TaoSecurity: Nothing to See Here cá cược thể thao bet365_cách nạp tiền vào bet365

Tuesday, March 06, 2007

Nothing to See Here

Recently I noticed a posting at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Internet Storm Center titled Deformed TCP Options - Got Packets? The story featured packets like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:


07:11:45.781421 IP (tos 0x0, ttl 113, id 9433, offset 0, flags [DF],
 proto: TCP (6), length: 48)
 129.250.128.21.1256 > www.xxx.yyy.zzz.1229: S, cksum 0x5ed4 (correct), 
 2627126762:2627126762(0) ack 257795 6091 win 1460 

0x0000: 4500 0030 24d9 4000 7106 4944 81fa 8015 E..0$.@.q.ID....
0x0010: wwxx XXYY 04e8 04cd 9c96 c5ea 99a8 7cfb ...{..........|.
0x0020: 7012 05b4 5ed4 0000 0204 05b4 0102 0403 p...^...........


07:11:51.517325 IP (tos 0x0, ttl 113, id 21659, offset 0, flags [DF], 
 proto: TCP (6), length: 48)
 129.250.128.21.1252 > www.xxx.yyy.zzz.1070: S, cksum 0xa40c (correct), 
 1381904945:1381904945(0) ack 2301854615 win 1460 

0x0000: 4500 0030 549b 4000 7106 764c 81fa 8015 E..0T.@.q.vL....
0x0010: wwxx XXYY 04e4 042e 525e 3231 8933 8397 ........R^21.3..
0x0020: 7012 05b4 a40c 0000 0204 05b4 0102 0403 p...............

In English, 129.250.128.21 is sending SYN ACK packets to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 obfuscated IP addresses. 129.250.128.21 is sending SYN ACK packets because it is replying to SYN packets from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 obfuscated IP. I knew right away what was happening. Some people called it "backscatter." When I wrote my first paper on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subject in 1999 I used cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exceptionally exciting term "third party effects," cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365reby consigning my research to some vague corner of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet. In brief, 129.250.128.21 was being SYN flooded; it is a victim, not a perpetrator.

The ISC handlers wrote:

Generally cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source ports are 80, 6667, 6666, and 443. However cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are also a number of packets with random source ports between 1024 and about 1300. Ports 1024-1300 are also used as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target port. Looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Dshield data for ports 6666 and 6667 cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was a small peak for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se ports as source ports on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 27/28 Feb.

So we are seeing multiple hosts sending SYN,ACK with truncated option to targets (sometimes both scan cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same IP) from known ports. The response is typically a RST, or RST,ACK. The window size is also often changed in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 response.

What it looks like is a mapping/fingerprinting exercise using cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 target stacks' response to bad options. But at this stage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end goal is unclear.

I thought this was not right, and I told cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 handlers as much. They didn't believe me, so I asked cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y thought it might be a good idea to step out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cave of packet conspiracies and ask cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 owner of 129.250.128.21 what was happening. (This was cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 strategy I followed in my original paper.) They decided not to pursue this non-technical investigative method, so I emailed hostmaster [at] ameri [dot] ca based on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 resolution for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IP: compton.ameri.ca.

Since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n I've been exchanging emails with Brad Dreisbach. He wrote:

i have been getting tcp syn attacked for about 3 weeks now. i have re-installed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 OS on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 host just to be safe, but im fairly sure my systems are secure. i have also taken measures with my upstream, whom i also work for, to migitate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack. some stuff is still getting through but at this point im just waiting for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attackers to give up...

There you go -- Brad is being attacked. 129.250.128.21 is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim. 129.250.128.21 is not doing some kind of reconnaissance.

When I asked Brad if he had captured any traffic related to his ongoing denial of service attack, he replied:

this pcap file doesnt appear to be a tcp syn attack, but some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r form of tcp attack. whoever is doing this is changing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir stategy though. cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack has changed a few times over its duration. cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y even attacked me via ipv6 for a few hours.

