Accès Premium
GNT sans publicité, site mobile, fonctionnalitées exclusives...
Rejoignez-nous !
Forums Sécurité Sécurité

ICMP ack, AT&T ..

Le
HelloMan
--BEGIN PGP SIGNED MESSAGE--
Hash: SHA1

Bonsoir

L'autre jour j'ai observé les rejets de mon firewall en temps réel (ouais,
ça m'arrive, tail -f) et j'ai vu arriver un gros "paquet de paquets" tcp,
mode ACK. Shorewall est rêglé, chez moi pour refuser tous les paquets non
relatés à une connection établie venant de l'extérieur.

du genre de celui ci:

Dec 15 20:16:02 msi kernel: Shorewall:newnotsyn:DROP:IN=ppp0 OUT= MAC=
SRC2.107.37.21 DST!3.44.171.95 LEN@ TOS=0x08 PREC=0x00 TTL8
IDA657 DF PROTO=TCP SPT€ DPT6955 WINDOW=0 RES=0x00 ACK RST URGP=0

Voulant savoir qui pouvait m'envoyer une telle avalanche, j'ai fait un petit
whois, juste pour voir. Oh surprise, vous ne devinerez jamais

$ whois 32.107.37.21

OrgName: AT&T Global Network Services
OrgID: ATGS
Address: 3200 Lake Emma Road
City: Lake Mary
StateProv: FL
PostalCode: 32746
Country: US

NetRange: 32.0.0.0 - 32.255.255.255
CIDR: 32.0.0.0/8
NetName: ATT-32-0-0-0-A
NetHandle: NET-32-0-0-0-1
Parent:
NetType: Direct Allocation
NameServer: NS.UK.PRSERV.NET
NameServer: NS.DE.PRSERV.NET
NameServer: NS.NL.PRSERV.NET
Comment:
RegDate:
Updated: 2002-03-28

TechHandle: PS4071-ARIN
TechName: Sides Jr., Phil
TechPhone: +1-301-962-7817
TechEmail: psidesjr@att.com

# ARIN WHOIS database, last updated 2003-12-14 19:15

Je ne sais pas vraiment pourquoi AT&T peut m'envoyer autant de ACK, en new
not syn c'est bizarre non ?

J'ai voulu en savoir plus. Sachant que je fais des logrotate toutes les
semaines (celui ci ayant lieu le Dimanche matin), j'ai compté:

$ grep Shorewall /var/log/syslog | grep 32.107.37.21 wc -l
303

303 pings de chez AT&T en deux jours, c'est pas mal non ?

Mais il y a un peu plus strange, ack, dans l'absolu, moi je veux bien, mais
pourquoi en provenance du port 80 ?

et puis, aussi il y a ça, c'est plus rare mais ça arrive

Dec 15 19:40:00 msi kernel: Shorewall:newnotsyn:DROP:IN=ppp0 OUT= MAC=
SRC2.107.37.21 DST!3.44.171.95 LEN0 TOS=0x08 PREC=0x00 TTL8
IDw57 DF PROTO=TCP SPT€ DPTH636 WINDOWu63 RES=0x00 ACK PSH FIN
URGP=0

et, il y en a, depuis Dimanche matin:

$ grep 32.107.37.21 /var/log/syslog | grep 'ACK PSH FIN' | grep Shorewall |
wc -l
4

s'cusez moi, chuis un peu benêt en TCP, c'est quoi ACK, PSH, FIN ?

ça correspond à quoi ?

merci de vos lumières.

- --
HelloMan
--BEGIN PGP SIGNATURE--
Version: GnuPG v1.2.3 (GNU/Linux)

iD8DBQE/3ht5eId4S2LZgTURAl1sAJ9Owc+6DB0ck04Ox4Y5DLrKYNMa6wCghHD4
1tZuXiKYgu8QKf3VMeUIZJs=
=Nk+r
--END PGP SIGNATURE--
Lire les 20 réponses

Questions / Réponses high-tech
Poser une question
Vidéos High-Tech et Jeu Vidéo
Plus de vidéos
Téléchargements
Plus de téléchargements
Vos réponses Page 1 / 4
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Pierre LALET
Le #218936
HelloMan wrote:
[SNIP]
Je ne sais pas vraiment pourquoi AT&T peut m'envoyer autant de ACK, en new
not syn c'est bizarre non ?


