alerte IP Spoofing toutes les 2 min dans mon firewall. KéZACO ?

Le
Steph29
Salut tout le monde

J'ai un firewall SMC barricade 2804 WBR et depuis 15 jours, j'ai des alerte
toutes les 2 min (24H/24H)

04/28/2004 08:53:51 **IP Spoofing** 127.0.0.1, 80->> 82.66.183.188, 1847
(from WAN Inbound)

Est ce que quelqu'un a une idée?

Qu'est ce que ce la signifie et comment l'arrêter ?

Je sais juste que l'ip spoofing signifie usurpation d'adresse IP

Ce qui me semble bizzare c'est l'adresse en 127.0.0.1, 80 (port 80) l'autre
c'est mon IP publique 82.66.183.188, 1847

Merci
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
[K]amikaze
Le #1360735
Sauf erreur de ma part il s'agit d'attaque virale de type blaster.



"Steph29" news:408f58e1$0$17606$
Salut tout le monde

J'ai un firewall SMC barricade 2804 WBR et depuis 15 jours, j'ai des
alerte

toutes les 2 min (24H/24H)

04/28/2004 08:53:51 **IP Spoofing** 127.0.0.1, 80->> 82.66.183.188, 1847
(from WAN Inbound)

Est ce que quelqu'un a une idée?

Qu'est ce que ce la signifie et comment l'arrêter ?

Je sais juste que l'ip spoofing signifie usurpation d'adresse IP

Ce qui me semble bizzare c'est l'adresse en 127.0.0.1, 80 (port 80)
l'autre

c'est mon IP publique 82.66.183.188, 1847

Merci




Hardline
Le #1360733
"Steph29" news:408f58e1$0$17606$
Salut tout le monde

J'ai un firewall SMC barricade 2804 WBR et depuis 15 jours, j'ai des
alerte

toutes les 2 min (24H/24H)

04/28/2004 08:53:51 **IP Spoofing** 127.0.0.1, 80->> 82.66.183.188, 1847
(from WAN Inbound)

Est ce que quelqu'un a une idée?

Qu'est ce que ce la signifie et comment l'arrêter ?

Je sais juste que l'ip spoofing signifie usurpation d'adresse IP

Ce qui me semble bizzare c'est l'adresse en 127.0.0.1, 80 (port 80)
l'autre

c'est mon IP publique 82.66.183.188, 1847

Merci



Je connais pas très bien les protocoles IP mais 127.0.0.1 c'est l'IP locale
de toute machine je crois alors ca doit pas être bien grave de se faire
usurper par soi-même :-)

Albert ARIBAUD
Le #1360732

Salut tout le monde

J'ai un firewall SMC barricade 2804 WBR et depuis 15 jours, j'ai des alerte
toutes les 2 min (24H/24H)

04/28/2004 08:53:51 **IP Spoofing** 127.0.0.1, 80->> 82.66.183.188, 1847
(from WAN Inbound)

Est ce que quelqu'un a une idée?


C'est un effet de bord de Blaster.

En fait, Blaster devait faire un DDoS en attaquant violemment le site
"windowsupdate.com", avec une adresse IP source bidonnée.

La parade de MS a été de s'arranger pour que ce nom se résolve en
127.0.0.1, qui représente "soi-même" en "langage" IP.

Donc un PC infecté par Baster tente en fait un déni sur son propre serveur
Web s'il en a.

Et s'il n'en a pas, alors sa pile TCP/IP va renvoyer un refus à la source
supposée. Donc, tu reçois un refus de la part de la machine locale de
l'infecté (127.0.0.1, port 80) parce que ton adresse avait été choisie
comme source de la demande de connexion.

Qu'est ce que ce la signifie et comment l'arrêter ?


Demande à ton FW d'arrêter de te les briser. :)

Je sais juste que l'ip spoofing signifie usurpation d'adresse IP


En l'occurrence, le routeur te dit ça parce qu'on n'est pas censé recevoir
un paquet venant du Net avec comme source 127.0.0.1, puisque c'est
"moi-même".

Il y a plein d'autres adresses, toutes celles dites non routables, qui ne
devraient pas être source dans les paquets reçus du Net : on les appelle
sources martiennes, vu qu'elles ne peuvent pas venir de la Terre. Juré,
cherche sur Google si tu veux.

