di zello » 03/04/04 23:22
Beh, qualche nota:
1) io ho dubbi che un portscanning sia net-abuse - io stesso ne faccio per vedere se una sorgente di spam è una macchina compromessa. Qualche ISP lo vieta nel contratto, ma in generale che io sappia non è vietato
2) ci vuole un pirla di quelli grossi a provare a entrare usando il proprio ip. Io ci metterei di mezzo un po' di proxies, o di zombies.
3) se non è portscanning, i pacchetti potrebbero pure essere spoofed. Io ricevo una marea di connessioni da 127.0.0.1 via interfaccia ppp0 (improbabile: 127.0.0.1 può connettersi solo via lo, e visto che è la mia stessa macchina dovrei avere problemi di identità piuttosto vasti per non saperlo...). E' ovvio che non sia portscanning perché chi manda i pacchetti non può ricevere le risposte
4) praticamente tutti sono attaccati via un ISP. Se il blocco è allocato direttamente nei rirs (in soldoni: se arin ha dato il blocco di ip direttamente all'utilizzatore), comunque il feed è garantito da uno o al massimo due ISP.
5) proprio per questo, lasciate stare i RIRs (ARIN, APNIC, KRNIC, LACNIC, BRNIC e RIPE). Sono responsabili dell'allocazione dei blocchi di indirizzi, non del loro uso. La lamentela è sempre al fornitore di accessi
6) io non mi lamenterei di un portscanning. Di un DoS o di un tentativo serio di intrusione sì, ma non di un po' di lameraggi. Io ho respinto otto connessioni a porte strane negli ultimi 10 minuti, e sono su IP dinamico.
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...