Ho visto pacchetti provenienti da indirizzi RFC1918 di due ISP europei di dimensioni abbastanza grandi (ASN1257 e ASN35706 più piccoli) che arrivano sui collegamenti di transito eBGP ultimamente, e sono un po 'perplesso sul motivo per cui non sarebbe stato abbandonato da un ACL prima entrata nella rete del mio ISP (o, davvero, entrata nella rete di QUALSIASI ISP).
Pur riconoscendo che questa non è una minaccia, la trovo interessante e mi piacerebbe sapere che esperienza hanno gli altri di questo.
In questo esempio, 192.168.146.0/24 è una mia rete RFC1918 e la porta 8111 ospita un servizio HTTP Push per un cliente piuttosto grande.
# "FINSYN" packet
10:58:07.069638 IP 192.168.1.2.58211 > 192.168.146.101.8111: Flags [FS], seq 737341754, win 65535, options [mss 1392,nop,wscale 4,nop,nop,TS val 1648454418 ecr 0,sackOK,eol], length 0
10:59:37.115697 IP 192.168.146.101.8111 > 192.168.1.2.58214: Flags [S.], seq 49951854, ack 1797656853, win 5792, options [mss 1460,sackOK,TS val 3490717429 ecr 1648449264,nop,wscale 7], length 0
# traceroute 192.168.1.2
traceroute to 192.168.1.2 (192.168.1.2), 30 hops max, 60 byte packets
1 192.168.146.2 (192.168.146.2) 0.142 ms 0.145 ms 0.164 ms
2 a.b.c.d (a.b.c.d) 1.215 ms 1.535 ms 1.713 ms
3 * * *
4 user7x.217-10-127.netatonce.net (217.10.127.7x) 4.723 ms 4.693 ms 4.881 ms
Le mie aspettative sono equilibrate?
Ti aspetti che tali pacchetti possano persino entrare nella rete del tuo ISP?
Cambieresti ISP?
Feedback aggiuntivo?