Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
T0t0
"quenec" wrote in message news:
J'ai une attaque étrange sur le réseau. Inondation de paquet qui sont reroutés sur le réseau par les switch en spamming tree.
un TCP sous la forme suivante :
tcpdump -nvvvi eth2 not port 22
donne comme résultat :
16:08:03.875711 802.1d unknown version
impossible de connaitre la cible. Quelqu'un à une idée ?
Ne serait-ce pas du simple traffic spanning tree ? Tes switchs sont-ils configurés pour en faire ? si non, désactive le, ou renseigne-toi sur son utilité :-)
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"quenec" <yquenechdu@yahoo.fr> wrote in message
news:a82f3985.0410220437.5bb50bd8@posting.google.com
J'ai une attaque étrange sur le réseau. Inondation de paquet qui sont
reroutés sur le réseau par les switch en spamming tree.
un TCP sous la forme suivante :
tcpdump -nvvvi eth2 not port 22
donne comme résultat :
16:08:03.875711 802.1d unknown version
impossible de connaitre la cible. Quelqu'un à une idée ?
Ne serait-ce pas du simple traffic spanning tree ?
Tes switchs sont-ils configurés pour en faire ? si non, désactive le, ou
renseigne-toi sur son utilité :-)
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
J'ai une attaque étrange sur le réseau. Inondation de paquet qui sont reroutés sur le réseau par les switch en spamming tree.
un TCP sous la forme suivante :
tcpdump -nvvvi eth2 not port 22
donne comme résultat :
16:08:03.875711 802.1d unknown version
impossible de connaitre la cible. Quelqu'un à une idée ?
Ne serait-ce pas du simple traffic spanning tree ? Tes switchs sont-ils configurés pour en faire ? si non, désactive le, ou renseigne-toi sur son utilité :-)
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
David Bizeul
"quenec" a écrit dans le message de news:
J'ai une attaque étrange sur le réseau. Inondation de paquet qui sont reroutés sur le réseau par les switch en spamming tree.
un TCP sous la forme suivante :
tcpdump -nvvvi eth2 not port 22
donne comme résultat :
16:08:03.875711 802.1d unknown version
impossible de connaitre la cible. Quelqu'un à une idée ?
A+ Yannick
Hum, peut-être y suis-je pour quelque chose : j'ai publié hier sous securiteam un petit outil qui utilise deux types de potentielles vulnérabilités stp (802.1d) provoquant des élections éternelles. Je lui ai également donné la possibilité de tagger les frames en 802.1q pour interagir dans tous les vlans
Si une configuration correcte de switches est en place, aucun problème ne devrait apparaître Certains matériels risquent par contre de "mal vivre" le test
Les constructeurs sont prévenus depuis longtemps de ces "menaces" et ils semblent que certains ne s'en soient pas trop souciés.
A vrai dire je n'ai pas testé l'outil hormis chez moi, j'attends donc les retours d'expérience, qu'ils soient des admins réseaux ou de ceux qui décideraient d'utiliser l'outil
Pour info : http://www.securiteam.com/tools/6K00O0ABFC.html
"quenec" <yquenechdu@yahoo.fr> a écrit dans le message de news:
a82f3985.0410220437.5bb50bd8@posting.google.com...
J'ai une attaque étrange sur le réseau. Inondation de paquet qui sont
reroutés sur le réseau par les switch en spamming tree.
un TCP sous la forme suivante :
tcpdump -nvvvi eth2 not port 22
donne comme résultat :
16:08:03.875711 802.1d unknown version
impossible de connaitre la cible. Quelqu'un à une idée ?
A+
Yannick
Hum, peut-être y suis-je pour quelque chose : j'ai publié hier sous
securiteam un petit outil qui utilise deux types de potentielles
vulnérabilités stp (802.1d) provoquant des élections éternelles. Je lui ai
également donné la possibilité de tagger les frames en 802.1q pour interagir
dans tous les vlans
Si une configuration correcte de switches est en place, aucun problème ne
devrait apparaître
Certains matériels risquent par contre de "mal vivre" le test
Les constructeurs sont prévenus depuis longtemps de ces "menaces" et ils
semblent que certains ne s'en soient pas trop souciés.