Here's part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traffic he sent:


2007-02-22 17:40:20.844503 IP (tos 0x0, ttl 119, id 5698, offset 0,
 flags [DF], proto: TCP (6), length: 40)
 68.102.133.89.3072 > 129.250.128.21.80: .,
 cksum 0xd7b5 (correct), 0:0(0) ack 0 win 0
        0x0000:  4500 0028 1642 4000 7706 21bf 4466 8559
        0x0010:  81fa 8015 0c00 0050 0000 0000 0000 0000
        0x0020:  5010 0000 d7b5 0000

2007-02-22 17:40:20.855549 IP (tos 0x0, ttl 120, id 48455, offset 0,
 flags [DF], proto: TCP (6), length: 40)
 72.207.227.118.3072 > 129.250.128.21.80: .,
 cksum 0x752f (correct), 0:0(0) ack 0 win 0
        0x0000:  4500 0028 bd47 4000 7806 1733 48cf e376
        0x0010:  81fa 8015 0c00 0050 0000 0000 0000 0000
        0x0020:  5010 0000 752f 0000

2007-02-22 17:40:20.948933 IP (tos 0x0, ttl 118, id 3193, offset 0,
 flags [DF], proto: TCP (6), length: 40)
 71.237.133.30.3072 > 129.250.128.21.80: .,
 cksum 0xd469 (correct), 0:0(0) ack 0 win 0
        0x0000:  4500 0028 0c79 4000 7606 293c 47ed 851e
        0x0010:  81fa 8015 0c00 0050 0000 0000 0000 0000
        0x0020:  5010 0000 d469 0000

This looks like an ACK flood to port 80 TCP. The victim will reply with RST packets (not RST ACK) if it can.

I think ISC got thrown off cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trail because SANS has a history of seeing global conspiracies in weird packet patterns. This dates back almost ten years and is documented in my first book. The unfortunate result of this attitude is hundreds, if not thousands, of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r security analysts have "learned" to see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se patterns as malicious too. ISC also spent too much time concentrating on "broken TCP options" on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 backscatter traffic. They did not accept my observation that victims under DoS attack tend to respond slowly, weirdly, and eventually not at all when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are flooded.

If you decide to post a nasty reply here because you love ISC and SANS, please keep in mind you're only seeing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 public side of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story. ISC and I exchanged very polite emails, but I am not going to disclose cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 additional justifications of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ISC evil packet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ory here because those emails were private.

I think ISC does a great service to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security community, but I would like to see SANS officially abandon its adherence to this misguided view of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world. I am not trying to pick a fight with SANS. All I want is for security analysts to know this pattern is often seen as "malicious" by many when it is utterly benign -- at least as far as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 backscatter recipient is concerned. Remember cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 site sending cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SYN ACK, RST ACK, or RST traffic is responding to a SYN flood (to an open or closed port, respectively) or to an ACK flood.

The moral of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 story is that it is not a good idea to assume cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world is out to get you when a stray packet arrives at your doorstep. A second lesson is that it sometimes make sense to investigate issues by doing human analysis racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than peering at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 world through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 eyes of Tcpdump/Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365real/Wireshark. A third lesson is that it makes little sense to interpret traffic as being malicious if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 probablility of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "scanner" learning anything remotely useful is extremely low.

Update: One of my friends noted that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Virginia Tech DShield has 129.250.128.21 listed as one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir "Top 10 Most Wanted" "attackers". This demonstrates cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 trouble with automated reporting systems.

Update 2: Be sure to read cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exciting conclusion here.

16 comments:

Trevor said...: These days I'm not sure why anyone would try to hide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir source. If I am an attacker worth half my salt I'll do a loud, easy and fast scan from someone's owned cable modem/DSL IP or one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 several shells I have laying around.; 2:29 PM
scottder said...: Funny, now most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IPs listed on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vt.edu site are vt.edu addresses.; 9:42 PM
Anonymous said...: two thoughts while i read this:
1) juno-z (tcp syn) and bang.c (tcp reflection) both use invalid or wrong tcp options... seems to be common among dos/ddos tools - probably intended to break cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tools for script kiddies. PoC authors tend to do this sort of thing for all kinds of vulnerability disclosures
2) ACK storms make me think of TCP session hijacking

your analysis was great. SANS is not on my approved security information resource list. ISC and DShield clearly need to take reflection-type attacks into account or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir services will remain mostly worthless and certainly unscientific.; 1:19 AM
Unknown said...: Nice post. Even in my very little space on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet, my company web servers also end up participating in such attacks. We get sent spoofed SYN packets to valid ports (80, 443) to which we send back ACK packets to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 real victim. Do this to enough and you get a nice hard-to-trace DDOS against a victim. In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 meantime, I have to deal with a small trickle that barely blips my radar. To an uninformed victim, I might look like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attacker when in fact I'm just a secondary victim.

