[ITNOG] annunciate delle sottoreti di 1.0.0.0/8
Manfredo Miserocchi
mis@wari.net
Mar 9 Feb 2010 19:53:28 CET
Se volete un report dei primi giorni, RIPELabs ne ha pubblicato uno
http://labs.ripe.net/content/pollution-18
Manfredo
-----Original Message-----
From: md@Linux.IT (Marco d'Itri)
To: itnog@lists.itnog.it
Date: Sun, 7 Feb 2010 13:55:24 +0100
Subject: Re: [ITNOG] annunciate delle sottoreti di 1.0.0.0/8
> -- forwarded message --
> From: Marco d'Itri <md@Linux.IT>
> Newsgroups: it.fan.marco-ditri
> Subject: Ancora su 1.0.0.0/8
> Date: Sun, 07 Feb 2010 04:29:45 +0100
> Message-ID: <hklc72$juh$1@posted-at.bofh.it>
>
> Per evitare di intasare il route collector, RIPE ha smesso di
> annunciare 1.1.1.0/24 e 1.2.3.0/24[0] e quindi ho colto l'occasione per
> provare a farlo io per un po' (limitatamente a MIX[1], NAMEX[2] e
> MINAP[3]).
>
> Ho ricevuto traffico da diversi peer che evidentemente non filtrano i
> miei annunci, e sospetto che ne arriverebbe molto di più se alcuni non
> avessero una prefix-list anti-bogon non aggiornata... :-)
>
> Mi sono arrivati 300-350 Kbps: il più sono 3 stream da 78 Kbps verso la
> porta UDP 15206 e SYN verso la porta TCP 25. Per il resto ho visto
> broadcast NETBIOS verso 1.1.1.255 (da un ospedale, a giudicare dai
> nomi), ping, ACK e SYNACK per protocolli assortiti.
>
> Il traffico SMTP è praticamente tutto di messaggi verso zaobao.com.sg
> (MX 1.1.1.1), che riceve backscatter perché falsificato da uno spammer,
> e bbspam.com (MX 1.2.3.4) che è una storia istruttiva su come non si
> dismette un servizio usato da terzi non cooperanti[4].
>
> Il traffico UDP invece è il risultato di scansioni SIP alla ricerca di
> telefoni e centralini insicuri, questi blog spiegano i dettagli: 1[5],
> 2[6].
>
>
> [0] http://blog.bofh.it/id_352
> [1] http://www.mix-it.net/
> [2] http://www.namex.it/
> [3] http://www.minap.it/
> [4] http://bbantispam.com/forum/viewtopic.php?t=606
> [5] http://blog.sipvicious.org/2010/02/rtp-traffic-to-1111.html
> [6] http://www.usken.no/2010/02/sip-scanning-causes-ddos-on-ip-1-1-1-1/
>
> Permalink: http://blog.bofh.it/id_354
> -- end of forwarded message --
>
>
> --
> ciao,
> Marco
>
> --
> Mailing list info: http://lists.itnog.it/listinfo/itnog
>
Si precisa che le informazioni contenute in questo messaggio sono riservate e ad uso esclusivo del destinatario. Qualora il presente messaggio Le fosse pervenuto per errore, La invitiamo ad eliminarlo senza copiarlo ed a non inoltrarlo a terzi, dandocene gentilmente comunicazione. Grazie.
You are hereby informed that this message contains confidential informations intended for the addressee's use only. If yu're not the addressee and have received this message by mistake, please delete it and immediately notify us. You may not copy or disseminate this message to anyone. Thank you.
More information about the itnog
mailing list