Paquets TCP en provenance de 127.0.0.1 port 80

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

| Bonjour
|
| Je me suis décidé à monter un peu le niveau de sécurité
| de mon firewall et logguer un peu plus ce qu'il se
| retrouve bloqué.
|
| Quelle ne fut pas ma surprise de découvrir ceci :
|
| FW: Spoof from Internet: IN=ppp0 OUT= MAC= SRC7.0.0.1
| DST!2.195.191.1 LEN@ TOS=0x00 PREC=0x00 TTL6 ID 988 PROTO=TCP
| TTL6 ID 988 PROTO=TCP SPT€ DPT96 WINDOW=0 RES=0x00 ACK RST
| URGP=0

J'ai le même genre de trace aussi bien sous Linux que Win98/SE

| (le FW: Spoof from Internet: est de moi, l'adresse IP de destination
| correspond à l'adresse de mon interface ppp0).

Idem "martians sources" comme certains le disent.

|
| Bref : y'a-t-il un virus où une attaque d'actualité en ce moment sur
| le net ?

Ce type de paquets sont très fréqents depuis un an environ et avec des
adresses IP différentes de celle qui m'est allouée par mon FAI

|
| Je suis en ADSL chez Club-Internet, kernel 2.4.20.

Je n'ai pas de certitude technique, mais les tests que j'ai pu faire
m'indiquent que ce type de packets "ACK" (acquittement) sans paquet à
acquitter (donc invalides) viennent en partie de mon propre modem ADSL.

En RTC je ne voyais rien de comparable.
.

Compte tenu que la montée en puissance de ce type de paquets (toutes
origines confondues) suit celle de la montée en puissance des accès
ADSL, je suis tenté d'en conclure que nombres de modem ADSL sont buggés
ou mal configurés.

Donc, à priori, rien d'inquiétant sauf qu'avec tout ce "bruit" il va
devenir très difficile d'identifier une vraie tenative de "spoof" pour
un non professionel.

- --
«Quand tu dors, es-tu un corps, une âme ou un repaire de sensations?»
Taliesin, barde gallois (V-VI siècles)
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.7 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQE/8LURLEqySGySm6cRAsrpAJ9lOrxLUATva4+J5kDbGJe24iMa0gCgwGmD
CD/99PzkGzaibcnhfVaHwx0 =PzHD
-----END PGP SIGNATURE-----

Bad Max wrote:

Bonjour

Bonsoir,

Bref : y'a-t-il un virus où une attaque d'actualité en ce moment sur
le net ?

C'est un effet de bord causé par Blaster.
Pour éviter le DOS sur windowspdate.com certaines personnes ou certains
"providers" ont fait que la resolution du nom windowsupdate.com renvoi
127.0.0.1. Or la machine infectée essaye de se contacter sur le port 80
en spoofant l'adresse source. Quand la connection est impossible, la
machine répond à l'adresse spoofée avec un paquet RST...

On 30 Dec 2003 22:27:03 GMT, esus <esus@gwenved.dnsalias.net> wrote:

| FW: Spoof from Internet: IN=ppp0 OUT= MAC= SRC7.0.0.1
| DST!2.195.191.1 LEN@ TOS=0x00 PREC=0x00 TTL6 ID 988 PROTO=TCP
| TTL6 ID 988 PROTO=TCP SPT€ DPT96 WINDOW=0 RES=0x00 ACK RST
| URGP=0
(...)

En RTC je ne voyais rien de comparable.

J'ai exactement le même type de log... et je suis en RTC..

Je ne comprend pas non plus :(

Amicalement Philippe

esus wrote:

Idem "martians sources" comme certains le disent.