I've found in my speaking to security and law enforcement as well as my own experiences in corporate IT/security that conspiracies are great fiction and make for dramatic stories. But typically, crime and attacks (analog or digital) are really not that conpiracy-laden or intricate.; 12:19 PM
Anonymous said...: http://lcamtuf.coredump.cx/mobp/; 2:06 PM
Anonymous said...: Nice post Richard.

However, I'm not seeing (direct, if any) correlation between cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packets you got from Brad and those that have been posted on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ISC site.

Specifically, from Brad you got this:

68.102.133.89.3072 > 129.250.128.21.80
72.207.227.118.3072 > 129.250.128.21.80
71.237.133.30.3072 > 129.250.128.21.80

This is clearly a Syn DoS (if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is enough traffic to be a DoS attack).

However, notice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source ports coming from Brad's IP addresses in ISC's post:

129.250.128.21.1256 > www.xxx.yyy.zzz.1229
129.250.128.21.1251 > www.xxx.yyy.zzz.1070

In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, for this traffic to happen, Brad's server would need services listening on ports 1251 and 1256. Have you confirmed with him that this really happened? Ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rwise, I would expect RST packets coming from his machine.

Do you have any explanation for this?; 4:34 PM
Richard Bejtlich said...: The traffic Brad sent shows an ACK flood. No SYN flags are sent.

As far as what SANS posted, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SYN ACKs from source ports 1256 and 1251 do imply that those ports were listening and replied. That sounds odd to me too. However, stranger things have happened to boxes under various forms of DoS attack.; 4:43 PM
Anonymous said...: About Brad's packets - yes, of course, I don't know where I saw cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SYN packets :) It's obvious that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are crafted packets, as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ACK flag set only.

However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r thing sounds really strange to me. I don't know that a box under a DoS attack (as Brad's would be, according to your cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ory) would mess up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TCP flags (put S/A instead of R), and with all that calculate a proper checksum for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packet.

There is one more difference that you didn't comment and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packet capture from Brad doesn't show that.
Packets on ISC's web all had extra (and sometimes incorrect) TCP options. The ACK flood coming to Brad's machine that you posted has no TCP options. It would be interesting to see, from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same capture, how Brad's server replied back and if it set those TCP options.

I know this all can be attributed to a server under a DoS stress, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are a lot of factors here it looks.; 1:28 AM
Richard Bejtlich said...: Don't fixate on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traffic SANS posted and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 three packet snippet I posted. Brad says he was attacked for three weeks. Who knows what services he really had running during that time? I've also seen systems protected by firewalls that responded with SYN ACK for every port, but never provided any services besides 80 or whatever was legit.; 7:05 AM
Anonymous said...: Well ok - first of all, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 only firewall I've ever heard of replying with SYN ACK packets to every incoming connection was Raptor, which is not too common cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se days (and this idea is a bit stupid as it opens you to reflector attacks). It would also be very strange that a firewall sent SYN ACK packets with incorrect TCP options.

My point here is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is *way* too much guessing in both your post and ISC's, without any conclusive points (from both sides).

We don't know if Brad has a firewall (why didn't you ask him), we don't know what services he was running at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time (why didn't you ask him - services on ports 1251 and 1256 are not common so he should be aware of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m), we don't know how his system (did you ask him what OS it is?) would behave under a DoS attack ...; 2:37 PM
Richard Bejtlich said...: Anonymous, if you want proof you will soon be able to see botnet command and control traffic where an ACK flood is launched against Brad's box. I don't know of anything more conclusive than that. I'm working with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person who sent me cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 C&C logs to release it publicly. SANS ISC got it too, but I don't see it posted yet...; 4:35 PM
Anonymous said...: Richard,

I'm not questioning that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was an ACK flood against Brad's box - that's clear from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 posted pcap files (so don't bocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 C&C traffic).

But, in my opinion, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is nothing connecting that with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SYN/ACK packets posted on ISC's web site.

Unless you get packet dumps from Brad, showing that his machine really sent those packets, your only argument seems to be that "you've seen machines do weird things under DoS attacks". While I'm not saying that's not possible, it is something that I'd like to see more proof about.; 5:36 PM
Anonymous said...: It turns out that Shadowserver has botnet traffic that shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack against 129.250.128.21

Below is a small snippet of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 traffic:
-----------
Feb 26 16:59:16 xx.xx.xx.xx (xx.xx.xx.xx:6667) :ESP|846305!njhvef@xx.xx.xx.xx PRIVMSG ##r0x## :nzm
(tcp.plg) »» Done with ack flood to IP: 129.250.128.21. Sent: 19186 packet(s) @ 2KB/sec (1MB).