A vrai dire je n'ai pas testé l'outil hormis chez moi, j'attends donc les
retours d'expérience, qu'ils soient des admins réseaux ou de ceux qui
décideraient d'utiliser l'outil
Pour info : http://www.securiteam.com/tools/6K00O0ABFC.html
J'ai une attaque étrange sur le réseau. Inondation de paquet qui sont reroutés sur le réseau par les switch en spamming tree.
un TCP sous la forme suivante :
tcpdump -nvvvi eth2 not port 22
donne comme résultat :
16:08:03.875711 802.1d unknown version
impossible de connaitre la cible. Quelqu'un à une idée ?
A+ Yannick
Hum, peut-être y suis-je pour quelque chose : j'ai publié hier sous securiteam un petit outil qui utilise deux types de potentielles vulnérabilités stp (802.1d) provoquant des élections éternelles. Je lui ai également donné la possibilité de tagger les frames en 802.1q pour interagir dans tous les vlans
Si une configuration correcte de switches est en place, aucun problème ne devrait apparaître Certains matériels risquent par contre de "mal vivre" le test
Les constructeurs sont prévenus depuis longtemps de ces "menaces" et ils semblent que certains ne s'en soient pas trop souciés.
A vrai dire je n'ai pas testé l'outil hormis chez moi, j'attends donc les retours d'expérience, qu'ils soient des admins réseaux ou de ceux qui décideraient d'utiliser l'outil
Pour info : http://www.securiteam.com/tools/6K00O0ABFC.html
Patrice Auffret
On 22 Oct 2004 14:59:00 GMT (quenec) wrote:
J'ai une attaque étrange sur le réseau. Inondation de paquet qui sont reroutés sur le réseau par les switch en spamming tree.
un TCP sous la forme suivante :
tcpdump -nvvvi eth2 not port 22
donne comme résultat :
16:08:03.875711 802.1d unknown version
impossible de connaitre la cible. Quelqu'un à une idée ?
D'après mon expérience, quand tcpdump parle de '802.1d unknown version', il s'agit en fait de 802.3.
Pour etre plus complet, c'est le champ type/length de l'en-tete ethernet qui détermine son ... type. Quand le type est d'une valeur comprise entre 0x0000 et 0x05DC (source IANA), nous avons affaire à du 802.3.
Ensuite, ca peut etre tout un tas de protocoles à partir de la couche 3, pour savoir duquel il s'agit il te faut utiliser ethereal. Au pif, je dirait LLC (Logical-Link Control). Mais le proto qui t'interesse est à mon niveau celui du niveau 4 (pas de guess cette fois ;) ).
On 22 Oct 2004 14:59:00 GMT
yquenechdu@yahoo.fr (quenec) wrote:
J'ai une attaque étrange sur le réseau. Inondation de paquet qui sont
reroutés sur le réseau par les switch en spamming tree.
un TCP sous la forme suivante :
tcpdump -nvvvi eth2 not port 22
donne comme résultat :
16:08:03.875711 802.1d unknown version
impossible de connaitre la cible. Quelqu'un à une idée ?
D'après mon expérience, quand tcpdump parle de '802.1d unknown version',
il s'agit en fait de 802.3.
Pour etre plus complet, c'est le champ type/length de l'en-tete
ethernet qui détermine son ... type. Quand le type est d'une valeur
comprise entre 0x0000 et 0x05DC (source IANA), nous avons affaire à
du 802.3.
Ensuite, ca peut etre tout un tas de protocoles à partir de la couche
3, pour savoir duquel il s'agit il te faut utiliser ethereal. Au pif,
je dirait LLC (Logical-Link Control). Mais le proto qui t'interesse est
à mon niveau celui du niveau 4 (pas de guess cette fois ;) ).
J'ai une attaque étrange sur le réseau. Inondation de paquet qui sont reroutés sur le réseau par les switch en spamming tree.
un TCP sous la forme suivante :
tcpdump -nvvvi eth2 not port 22
donne comme résultat :
16:08:03.875711 802.1d unknown version
impossible de connaitre la cible. Quelqu'un à une idée ?
D'après mon expérience, quand tcpdump parle de '802.1d unknown version', il s'agit en fait de 802.3.
Pour etre plus complet, c'est le champ type/length de l'en-tete ethernet qui détermine son ... type. Quand le type est d'une valeur comprise entre 0x0000 et 0x05DC (source IANA), nous avons affaire à du 802.3.
Ensuite, ca peut etre tout un tas de protocoles à partir de la couche 3, pour savoir duquel il s'agit il te faut utiliser ethereal. Au pif, je dirait LLC (Logical-Link Control). Mais le proto qui t'interesse est à mon niveau celui du niveau 4 (pas de guess cette fois ;) ).
