Re: AC-X L2 i ruch z 10.0.0.0/8, 172.16.0.0/12 i 192.168.0.0/16

eGospodarka.pl › Grupy › pl.internet.polip › AC-X L2 i ruch z 10.0.0.0/8, 172.16.0.0/12 i 192.168.0.0/16 › Re: AC-X L2 i ruch z 10.0.0.0/8, 172.16.0.0/12 i 192.168.0.0/16

Path: news-archive.icm.edu.pl!news.gazeta.pl!not-for-mail
From: Sławek Lipowski <s...@l...org>
Newsgroups: pl.internet.polip
Subject: Re: AC-X L2 i ruch z 10.0.0.0/8, 172.16.0.0/12 i 192.168.0.0/16
Date: Sat, 06 Nov 2010 12:27:23 +0100
Organization: "Portal Gazeta.pl -> http://www.gazeta.pl"
Lines: 34
Message-ID: <ib3e32$505$1@inews.gazeta.pl>
References: <iapqp2$cnd$1@inews.gazeta.pl>
<s...@m...verox.pl>
<iapu04$ooa$1@inews.gazeta.pl>
<s...@m...verox.pl>
<iaq0ob$56n$1@inews.gazeta.pl> <iarcnj$i78$1@news2.ipartners.pl>
<iari22$r1i$2@inews.gazeta.pl> <iariib$kv8$1@news2.ipartners.pl>
<iarivo$1eo$1@inews.gazeta.pl> <iarjun$euj$1@news.onet.pl>
<iaromm$kb1$2@inews.gazeta.pl>
NNTP-Posting-Host: 85.89.186.111
Mime-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-2; format=flowed
Content-Transfer-Encoding: 8bit
X-Trace: inews.gazeta.pl 1289042850 5125 85.89.186.111 (6 Nov 2010 11:27:30 GMT)
X-Complaints-To: u...@a...pl
NNTP-Posting-Date: Sat, 6 Nov 2010 11:27:30 +0000 (UTC)
X-User: s.lipowski
In-Reply-To: <iaromm$kb1$2@inews.gazeta.pl>
User-Agent: Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.1.15) Gecko/20101030
Icedove/3.0.10
Xref: news-archive.icm.edu.pl pl.internet.polip:93394
[ ukryj nagłówki ]
W dniu 03.11.2010 14:39, Sławek Lipowski pisze:
> W dniu 03.11.2010 13:18, Grzegorz Janoszka pisze:
>> On 03-11-10 13:01, Sławek Lipowski wrote:
>>> Ale konsekwencją jest niezamykanie połączeń TCP w prawidłowy sposób. Nie
>>> dociera FIN+ACK od klienta z prawidłowego IP. Cięcie pakietów nie
>>> wyeliminuje tej konsekwencji.
>>
>> Jesteś pewien, że nie dociera? IMHO te nienatowane, co widzisz, to
>> retransmisje.
>>
>
> Postaram się potwierdzić w wolnej chwili i dam znać.
>

Udało mi się powiązać część ruchu z FIN+ACK z src IP z klas prywatnych z
połączeniami TCP, które nie zostały zamknięte przez zdalny host.
Jednakże to gównie poszlaki. Pasuje TTL i id pakietów IP układają się
wiarygodnie. Część takiego ruchu nie udało mi się z niczym powiązać.
Może niepotrzebnie łączę te fakty, aczkolwiek to, że te pakiety mają
praktycznie zawsze ustawioną flagę FIN sprawia, że bardzo mocno wydaje
mi się, że nie jest to jakoś bardzo ogólny problem, tylko dość
szczególny przypadek.

Być może faktycznie głównie są to retransmisje, które nie łapią się już
w NAT. Jeśli by tak było, to nie ma dramatu (oczywiście to też nie
powinno mieć miejsca), przy czym dalej uważam, że to strona generująca
takie pakiety powinna zadbać o ich odfiltrowanie. Inaczej to trochę tak,
jak by zamiast ścigać złodziei samochodów nakazać wszystkim instalację
super zabezpieczeń antykradzieżowych w autach. Zabezpieczenia i tak
można i pewnie powinno się montować, ale to nie znaczy bynajmniej, że
nie trzeba chociażby próbować łapać złodziei. :)

--
Sławek Lipowski