AT&T ils seraient pas un peu fournisseur d'accès ? Encore que cette
adrese ne résolve pas. De toutes façons, rien ne prouve que cela vienne
bien de chez eux.

J'ai voulu en savoir plus. Sachant que je fais des logrotate toutes les
semaines (celui ci ayant lieu le Dimanche matin), j'ai compté:

$ grep Shorewall /var/log/syslog | grep 32.107.37.21 wc -l
303

303 pings de chez AT&T en deux jours, c'est pas mal non ?

Mais il y a un peu plus strange, ack, dans l'absolu, moi je veux bien, mais
pourquoi en provenance du port 80 ?


Pour passer un pare-feu sans table d'états par exemple ?

et puis, aussi il y a ça, c'est plus rare mais ça arrive

Dec 15 19:40:00 msi kernel: Shorewall:newnotsyn:DROP:IN=ppp0 OUT= MAC > SRC2.107.37.21 DST!3.44.171.95 LEN0 TOS=0x08 PREC=0x00 TTL8
IDw57 DF PROTO=TCP SPT€ DPTH636 WINDOWu63 RES=0x00 ACK PSH FIN
URGP=0

et, il y en a, depuis Dimanche matin:

$ grep 32.107.37.21 /var/log/syslog | grep 'ACK PSH FIN' | grep Shorewall |
wc -l
4

s'cusez moi, chuis un peu benêt en TCP, c'est quoi ACK, PSH, FIN ?


ACK : accusé de réception d'un paquet (pour faire croire à un pare-feu
sans table d'états que le paquet appartient à une session établie).
PSH : j'envoie des données (couche au dessus d'IP).
FIN : symétrique de SYN pour les fins de connexions.

pierre

--
Pierre LALET -- http://www.enseirb.fr/~lalet/
Droids Corporation -- http://www.rstack.org/droids/
Clé publique PGP : http://www.enseirb.fr/~lalet/pierre_lalet.asc
Empreinte de la clé : B6B8 0F89 2220 DF8B 0F3B C0C0 773E 15E6 A878 FC7E

Répondre en citant
Cedric Blancher
Le #218935
Dans sa prose, Pierre LALET nous ecrivait :
Mais il y a un peu plus strange, ack, dans l'absolu, moi je veux bien,
mais pourquoi en provenance du port 80 ?
Pour passer un pare-feu sans table d'états par exemple ?



Dans le cas présent, il s'agit de RST-ACK.

Amha, il faudrait d'abord essayer de trouver si cette machine
n'hébergerait pas un site que l'utilisateur ou une de ses applications
consulte de manière régulière.


--
BOFH excuse #265:

The mouse escaped.


Répondre en citant
HelloMan
Le #219732
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Cedric Blancher wrote:

Dans sa prose, Pierre LALET nous ecrivait :
Mais il y a un peu plus strange, ack, dans l'absolu, moi je veux bien,
mais pourquoi en provenance du port 80 ?
Pour passer un pare-feu sans table d'états par exemple ?



Dans le cas présent, il s'agit de RST-ACK.

Amha, il faudrait d'abord essayer de trouver si cette machine
n'hébergerait pas un site que l'utilisateur ou une de ses applications
consulte de manière régulière.


Bonjour Cedric et Pierre


et Merci de vos réponses.

En fait, j'étais un peu troublé quand j'ai envoyé ce message hier. Depuis,
j'ai repris les logs et les connections, d'après ce que disait Cedric, il
semble bien qu'il ait un élément de réponse, et Pierre également quand il
dit que AT&T est fournisseur d'accès.

En fait, au moment ou j'ai observé ces événements, j'étais en train de
consulter certains sites un peu "alternatifs" (mais tout à fait corrects,
je le précise)

Afin d'en savoir plus, si vous avez un firewall bien configuré, et assez
verbeux, ainsi que le temps et le désir d'en savoir plus (et je
comprendrais très bien que cela ne soit pas le cas pour le temps et
l'envie; pour ce qui est du firewall, je pense que vous êtes équipés,
d'après ce que j'ai pu lire de vous), vous pouvez tenter une connection web
(j'étais sur Konqueror) sur les pages suivantes:

http://www.michaelmoore.com/words/m.../index.php
http://www.gwu.edu/~nsarchiv/NSAEBB/NSAEBB82/
http://english.aljazeera.net/HomePage

bien sur, je ne me rapelle plus dans quel ordre j'ai accédé à ces pages, ni
par où j'y suis arrivé.

