On Fri, 11 Feb 2005 15:26:12 +0700, Andika Triwidada <[EMAIL PROTECTED]> wrote: > > On Fri, 11 Feb 2005 14:56:23 +0700, Erwien Samantha Y > <[EMAIL PROTECTED]> wrote: > > > > Halo, > > > > Ada yang bisa bantu gimana caranya untuk mengetahui > > apakah salah satu IP di network kita bisa di spoof orang atau > > nggak gimana yah ? > > > > critanya, saya dapat laporan kalau IP salah satu jaringan kita dipakai > > oleh spammer. > > berikut ini cuplikan lampiran laporanya : > > ------------------------------------------------------ > > Aug 23 2004)) with ESMTP id <[EMAIL PROTECTED]> for > > [EMAIL PROTECTED]; Sun, 30 Jan 2005 14:46:35 -0100 (IST) > > Received: from tundra.yahoo.com.cn ([202.158.66.28]) > > ^^^^^^^^^^^^^^^ > > by philology.essex1.com (Sun Java System Messaging Server 6.1 HotFix > > 0.03 (built Aug 27 2004)) > > ------------------------------------------------------------- > > > > > > Erwien Samantha > > > > Karena itu SMTP yang pakai TCP, spoofing relatif lebih sulit > dilakukan. Biasanya yang dipalsukan adalah hostname, > bukan IP. > > Faktor lain, mungkin itu hasil dari trojan / virus, yang > memang benar-benar keluar dari IP 202.158.66.28, tapi > mengaku dari tundra.yahoo.com.cn
Oh yah, keterangan tambahan dari IP tersangka (202.158.66.28) : OS : linux Port listen : 22(sshd), 80(httpd), 111(portmap) Jadi di IP tersangka tersebut sebenarnya tidak ada MTA yang berjalan. Makanya saya jadi bingung pola menspoof IP tersangka tersebut, dan kenapa bisa ada tundra.yahoo.com.cn? Erwien Samantha