Re: Skanowanie sieci

To: "$Debian" <debian-user-polish@lists.debian.org>
Subject: Re: Skanowanie sieci
From: "Lth" <lth@wp.pl>
Date: Fri, 23 Jul 2004 20:45:12 +0200
Message-id: <[🔎] 000501c470e5$30bf1f70$4603a8c0@neo>
Reply-to: "Lth" <debian-user-polish@lists.debian.org>
References: <[🔎] 20040723183053.C4213EB2F7@poczta.interia.pl>

Ettercapem podejrzyj czy nie ma np. otwartych dwóch sesji GG. (na co komu
dwa programy GG).
Najedź na połączenie i kliknij d - rozwiąże to IP i dostaniesz coś takiego:
gadu.pl lub coś podobnego.

Jeśli panuje duży ruch na takim łączu to jest to spowodowane, albo programem
p2p albo mocnym wykorzystaniem do oglądania WWW.

Inne metody to kontrola TTL. Jeśli jest router na tamtym komputerze to TTL
wszystkich nagłówków zostanie opuszczone o 1 po przejściu przez ten router.

Można zablokować możliwość udostępniania dalej łącza za pomocą patcha z
POMNG - www.netfilter.org służącego do zmiany TTL.
Ustawiasz TTL na 1 po spatchowaniu i rekompilacji kernelka za pomocą
iptables wszystkich połączeń. Tym samym TTL po przejściu innego routera niz
twój
spada do 0 i pakiet znika :P Prewencyjnie można zawsze to zrobić.

Oczywiście metoda ta jest niedoskonała... jeśli ta osoba ma Linuxa to żaden
problem podnieść TTL (Time To Live) :P
Jeśli masz faktycznie niższe TTLy to zrób wizytę osobie która ma zmienione
TTL :-)

A ten LOG niewiele mówi... masz tylko IP delikwenta i połączenia jakie ma
otwarte.

Reply to:

Follow-Ups:
- Re: Skanowanie sieci
  - From: "Tomasz T. Ciaszczyk" <ciacho@ciacho.pl>
- Re: Skanowanie sieci
  - From: serberiss <marcin_chs@o2.pl>

References:
- Skanowanie sieci
  - From: Marek Chrobak <debianek@interia.pl>

Prev by Date: Skanowanie sieci
Next by Date: Re: Skanowanie sieci
Previous by thread: Skanowanie sieci
Next by thread: Re: Skanowanie sieci
Index(es):
- Date
- Thread