[ITNOG] annunciate delle sottoreti di 1.0.0.0/8

Marco d'Itri md@Linux.IT
Dom 7 Feb 2010 13:55:24 CET


-- forwarded message --
From: Marco d'Itri <md@Linux.IT>
Newsgroups: it.fan.marco-ditri
Subject: Ancora su 1.0.0.0/8
Date: Sun, 07 Feb 2010 04:29:45 +0100
Message-ID: <hklc72$juh$1@posted-at.bofh.it>

Per evitare di intasare il route collector, RIPE ha smesso di
annunciare 1.1.1.0/24 e 1.2.3.0/24[0] e quindi ho colto l'occasione per
provare a farlo io per un po' (limitatamente a MIX[1], NAMEX[2] e
MINAP[3]).

Ho ricevuto traffico da diversi peer che evidentemente non filtrano i
miei annunci, e sospetto che ne arriverebbe molto di più se alcuni non
avessero una prefix-list anti-bogon non aggiornata... :-)

Mi sono arrivati 300-350 Kbps: il più sono 3 stream da 78 Kbps verso la
porta UDP 15206 e SYN verso la porta TCP 25. Per il resto ho visto
broadcast NETBIOS verso 1.1.1.255 (da un ospedale, a giudicare dai
nomi), ping, ACK e SYNACK per protocolli assortiti.

Il traffico SMTP è praticamente tutto di messaggi verso zaobao.com.sg
(MX 1.1.1.1), che riceve backscatter perché falsificato da uno spammer,
e bbspam.com (MX 1.2.3.4) che è una storia istruttiva su come non si
dismette un servizio usato da terzi non cooperanti[4].

Il traffico UDP invece è il risultato di scansioni SIP alla ricerca di
telefoni e centralini insicuri, questi blog spiegano i dettagli: 1[5],
2[6].


[0] http://blog.bofh.it/id_352
[1] http://www.mix-it.net/
[2] http://www.namex.it/
[3] http://www.minap.it/
[4] http://bbantispam.com/forum/viewtopic.php?t=606
[5] http://blog.sipvicious.org/2010/02/rtp-traffic-to-1111.html
[6] http://www.usken.no/2010/02/sip-scanning-causes-ddos-on-ip-1-1-1-1/

Permalink: http://blog.bofh.it/id_354
-- end of forwarded message --


-- 
ciao,
Marco


More information about the itnog mailing list