Re: wykrywanie maskarady
Witam,
Dnia pią, maj 16, 2003 at 04:36:44 CEST, amon napisał:
: Hello Marek,
:
: Friday, May 16, 2003, 3:10:20 PM, you wrote:
:
: MC> Mam do was pytanie troszkę z innej beczki. A jak można takie coś,
: MC> czyli maskarade wykryć. Nie chcę tworzyć nowego temtu więc tu pisze.
:
:
: hym... ja walcze z tematem 3 dzien.
:
: 1. transparent proxy, squid podczas kompilacji ma zalaczone logowanie
: useragent.
: 1 komp z kilkoma roznymi OS i wersjami IE troszke smierdzi.
: zycie utrudniaja komunikatory zle ustawiajace useragent.
:
: 2. ttl - ale to juz widziales
: 3. naglowki poczty
:
: 4. numer sekwencyjny pakietu.
:
: i nadal szukam/kombinuje
Sniff na smtp logujacy wszelkie helo/ehlo oraz Message-ID i X-Mailer:
Received: from unknown (HELO amon-laptop) (192.168.0.201)
Message-ID: <179600404.20030516163644@mikule.net>
X-Mailer: The Bat! (v1.53d) Personal
Na jednym kompie nie mozna miec tak jak dwoch wersji IE takze i dwoch
wersji Ajtjuka..
helo/ehlo jest nazwa kompa - naciagane, bo co za problem ze
uzyszkodnik sobie co 5 min zmienia nazwe kompa, przeciez to jego OS.
Mess-id: kazda wersja aujtjuka sle podobny w miare numerek:
Message-ID: <001a01c29e2b$8ca2b150$0265a8c0@czarek>
Message-ID: <005a01c2a78b$d0053490$0265a8c0@czarek>
Message-ID: <007801c2a874$22a29bf0$0265a8c0@czarek>
Message-ID: <008701c2b42a$53f7cc90$0201a8c0@czarek>
Message-ID: <009301c2b96e$5f83a7c0$0201a8c0@czarek>
Message-ID: <001801c2bd35$71fae6a0$0201a8c0@czarek>
Message-ID: <004501c2dd18$8d4c32d0$0266a8c0@czarek>
Message-ID: <00b201c2de9c$dd1328c0$0266a8c0@czarek>
Message-ID: <009201c2f0b8$5684fd00$0266a8c0@czarek>
Pozdrawiam,
Tomasz T. Ciaszczyk
--
.: ciacho<at>ciacho.pl ciacho<at>jabber.org http://ciacho.pl :.
.: What matters is not the length of the wand, but the :.
.: magic in the stick. :.
Reply to: