<HTML><BODY style="word-wrap: break-word; -khtml-nbsp-mode: space; -khtml-line-break: after-white-space; "><DIV>Da dove venivano i pacchetti?Dalla rete interna?</DIV><DIV>Quelle effettivamente sono le porte del netbios, quindi dovrebbe avere in linea di massima a che fare con lo share di Windows..</DIV><DIV>Anzi, a me ricorda qualcosa del genere: <A href="http://insecure.org/sploits/wins.udp.flood.DOS.html">http://insecure.org/sploits/wins.udp.flood.DOS.html</A></DIV><DIV>Altri particolari rilevanti?</DIV><DIV>Buona serata</DIV><DIV><BR class="Apple-interchange-newline"><BLOCKQUOTE type="cite"><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">ciao a tutti e scusatemi se forse sono un po' OT, pero' il problema e'</DIV><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">davvero strano (non ho mnai avuto esperienze in tal senso).</DIV><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">Qualche ora fa (19:00), all'interno di una rete di cui amministro alcune</DIV><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">cose, tra cui il gateway internet (debian minimale con kernel 2.6.12),</DIV><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">sono cominciati a comparire centinaia di migliaia di pacchetti udp</DIV><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">broadcast sulle porte 137 e 138. Vi dico solo che in 5 minuti, con 4</DIV><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">host accesi, ho catturato qualcosa come 900.000 pacchetti UDP (mai</DIV><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">successo prima!).</DIV><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">In pratica, i suddetti host (ma temo a questo punto anche altri nella</DIV><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">rete), una volta accesi, hanno cominciato a flooddare la rete rendendola</DIV><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">pressoche' inutilizzabile.</DIV><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">l'analisi del traffico e' stata svolta da remoto utilizzando ntop e iptraf.</DIV><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">ora (22:35), la situazione sembra essere tornata alla normalita', anche</DIV><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">se il traffico udp broadcast e' decisamente sopra la norma (un pc appena</DIV><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">acceso ha totalizzato la bellezza di 40MB di traffico UDP in 5 minuti).</DIV><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">Vi viene in mente qualcosa?</DIV><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">Mi sono dimenticato qualche dettaglio importante?</DIV><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">Tale traffico e' assolutamente normale e sono io che non me n'ero mai</DIV><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">accorto?</DIV><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; min-height: 14px; "><BR></DIV><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">grazie mille</DIV><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; min-height: 14px; "><BR></DIV><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">--<SPAN class="Apple-converted-space"> </SPAN></DIV><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">Sito BgLUG: <A href="http://www.bglug.it">http://www.bglug.it</A></DIV><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">Mailing list: <A href="http://www.bglug.it/list/bglug">http://www.bglug.it/list/bglug</A></DIV><DIV style="margin-top: 0px; margin-right: 0px; margin-bottom: 0px; margin-left: 0px; ">BgLUG-biz!: <A href="http://www.bglug.it/list/bglug-biz">http://www.bglug.it/list/bglug-biz</A></DIV> </BLOCKQUOTE></DIV><BR><DIV> <SPAN class="Apple-style-span" style="border-collapse: separate; border-spacing: 0px 0px; color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; text-align: auto; -khtml-text-decorations-in-effect: none; text-indent: 0px; -apple-text-size-adjust: auto; text-transform: none; orphans: 2; white-space: normal; widows: 2; word-spacing: 0px; "><SPAN class="Apple-style-span" style="border-collapse: separate; border-spacing: 0px 0px; color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; text-align: auto; -khtml-text-decorations-in-effect: none; text-indent: 0px; -apple-text-size-adjust: auto; text-transform: none; orphans: 2; white-space: normal; widows: 2; word-spacing: 0px; "><DIV>--</DIV><DIV>Roses are #FF0000 violets are #0000FF all my base are belong to you</DIV><DIV><BR class="khtml-block-placeholder"></DIV><DIV>-----BEGIN PGP SIGNATURE-----</DIV><DIV>iD8DBQFEB7D373YH/t/Ank8RAkYMAJ4za3bGPtlQkyLPBdLBGi9uc7UzfQCePSL4</DIV><DIV>71XUSety2E3VKMAwbFCAmaM=</DIV><DIV>=240E</DIV><DIV>-----END PGP SIGNATURE-----</DIV><DIV><BR class="khtml-block-placeholder"></DIV><DIV>|void|</DIV><DIV><BR class="khtml-block-placeholder"></DIV><BR class="Apple-interchange-newline"></SPAN></SPAN> </DIV><BR></BODY></HTML>