1/4/3 (247) (DF)
19:55:47.494881 1.11.20.35.32815 > daniele.residential.fw.domain:  38850+ PTR? 149.61.104.200.in-addr.arpa. (45) (DF)
19:55:47.499104 daniele.residential.fw.domain > 1.11.20.35.32815:  38850 1/2/0 (126) (DF)
19:55:47.595990 1.11.20.35.32815 > daniele.residential.fw.domain:  38851+ PTR? 29.155.26.64.in-addr.arpa. (43) (DF)
19:55:47.601725 daniele.residential.fw.domain > 1.11.20.35.32815:  38851 1/2/1 (161) (DF)
19:55:47.610021 1.11.20.35.32815 > daniele.residential.fw.domain:  38852+ PTR? 35.128.26.1.in-addr.arpa. (42) (DF)
19:55:47.613594 daniele.residential.fw.domain > 1.11.20.35.32815:  38852 NXDomain 0/1/0 (106) (DF)
19:55:47.620212 1.11.20.35.32815 > daniele.residential.fw.domain:  38853+[|domain] (DF)
19:55:47.624003 daniele.residential.fw.domain > 1.11.20.35.32815:  38853 NXDomain[|domain] (DF)
19:55:47.624190 1.11.20.35.32815 > daniele.residential.fw.domain:  38854+[|domain] (DF)
19:55:47.628346 daniele.residential.fw.domain > 1.11.20.35.32815:  38854[|domain] (DF)
19:55:47.628743 1.11.20.35.32815 > daniele.residential.fw.domain:  38855+[|domain] (DF)
19:55:47.634216 daniele.residential.fw.domain > 1.11.20.35.32815:  38855[|domain] (DF)
19:55:48.606613 1.11.20.35.32815 > daniele.residential.fw.domain:  38856+ PTR? 102.218.2.80.in-addr.arpa. (43) (DF)
19:55:48.628519 daniele.residential.fw.domain > 1.11.20.35.32815:  38856 1/2/0 (149) (DF)
19:55:48.913160 1.11.20.35.32815 > daniele.residential.fw.domain:  38857+ PTR? 2.20.11.1.in-addr.arpa. (40) (DF)
19:55:48.916058 daniele.residential.fw.domain > 1.11.20.35.32815:  38857 NXDomain 0/1/0 (104) (DF)
19:55:51.027182 1.11.20.35.32815 > daniele.residential.fw.domain:  38858+ PTR? 109.61.255.23.in-addr.arpa. (44) (DF)
19:55:51.035678 daniele.residential.fw.domain > 1.11.20.35.32815:  38858 NXDomain 0/1/0 (108) (DF)
19:55:51.833329 1.11.20.35.32815 > daniele.residential.fw.domain:  38859+ PTR? 46.40.72.81.in-addr.arpa. (42) (DF)
19:55:51.837101 daniele.residential.fw.domain > 1.11.20.35.32815:  38859 1/3/0 PTR[|domain] (DF)

Follow-Ups:
- Re: [hackmeeting] tcpdump log - fastweb
  - From: ELiBuS <elibus@freaknet.org>

Indice

From	SilveRo <copyright@tin.it>
Date	Sat, 18 Oct 2003 20:05:43 +0000
Subject	[hackmeeting] tcpdump log - fastweb