[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:04034] Re: interlink
- To: connect24h@xxxxxxxxxxxxxxxxxxxx
- Subject: [connect24h:04034] Re: interlink
- From: SAKIYAMA Nobuo <sakichan@xxxxxxxxxxxx>
- Date: Wed, 15 Aug 2001 08:00:26 +0900
At Wed, 15 Aug 2001 06:44:22 +0900,
omok@xxxxxxxxx wrote:
> > CodeRedII はたしかに 16:19 でおわってます。が、CodeRed は1度きてます。
> > 194.228.xxx.xxx - - [13/Aug/2001:22:51:46 +0900] "GET /default.ida?NNNN
> > (一応IPアドレスは一部隠して、後ろも切った)
> 我が家はInterlinkでMOOTユーザーなのですが、相変わらず両方とも来ていま
> す。
うちも、その後確認すると一部来ているようです。ただ、頻度からすると、や
はり
203.228.xxx.xxx - - [15/Aug/2001:05:29:02 +0900] "-" 408 - "-" "-"
といった類のほうが圧倒的です。
アプリ層まで持ち上げてる revserse proxy もどきではなくて、多分パケット
をstateful にフィルタしていると思われるので、多分
1. TCP connection が成立
2. 直後のパケット1つを検査 → 問題ないと判断すれば以後 path through
→ CodeRedと判断すれば捨て
ということをやっているのでしょう。で、何かの理由(例えば、packet size
が小さいとか fragmentation が起きているとか、あるいはpacketの到着順序
がいれかわるとか、じゃないかなぁ)があると、フィルタをすりぬけるのでしょ
う。
# Interlink が何やってるか表にださないと全部推測におわりますが...。
--
SAKIYAMA Nobuo (崎山 伸夫) sakichan@xxxxxxxxxxxx
------------------------------------------------------------------------
☆え?!まだ終電、間に合うの!!!
http://transfer.infoseek.co.jp/Trlast?pg=tr_last_top.html&svx=971122