A propos des martians sources, j'ai aussi des paquet TCP en provenance
de 127.0.0.1:80 :






J'ai bien activé le rp_filter et le log_martians :


/proc/sys/net/ipv4/conf/all/rp_filter:2
/proc/sys/net/ipv4/conf/default/rp_filter:2
/proc/sys/net/ipv4/conf/eth0/rp_filter:2
/proc/sys/net/ipv4/conf/eth1/rp_filter:2
/proc/sys/net/ipv4/conf/lo/rp_filter:2




/proc/sys/net/ipv4/conf/all/log_martians:1
/proc/sys/net/ipv4/conf/default/log_martians:1
/proc/sys/net/ipv4/conf/eth0/log_martians:1
/proc/sys/net/ipv4/conf/eth1/log_martians:1
/proc/sys/net/ipv4/conf/lo/log_martians:1

Cependant les paquets en question continuent à être droppé par une autre
règle du firewall et à aucun moment je ne vois apparaitre "warning
martians source" ou autre message permettant d'avoir la confirmation que
le rp_filter a fonctionné.

Qq a t'il une idée ??

Nicolas

'lut,

Manu a écrit:

C'est un effet de bord causé par Blaster.
Pour éviter le DOS sur windowspdate.com certaines personnes ou certains
"providers" ont fait que la resolution du nom windowsupdate.com renvoi
127.0.0.1. Or la machine infectée essaye de se contacter sur le port 80
en spoofant l'adresse source. Quand la connection est impossible, la
machine répond à l'adresse spoofée avec un paquet RST...

J'ai effectivement pu retrouver la même explication via google
(suffisait de mettre la bonne combinaison de mots-clés).

Ce qui est inquiétant, c'est la fréquence : toutes les 15 à 20s. Et
encore, il semble que ça commence à baisser, j'ai mesuré jusqu'à 1
paquet toutes les 5s (les utilisateurs de Club Int seraient-ils plus
infectés que les autres ?).

Merci pour la confirmation.

Bad Max

Bad Max wrote:

Ce qui est inquiétant, c'est la fréquence : toutes les 15 à 20s. Et
encore, il semble que ça commence à baisser, j'ai mesuré jusqu'à 1
paquet toutes les 5s (les utilisateurs de Club Int seraient-ils plus
infectés que les autres ?).

Non je ne pense pas, chez Free et selon l'adresse qui t'es attribuée
j'avais à peu près la même période (aux pires moments).
Si ton FAI à décier de "combattre" lui-même le problème en ajoutant la
correspondance 127.0.0.1 <=> windowsupdate.com dans ses serveurs DNS
cela peut augmenter le nombre de paquets spoofés. Les personnes n'ayant
pas fait la bonne manip pour éradiquer Blaster de leur machine génère
des paquets spoofés, les autres infectés pouvant générés des paquets
spoofés grâce à la résolution DNS citée avant.

Pour beaucoup, je pense que ces paquets viennent effectivement des
abonnées du FAI, car en regardant le TTL des paquets on peut voir que la
majorité ont des TTL de 125 à 127 (chez moi biensûr). Sachant que par
défaut Windows génère des paquets avec un TTL de 128...
Je ne sais pas trop comment considérer les paquets avec des TTL plus petits.

Nicolas GIMMILLARO wrote:

/proc/sys/net/ipv4/conf/all/rp_filter:2
/proc/sys/net/ipv4/conf/default/rp_filter:2
/proc/sys/net/ipv4/conf/eth0/rp_filter:2
/proc/sys/net/ipv4/conf/eth1/rp_filter:2
/proc/sys/net/ipv4/conf/lo/rp_filter:2

C'est quoi ce :2 à la fin ?
Ou plutôt, si 2 est la valeur fourni à rp_filter qu'est ce que cela
signifie ?

Cependant les paquets en question continuent à être droppé par une autre
règle du firewall et à aucun moment je ne vois apparaitre "warning
martians source" ou autre message permettant d'avoir la confirmation que
le rp_filter a fonctionné.

On en revient à mon post du 20/12/2003, où je n'avais pas eu de réponse.
Ma conclusion avait été :
"J'ai activé log_martians et rp_filter mais je n'ai aucune trace dans
mes logs des paquets 127.0.0.1:80. Si je crois bien comprendre,
log_martians ne log pas les paquets car ils ont une destination correct
d'un point de vue routage mais rp_filter rejette ces paquets car un
paquet de source 127.0.0.1 ne doit ne peut provenir que de l'interface
locale (lo)."
log_martians vérifie le routage par rapport à la destination et
l'interface d'entrée.
rp_filter vérifie le routage par rapport à la source et l'interface
d'entrée.

