stiznosti na hackovani

[Dan Lukes]

"Vladimir Mencl, MK, susSED" wrote:

> Dotaz: Jaky je spravny administrativni postup pro stiznost, pokud z
> logu zjistim, ze se mi nekdo pokousel utocit na muj stroj?
...
> Je to vetsinou "odnekud ze sveta", postupuji tak, ze se napred podivam,
> zda adresa patri pod RIPE, ARIN nebo APNIC a v prislusne registry pote
> hledam.
>
> Tam ale zaznamy dost casto konci pridelenim bloku cca 16 C siti
> (maska 255.240.0.0) ci vetsich, a z psani spravci tohoto bloku mam
> pocit, ze stekam na spatny strom.

	Pravidla ARIN nebo APNIC neznam, ale v RIPE by to tak rozhodne byt
nemelo. Blok teto velikosti se obvykle prideluje pouze LIR a ma status
ALLOCATED - do doby nez nejakou jeho podcast LIR prideli nekomu
konkretnimu, pak se ale musi prislusny zaznam objevit v RIPE se staven
ASSIGNED. Tento zaznam by mel byt konecny a ukazovat na odpovednou
organizaci.

	Rozhodne by se nemelo stat, ze by v siti bezne komunikoval nejaky
pocitac, jehoz IP by byla pouze ALLOCATED - to by (prinejmensim v RIPE)
znamenalo, ze prislusny LIR porusuje pravidla. Samozrejme, pokud neni
utok TCP, ale pouze UDP nebo ICMP (pripadne si z TCP vystaci pouze s
jednosmernou komunikaci) pak je potreba pocitat s tim, ze IP adresa
odesilatele je proste totalne falesna a prijit to mohlo odkudkoliv.

	Potencionalne se take muze stat, ze pri urcitem stupni nedbalosti ISP
muze nekdo pouzivat i jinou nez pridelenou adresu a tedy pouzivat
adresu, ktera NENI pridelena, patri vsak do bloku alokovaneho danemu
ISP.

> Ma vubec smysl si na takovehle veci v dnesni dobe nekomu stezovat?

	Co myslis ty ?

	Moje zkusenosti rikaji, ze odpovedi se velice ruzni - napriklad i podle
toho, zda je stezovatel nejaky student s FreeBSD na koleji, nebo zda je
stezovatelem bankovni ci burzovni instituce ...


							Dan


--
Dan Lukes            tel: +420 2 24102474, fax: +420 2 24102301
root of FIONet, KolejNET, webmaster of info.nic.cz, www.freebsd.cz
AKA: dan at nic.cz, dan at obluda.cz, dan at freebsd.cz, dan at kolej.mff.cuni.cz