Ce qui me semble bizzare c'est l'adresse en 127.0.0.1, 80 (port 80) l'autre
c'est mon IP publique 82.66.183.188, 1847


Cf supra.

Amicalement,
--
Albert.

Steph29
Le #1360731
Mouais, pour l'ip local c'est ce que j'aiu vu aussi sur un site. Mais je ne
vois pas comment ça marche se phènomène.

Par contre blaster j'y crois pas trop car mes update sont à jour et mon
antivirus aussi (tous les jours en auto). En plus je contrôle régulièrement
les rapport de scan . A part netsky en se moment qui est bloqué rien
d'alarmant.

Si quelqu'un a d'autre info

"Hardline" news:408f69cd$0$19498$
"Steph29" news:408f58e1$0$17606$
Salut tout le monde

J'ai un firewall SMC barricade 2804 WBR et depuis 15 jours, j'ai des
alerte

toutes les 2 min (24H/24H)

04/28/2004 08:53:51 **IP Spoofing** 127.0.0.1, 80->> 82.66.183.188, 1847
(from WAN Inbound)

Est ce que quelqu'un a une idée?

Qu'est ce que ce la signifie et comment l'arrêter ?

Je sais juste que l'ip spoofing signifie usurpation d'adresse IP

Ce qui me semble bizzare c'est l'adresse en 127.0.0.1, 80 (port 80)
l'autre

c'est mon IP publique 82.66.183.188, 1847

Merci



Je connais pas très bien les protocoles IP mais 127.0.0.1 c'est l'IP
locale

de toute machine je crois alors ca doit pas être bien grave de se faire
usurper par soi-même :-)





Hardline
Le #1360730
"Steph29" news:408f6f46$0$17591$
Mouais, pour l'ip local c'est ce que j'aiu vu aussi sur un site. Mais je
ne

vois pas comment ça marche se phènomène.

Par contre blaster j'y crois pas trop car mes update sont à jour et mon
antivirus aussi (tous les jours en auto). En plus je contrôle
régulièrement

les rapport de scan . A part netsky en se moment qui est bloqué rien
d'alarmant.

Si quelqu'un a d'autre info

"Hardline" news:408f69cd$0$19498$
"Steph29" news:408f58e1$0$17606$
Salut tout le monde

J'ai un firewall SMC barricade 2804 WBR et depuis 15 jours, j'ai des
alerte

toutes les 2 min (24H/24H)

04/28/2004 08:53:51 **IP Spoofing** 127.0.0.1, 80->> 82.66.183.188,
1847



(from WAN Inbound)

Est ce que quelqu'un a une idée?

Qu'est ce que ce la signifie et comment l'arrêter ?

Je sais juste que l'ip spoofing signifie usurpation d'adresse IP

Ce qui me semble bizzare c'est l'adresse en 127.0.0.1, 80 (port 80)
l'autre

c'est mon IP publique 82.66.183.188, 1847

Merci



Je connais pas très bien les protocoles IP mais 127.0.0.1 c'est l'IP
locale

de toute machine je crois alors ca doit pas être bien grave de se faire
usurper par soi-même :-)







Mr ARIBAUD a la réponse à toutes tes questions



Steph29
Le #1360728
Ok j'ai compris que ce n'était pas moi qui suis infecté mais une machine sur
le net qui me renvoi un refus de sa part ( l'infecté)

Comment mon adresse a t-elle pu être choisie ? aléatoirement?

Je suppose qu'il n'y a pas de moyen de savoir qui est l'autre?
Il ne doit peut même pas savoir qu'il est infecté si j'ai bien capté.

En tous cas j'ai supprimer cette alerte de mes log sur mon routeur. Il ne me
les brise plus.
On ne va pas laisser un machine avoir le dernier mot quand même.


"Albert ARIBAUD" news:408f6eea$0$21184$

Salut tout le monde

J'ai un firewall SMC barricade 2804 WBR et depuis 15 jours, j'ai des
alerte


toutes les 2 min (24H/24H)

04/28/2004 08:53:51 **IP Spoofing** 127.0.0.1, 80->> 82.66.183.188, 1847
(from WAN Inbound)

Est ce que quelqu'un a une idée?


C'est un effet de bord de Blaster.

En fait, Blaster devait faire un DDoS en attaquant violemment le site
"windowsupdate.com", avec une adresse IP source bidonnée.

