On Fri, 2003-05-16 at 09:34, Raymond Dijkxhoorn wrote:
Er is een nieuwe brakke versie van een of ander Norton product in omloop, sinds en paar dagen krijg ik een stuk meer van dit soort no-no mails van /dumbbass users. De meeste zijn vermoedelijk een jaar of 10 (of hebben in ieder geval het denkniveau wat daaraan equivalent is) want veel meer als 3 scheldwoorden staat er meestal niet in de mails.
Ah eindelijk, dit is het sein om mijn gal ook eens te spuien.... Wij krijgen meestal klachten van mensen die denken dat ICMP unreachable een _heel_ gevaarlijk pakket is. Het gaat ongeveer zo: Brakke Firewall (BF) ziet vreemd pakket BF denkt zijn luser te helpen door het netwerk in de RIPE database op te zoeken. Helaas heeft BF blijkbaar hardcoded IP adressen, en 1 of meer van deze adressen zijn niet meer geldig. De RIPE router op het AMS-IX lan stuurt braaf een ICMP Host Unreachable terug. BF ziet dit en, oh jee, paniek! We worden gehackt door de RIPE router. Source adres van de ICMP is die van het AMS-IX interface ... waarna ze ons beschuldigen van hack pogingen. Afhankelijk van de toon van hun mail willen we daar nog wel eens met een zekere mate van beleefdheid op reageren. Het mooiste was nog wel een telefoontje wat ik ongeveer een jaar geleden kreeg. De man was erg boos, wist ook zeker dat WIJ hem aan het hacken waren en we moesten er maar onmiddellijk mee ophouden. Dat ging ongeveer zo: luser: Willen jullie onmiddellijk ophouden met mijn computer te hacken!? SB: Meneer, wij hacken niemand. Kunt u bewijzen geven dat wij u hacken? luser: Ik zie het op mijn computer scherm! SB: Wat ziet u op uw scherm? Wat voor meldingen krijgt u? Wat voor adressen ziet u? luser: Wacht even... Ah, A-m-s-i-x, W-e-s-t-e-i-n-d-e 12, .... :-D ... Nou ja, vanaf dat moment ging het gesprek alleen maar bergafwaarts. Hij eindigde met het dreigement dat hij ons dan wel even zou terughacken en "dan zou er helemaal geen AMS-IX meer zijn." Ik legde hem fijntjes uit dat dergelijke activiteiten illegaal zijn en wij dan ook genoodzaakt zouden zijn om justitie in te schakelen. Verder wenste ik hem veel succes voor ik de verbinding verbrak. Misschien is het volgende een idee: ==> Wat doet u in mijn computer? <== Porno verzameling doorsturen aan je moeder. Maar waar ik echt helemaal niets mee kan zijn lusers die spam ontvangen, een traceroute doen en vervolgens het AMS-IX peering lan ergens in het midden van de trace zien verschijnen en ons vervolgens beschuldigen van het upstream leveren aan spammers. Het concept L2 exchange is niet in die stugge koppen te rammen (los van het feit dat een traceroute in dit geval volkomen nutteloos is). En zelfs al zouden we iets kunnen doen: moeten we AMS-IX lid afsluiten omdat een volslagen vreemde beweert dat een klant {van een klant}* van een AMS-IX lid spam stuurt...? Please hold while I put on my special Law Suit :-) Het schijnt dat 193.148.15.0/24 inmiddels al in een aantal blackhole lists voorkomt. Dat geeft niks natuurlijk, totdat we het teruggeven aan RIPE en weer wordt uitgegeven aan een of andere arme donder. :-/ Steven