En plaçant des règles en prerouting on voit bien les paquets passer,
mais ils semblent arriver nullepart. Donc pour moi ils sont rejetés par
rp_filter.

Bad Max wrote:

Bonjour

Je me suis décidé à monter un peu le niveau de sécurité
de mon firewall et logguer un peu plus ce qu'il se
retrouve bloqué.

Quelle ne fut pas ma surprise de découvrir ceci :

FW: Spoof from Internet: IN=ppp0 OUT= MAC= SRC7.0.0.1
DST!2.195.191.1 LEN@ TOS=0x00 PREC=0x00 TTL6 ID 988 PROTO=TCP
SPT€ DPT96 WINDOW=0 RES=0x00 ACK RST URGP=0
FW: Spoof from Internet: IN=ppp0 OUT= MAC= SRC7.0.0.1
DST!2.195.191.1 LEN@ TOS=0x00 PREC=0x00 TTL6 ID"130 PROTO=TCP
SPT€ DPT18 WINDOW=0 RES=0x00 ACK RST URGP=0
FW: Spoof from Internet: IN=ppp0 OUT= MAC= SRC7.0.0.1
DST!2.195.191.1 LEN@ TOS=0x00 PREC=0x00 TTL6 ID$71 PROTO=TCP
SPT€ DPT86 WINDOW=0 RES=0x00 ACK RST URGP=0
[snip]

Um ca ressemble tres tres fort à un emule ou kazaa installé sur le PC en
local. Je vous rapelle que ce genre de petite crotte de programme vous
positionne un web serveur local pour le sharing files et son administration
!

--
PoSe|dOn-

Manu wrote:

/proc/sys/net/ipv4/conf/all/rp_filter:2
/proc/sys/net/ipv4/conf/default/rp_filter:2
/proc/sys/net/ipv4/conf/eth0/rp_filter:2
/proc/sys/net/ipv4/conf/eth1/rp_filter:2
/proc/sys/net/ipv4/conf/lo/rp_filter:2

C'est quoi ce :2 à la fin ?
Ou plutôt, si 2 est la valeur fourni à rp_filter qu'est ce que cela
signifie ?

C'est bien la valeur qui est mise dans le pseudo-fichier rp_filter de
chaque interface.

J'avais mit 1 à l'origine dedans mais comme j'avais vu que certaines
distrib le mettait à 2 et que rp_filter à 1 ne semblait pas arreter les
127.0.0.1:80 j'avais essayé de changer la valeur en 2. J'ai fait mon
copier/coller pour le post sans faire gaffe avant de la remettre à 1 .
Ca ne change manifestement pas grand chose au problème, parce que avec 1
ou avec 2 ca donne la même chose.

Nicolas

Dans sa prose, Nicolas GIMMILLARO nous ecrivait :

J'avais mit 1 à l'origine dedans mais comme j'avais vu que certaines
distrib le mettait à 2 et que rp_filter à 1 ne semblait pas arreter les
127.0.0.1:80 j'avais essayé de changer la valeur en 2. J'ai fait mon
copier/coller pour le post sans faire gaffe avant de la remettre à 1 . Ca
ne change manifestement pas grand chose au problème, parce que avec 1 ou
avec 2 ca donne la même chose.

Ça apparaît en effet dans certaines documentations. Toujours est-il que
sous les 2.4, c'est une valeur booléenne. C'est désactivé si c'est à
0, activer pour tout autre valeur positive. Donc, 1, 2 ou 3445, c'est
pareil.

C'était peut-être différent avec les 2.2, mais je n'ai pas été voir
le code.

--
Debout, face au mur et les paluches en l'air... que j'les vois bien.
On est charge a la magnum. Si vous bougez seulement les oreilles, on vous
coupe par le milieu.
-+- Bernard Blier, Faut pas prendre les enfants du Bon Dieu...