La parade de MS a été de s'arranger pour que ce nom se résolve en
127.0.0.1, qui représente "soi-même" en "langage" IP.

Donc un PC infecté par Baster tente en fait un déni sur son propre serveur
Web s'il en a.

Et s'il n'en a pas, alors sa pile TCP/IP va renvoyer un refus à la source
supposée. Donc, tu reçois un refus de la part de la machine locale de
l'infecté (127.0.0.1, port 80) parce que ton adresse avait été choisie
comme source de la demande de connexion.

Qu'est ce que ce la signifie et comment l'arrêter ?


Demande à ton FW d'arrêter de te les briser. :)

Je sais juste que l'ip spoofing signifie usurpation d'adresse IP


En l'occurrence, le routeur te dit ça parce qu'on n'est pas censé recevoir
un paquet venant du Net avec comme source 127.0.0.1, puisque c'est
"moi-même".

Il y a plein d'autres adresses, toutes celles dites non routables, qui ne
devraient pas être source dans les paquets reçus du Net : on les appelle
sources martiennes, vu qu'elles ne peuvent pas venir de la Terre. Juré,
cherche sur Google si tu veux.

Ce qui me semble bizzare c'est l'adresse en 127.0.0.1, 80 (port 80)
l'autre


c'est mon IP publique 82.66.183.188, 1847


Cf supra.

Amicalement,
--
Albert.



Albert ARIBAUD
Le #1360726

Ok j'ai compris que ce n'était pas moi qui suis infecté mais une machine sur
le net qui me renvoi un refus de sa part ( l'infecté)

Comment mon adresse a t-elle pu être choisie ? aléatoirement?


En gros. De mémoire, Blaster a des préférences, choisissant en gros souvent
des adresses "proches" et meu souvent des adresses "éloignées".

Je suppose qu'il n'y a pas de moyen de savoir qui est l'autre?


Non, précisément puisque sa pile TCP/IP envoie au dehors un paquet où il
est désigné par 127.0.0.1 et non son IP publique.

Il ne doit peut même pas savoir qu'il est infecté si j'ai bien capté.


Tout à fait, sauf à avoir un firewall qui lui signalerait les connexions
vers son propre port 80 -- et encore : il penserait que ce sont des scan de
virus / vers extérieurs. :(

En tous cas j'ai supprimer cette alerte de mes log sur mon routeur. Il ne me
les brise plus.


Parfait. :)

On ne va pas laisser un machine avoir le dernier mot quand même.


Entièrement d'accord. D'ailleurs, je fais de l'info pour oublier que je
suis marié. :)

Amicalement,
--
Albert.

Steph29
Le #1360725
Merci pour les infos, et à propos, le mariage c'est si dur que ça ?

"Albert ARIBAUD" news:408f74c2$0$506$

Ok j'ai compris que ce n'était pas moi qui suis infecté mais une machine
sur


le net qui me renvoi un refus de sa part ( l'infecté)

Comment mon adresse a t-elle pu être choisie ? aléatoirement?


En gros. De mémoire, Blaster a des préférences, choisissant en gros
souvent

des adresses "proches" et meu souvent des adresses "éloignées".

Je suppose qu'il n'y a pas de moyen de savoir qui est l'autre?


Non, précisément puisque sa pile TCP/IP envoie au dehors un paquet où il
est désigné par 127.0.0.1 et non son IP publique.

Il ne doit peut même pas savoir qu'il est infecté si j'ai bien capté.


Tout à fait, sauf à avoir un firewall qui lui signalerait les connexions
vers son propre port 80 -- et encore : il penserait que ce sont des scan
de

virus / vers extérieurs. :(

En tous cas j'ai supprimer cette alerte de mes log sur mon routeur. Il
ne me


les brise plus.


Parfait. :)

On ne va pas laisser un machine avoir le dernier mot quand même.


Entièrement d'accord. D'ailleurs, je fais de l'info pour oublier que je
suis marié. :)

Amicalement,
--
Albert.



Albert ARIBAUD
Le #1360723

Merci pour les infos, et à propos, le mariage c'est si dur que ça ?


Non, c'est une plaisanterie. Avec ma femme, on se partage équitablement le
dernier mot : une fois c'est elle, une fois c'est moi qui écoute les
enfants le prononcer. :) :)

Amicalement,
--
Albert.

Publicité
Poster une réponse
Anonyme