IP spoofing localhostilt u. 150 korda päevas ??? :: Hinnavaatluse Foorumid

mikk36 · HV Guru liitunud: 21.02.2004

üks küsimus enda ruuteril tulemüüri kohta:
on siis lubatud tulemüür ning kõiksugu seaded peale topitud, et ta midagi läbi ei laseks...
panin peal ka selle, et iga imeliku asja peale saadaks emaili mulle...
nüüd aga saan päevas keskimselt 150 emaili ruuterilt
tekst ise on selline:

Dear User
Your router has detected and protected you against an attempt to gain access to your network. This may have been an attempted hacker intrusion, or perhaps just your Internet Service Provider doing routine network maintenance.
Most of these network probes are nothing to be worried about - these types of random probes should NOT be reported, but you may want to report repeated intrusions attempts. Save this email for comparison with future alert messages.
Your router Alert Information

Time: 07/25/2004, 00:44:33
Message: IP Spoofing
Source: 127.0.0.1, 80
Destination:62.65.197.162, 1588 (from WAN Inbound)

Visit the UXN Combat Spam web site to get more detailed information about the intruder - http://combat.uxn.com/ 1. Type the intruder's IP address into the IP WHOIS search engine 2. Click the Query Button 3. Detailed network and administration information will be displayed

et nagu mis see tähendab, kui see localhost nii teeb pidevalt ???
see destination on minu väline IP...

TzigaLind · HV veteran liitunud: 12.01.2002

localhost on üks kuri häkker...

Märt. · HV Guru liitunud: 17.01.2004

See ju sinu masin, mis üritab mingi progega/servicega netti minna.

mikk36 · HV Guru liitunud: 21.02.2004

ma tean jah, et minu masin (või siis teine või kolmas koduvõrgus), aga mis programm võib siis sellist tüütust korraldada kogu aeg ?

SKG · HV Ihaldatuim Poissmees liitunud: 27.01.2003

HacaX · HV Guru liitunud: 22.01.2004

Ega sa juhtumisi veebiserverit jooksuta? Allikaks on ju sinu masin pordist 80, selle otsas tegutsevad aga reeglina HTTP serverid. Pordi 1588, kuhu üritatakse pöörduda, otsas istuvat triquest-lm nimeline teenud (ma ei leia küll ühtegi põhjalikumat seletust mida too endast täpselt kujutab)...

infutehno · HV vaatleja liitunud: 01.06.2004

Oot-oot, minu meelest on seal ju kirjas, et pakett tuleb just väljastpoolt sinu võrku. Samuti on kirjas, et tegemist on IP-võltsimisega, s.t. 127.0.0.1 ei ole mitte see aadress, kust pakett tuli.

Märt. · HV Guru liitunud: 17.01.2004

Vaata, mis su massa IP on ja võrdle seda logis tooduga (62.65.197.162)

infutehno · HV vaatleja liitunud: 01.06.2004

Põhjus, miks sissetungijad panevad oma võltsitud ip-aadressiks 127.0.0.1 on see, et osadel tulemüüridel on probleem loopback aadressilt tulnud pakettide skanneerimisega ja on sedasi haavatavad. Sinu tulemüüril seda probleemi ilmselt pole ja nii saadki 150 korda päevas emaili kaudu sellele kinnituse.
Ja "from WAN Inbound" peaks ütlema seda, et tegemist on internetist tulnud paketiga. Seega võib eeldada, et 62.65.197.162 on sinu masina aadress.