2010/4/24 Arief Yudhawarman <[email protected]>: > On Fri, Apr 23, 2010 at 10:51:50PM +0900, Ery Atmodjo wrote: >> Terima kasih sebelumnya buat resep mas Arif. Setelah coba resepnya >> pakai iptables, saya temukan di network saya ada pola seperti itu. >> Apakah itu berarti ada komputer yang memakai program vidalia dan atau >> ultrasurf, atau program lain yang mungkin punya pola yang sama. > > Yang saya lakukan selama sampling, ehem, pengumpulan paket2 trafik ke port > ssl atau 443 adalah dari browser2 mesin windows xp virtual (vmware); ie dan > mozilla, dan dari ubuntu 8.04; mozilla dan opera. > Berdasarkan pengamatan dan perbandingan paket2 ke port ssl ditemukan semacam > pola yang unik yang merupakan sifat intristik (?) dari program seperti > ultrasurf > atau vidalia atau bisa dikatakan semacam "user-agent". > Kalau ultrasurf (http://www.ultrareach.com/downloads/ultrasurf/u995.exe) > punya pola hex seperti ini di paket data 11 bytes pertama dari sesi client > hello: > 16 03 01 00 41 01 00 00 3d 03 01 > Kalau vidalia atau tor (tor-browser-1.3.4_en-US.exe, > vidalia-bundle-0.2.1.25-0.2.7.exe) > punya pola hex seperti ini di dalam paket data 256 bytes dari sesi client > hello: > C00AC01400390038C00FC0050035C007C009C011C01300330032C00CC00EC002C00400040005002FC008C01200160013C00DC003FEFF000A > > Bisa jadi ada program lain yang mempunyai pola hex yang sama seperti di atas. > Untuk tahu tidak ada cara selain instal ultrasurf dan vidalia, jalankan serta > sniffing network sendiri dan amati paket2nya dengan wireshark. > > -- > Arief Yudhawarman > http://awarmanf.wordpress.com >
Mas Arief ysh, Apakah ada virus/worm/malware yang punya pola hex yang sama dengan ultrasurf/vidalia ya? Pasalnya, paket-paket yang mengandung pola ultrasurf/vidalia berasal dari user-user yang saya tidak yakin bisa install dan jalankan software seperti itu. Kalau memang iya, ya bagus juga, cuma kuatirnya kalau bukan virus dan bukan software ultrasurf/vidalia. Musti cek langsung di kompienya kali ya.. he he he. Tapi setelah blok saya coba akses ke mandiri bangking masih bisa jalan. Terima kasih Mas Arief. Wassalam Ery -- FAQ milis di http://wiki.linux.or.id/FAQ_milis_tanya-jawab Unsubscribe: kirim email ke [email protected] Arsip dan info milis selengkapnya di http://linux.or.id/milis
