On Fri, 11 Feb 2005 15:40:34 +0700, Erwien Samantha Y <[EMAIL PROTECTED]> wrote: > > On Fri, 11 Feb 2005 15:26:12 +0700, Andika Triwidada <[EMAIL PROTECTED]> > wrote: <didilit>
> > Karena itu SMTP yang pakai TCP, spoofing relatif lebih sulit > > dilakukan. Biasanya yang dipalsukan adalah hostname, > > bukan IP. > > > > Faktor lain, mungkin itu hasil dari trojan / virus, yang > > memang benar-benar keluar dari IP 202.158.66.28, tapi > > mengaku dari tundra.yahoo.com.cn > > Oh yah, keterangan tambahan dari IP tersangka (202.158.66.28) : > OS : linux > Port listen : 22(sshd), 80(httpd), 111(portmap) > Jadi di IP tersangka tersebut sebenarnya tidak ada MTA yang berjalan. > > Makanya saya jadi bingung pola menspoof IP tersangka tersebut, dan kenapa > bisa ada tundra.yahoo.com.cn? > > Erwien Samantha > Bukan firewall/gateway/proxy/NAT yah? Mungkin juga ada bug di cgi app? Apakah mesin itu punya tetangga di segmennya? TCP spoof bisa dilakukan asal oleh tetangga satu segmen atau mesin lain yang ada di lintasan paket/mesin yang bisa sniff di sepanjang lintasan paket. tundra itu nama tipuan rasanya, untuk mengecoh pelacak. -- andika
