#pyspa root/confs/snort/rules/dos.rules のGoogleキャッシュによれば http://t.co/qGv58qD CVE-1999-0271 に関係するらしい
2011-08-07 01:54:04#pyspa 1999年のこの脆弱性報告をsiteしてsnortがコード中にマジックナンバーとして埋め込んでいる
2011-08-07 01:58:55検出されたバイトシーケンスはReal Audio の脆弱性に関連しているようだ。でもport が異なっているので、このコードは動かないはずなのだが… という追い詰め方をしているらしい #pyspa
2011-08-07 02:00:35#pyspa snortの http://t.co/qGv58qD はdstが7070であることを指定しているので9000だった今回のサーバが落ちたこととは直接的には関係しないはずであるというVの見解に同意。でも偶然で5バイトのマジックナンバーが一致するとも考えにくい
2011-08-07 02:01:24#pyspa http://t.co/U13IRaE SIGINTで中断されたサーバが問題のペイロードを返すという話
2011-08-07 02:07:40telnet の Ctrl+C シーケンスを示した値、とのこと(by ransui) RT @tokoroten: #pyspa "FF F4 FF FD 06" はDDoSと関連のある何からしいことはわかった。
2011-08-07 02:09:18telnet は関係ないという見解が多数を占めてるなう。そして TCP スタックが怪しいのではないか、という意見。 #pyspa
2011-08-07 02:11:21#pyspa は只今を持ちまして終了し、#kernel_tcp_stack_spa という名称に変化しました。長らくのご愛顧誠にありがとうございました。という夢を見た。
2011-08-07 02:12:03ちなみに #pyspa の外の人にいまPySpa内で絶賛盛り上がり中のイベントを解説すると、HTTPサーバに負荷をかけて殺すツールを作って殺すことに成功したのだが、その時ペイロードにFFF4FFFD06の5バイトが繰り返し出現していて、一体これは何なんだ?という流れ。
2011-08-07 02:13:24#pyspa いまイアンが話しているのは http://lxr.linux.no/#linux+v3.0/include/net/tcp_states.h#L27 のことね
2011-08-07 02:21:30#pyspa voluntas いわく http://lxr.linux.no/#linux+v3.0/include/linux/sdla.h#L125
2011-08-07 02:25:16#pyspa #define SDLA_502_MDM_STATUS 0xFFF4 と #define SDLA_502_IRQ_INTERFACE 0xFFFD と SIGINT がくっついたものなのではないか、という話
2011-08-07 02:26:05#pyspa http://www.google.com/codesearch#iCXnLOj7beI/include/linux/sdla.h&q=0xFFF4&type=cs&l=129 これがつながってるだけじゃね?という話。
2011-08-07 02:27:44#pyspa 127.0.0.1だからループバックなのでデバドラを通らない、デバドラから殺されたという解釈はどうか、との指摘
2011-08-07 02:30:15