Je précise bien que je ne veux en aucun cas promouvoir la consultation de
ces sites ni les idées qu'ils contiennent. Mais effectivement, je les
consulte assez souvent (Cedric a raison), surtout ces derniers temps,
actualité oblige.

Entre le moment où j'ai écrit les lignes ci dessus, et maintenant, j'ai fait
un petit host et whois sur le troisième site, héhéhéhé, c'est les mêmes, à
un alias près ! Ca intéresserait un journaliste quelque part ?

baille @+

- --
HelloMan
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.3 (GNU/Linux)

iD8DBQE/3tJveId4S2LZgTURAqSwAJ0R/GYvNx1pcA8pKqf9D/LD3twK+gCfcZxW
EjVMxQOyul7W34sCkLXBZNg ÖnV
-----END PGP SIGNATURE-----



Répondre en citant
Cedric Blancher
Le #219731
Dans sa prose, HelloMan nous ecrivait :
http://www.michaelmoore.com/words/m.../index.php
http://www.gwu.edu/~nsarchiv/NSAEBB/NSAEBB82/


:~$ host www.michaelmoore.com
www.michaelmoore.com A 208.38.54.152
:~$ host www.gwu.edu
www.gwu.edu A 128.164.127.251

Pour ces deux là, ce n'est pas bon.

http://english.aljazeera.net/HomePage


:~$ host english.aljazeera.net
english.aljazeera.net CNAME wa9g1.services.icdsatt.net
wa9g1.services.icdsatt.net A 12.120.9.19
english.aljazeera.net CNAME wa9g1.services.icdsatt.net
wa9g1.services.icdsatt.net A 32.107.56.39

Pour celui-ci, ça semble s'approcher du but. En outre, c'est le même
fournisseur derrière.

Je précise bien que je ne veux en aucun cas promouvoir la consultation de
ces sites ni les idées qu'ils contiennent.


Cela va de soit ;)

--
MF> Comment faire pour rechercher par exemple tout les
MF> dentistes ayant un email.
Du côté de l'email, ça devrait aller, pour les dentistes !
-+- MG in : Guide du Neuneu d'Usenet - Carie me on -+-

Répondre en citant
HelloMan
Le #219698
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Bonjour

Je confirme ce que je disais dans mon post précédant, je viens, par acquis
de conscience de faire un petit tour sur le 3è site dont je donnais
l'adresse ci-dessus; ben plaf, ça manque pas. ça recommence, à donf, mais,
élément nouveau, c'est différé de quelques minutes par rapport à la
consultation des pages (bien sûr, je n'ai pas pensé à chronométrer, désolé)

$ grep 32.107.37.21 /var/log/syslog | grep 'Dec 17' | wc -l
220

ça pour entre
Dec 17 00:17:14
et
Dec 17 00:24:45

soit au bas mot 31 paquets par minute 0,5/s en 7 minutes.

Je m'en tape le coquillard, c'est bloqué, je n'ai rien à me reprocher
puisque je n'ai fait que consulter l'actualité, mais bon, je ne trouve pas
cela très sympa, et si je ne loggais pas tout, je ne m'en serais même pas
rendu compte. Et si cela n'avait pas été arrêté, ça aurait fait quoi ?

Existe t'il d'autres sites qui font ça ? Dans quel but ?

Quelqu'un d'autre a t'il observé la même chose ?

- --
HelloMan
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.3 (GNU/Linux)

iD8DBQE/35f6eId4S2LZgTURAvq2AKCAMunY15wWNK3QrZqqH0fA09544QCeN7FW
0MEyDRX+iR6bIaTJzidDcgE =GQod
-----END PGP SIGNATURE-----
Répondre en citant
Publicité
Suivre les réponses
Poster une réponse
Anonyme