Feb 26 16:59:16 xx.xx.xx.xx:6667 :ESP|846305!njhvef@xx.xx.xx.xx PRIVMSG ##r0x## :nzm (tcp.plg) »» Done
with ack flood to IP: 129.250.128.21. Sent: 19186 packet(s) @ 2KB/sec (1MB).

Feb 26 16:59:23 xx.xx.xx.xx:6667 :ESP|187844!guwcpbmq@xx.xx.xx.xx PRIVMSG ##r0x## :nzm (tcp.plg) »»
Done with ack flood to IP: 129.250.128.21. Sent: 49633 packet(s) @ 7KB/sec (2MB).

Feb 26 16:59:24 xx.xx.xx.xx (xx.xx.xx.xx:6667) :ESP|187844!guwcpbmq@xx.xx.xx.xx PRIVMSG ##r0x## :nzm
(tcp.plg) »» Done with ack flood to IP: 129.250.128.21. Sent: 49633 packet(s) @ 7KB/sec (2MB).

Feb 26 16:59:52 xx.xx.xx.xx:6667 :PRT|113722!owfxzrp@xx.xx.xx.xx.rev.xxximus.pt PRIVMSG ##r0x## :nzm
(tcp.plg) »» Done with ack flood to IP: 129.250.128.21. Sent: 47952 packet(s) @ 7KB/sec (2MB).

Feb 26 16:59:52 xx.xx.xx.xx (xx.xx.xx.xx:6667) :PRT|113722!owfxzrp@xx.xx.xx.xx.rev.xxximus.pt PRIVMSG
##r0x## :nzm (tcp.plg) »» Done with ack flood to IP: 129.250.128.21. Sent: 47952 packet(s) @ 7KB/sec (2MB).

Feb 26 17:00:12 xx.xx.xx.xx:6667 :SWE|925314!htniygb@cxx.xx.xx.xx.xxxxband.comhem.se PRIVMSG ##r0x##
:nzm (tcp.plg) »» Done with ack flood to IP: 129.250.128.21. Sent: 2151325 packet(s) @ 315KB/sec (123MB).; 5:44 PM
Richard Bejtlich said...: Sempersecurus, thanks for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 botnet traffic.

Anonymous, I'm afraid your demands for full knowledge of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire incident will not be met!

I consider this case closed. If you want more details try asking ISC. Too bad cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y don't feel cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need to say anything more about this event despite all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evidence I dug up here.; 7:39 PM
Anonymous said...: lol, on a sans webinar today sans is still pimping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tcp bad options conspiracy. someone during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 q&a referred cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to your site for this posting - hence cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 reason im here. great review. i too, at my work see people over react to and reach to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 far flung cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ories often with utter disregard for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 obvious answer. yes, of course cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are times when true evil abounds, but all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time?! with knowledge and power comes responsibility.

great post.

-dave; 1:50 PM
Anonymous said...: And if Dave would have listened closely, you would have noticed that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presenter didn't claim any conspiracy or anything of that effect. In fact she seemed to agree with Richard to an extent.

It is my honest belief that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ISC personnel are attempting to completely understand what is going on. If Richard's hypocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365sis is correct, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n under what operating systems and what exact conditions will cause cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 response seen in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 packets.

In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 presentation, 3 different IPs were shown responding in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 exact same way. SOOOOO. Under Richard's assertion, all three systems were under a Denial of Service and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 responses were malformed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim system. That is all well and good and believable. And I guarantee cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ISC understands that.

But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n no one asks cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 scientific question of.... why does it occur? What OS and/or tcp/ip stack responds in this odd way? Is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inappropriate response caused solely as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 odd packets being sent cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim site or is it more of a case of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system overload that causes this type of packet? Is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re a security weakness, or even a reliability issue in that particular set of OS and tcp/ip stack that may need to be addressed ? Could this type of response occur under ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r conditions as in not a Denial of Service attack, but actual overload of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system with legit traffic due to improper sizing of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system or not tuning appropriately?

It seems all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ISC is trying to do is determine why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 identical bad TCP options from multiple systems.; 3:13 PM