Un appel aux spécialistes, juste pour être moins idiot... ;)
Dans mes log d'ipfw j'ai:
Dec 14 19:28:10 toto ipfw: 20000 Deny ICMP:8.0 88.101.143.217
129.20.xx.xx in via en0
Dec 14 19:28:11 toto ipfw: 20000 Deny ICMP:8.0 88.101.143.217
129.20.xx.xx in via en0
Dec 14 19:28:12 toto ipfw: 20000 Deny ICMP:8.0 88.101.143.217
129.20.xx.xx in via en0
Dec 14 19:28:13 toto ipfw: 20000 Deny ICMP:8.0 88.101.143.217
129.20.xx.xx in via en0
Qu'est qu'"il" (un tchèque) cherche à faire avec cette attaque en
ICMP:8.0 et le 8.0 a quoi correspond-il, à un ping seulement ?
J'en ai aussi du même type qui viennent du LAN 129.20.x.x. de façon
répétitive de la part de certains postes. J'imagine que c'est un
"logiciel malin" qui fait cela.
J'ai cette règle dans les réglages de mon firewall:
20000 deny log icmp from any to me in icmptypes 8
--
Jacques PERROCHEAU
Synthèse et Electrosynthèse Organiques, C.N.R.S. UMR 6510
Université de Rennes I, Campus de Beaulieu, F-35042 RENNES Cedex
Tel: +33 2 23 23 63 74, Fax: +33 2 23 23 63 74
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Nina Popravka
On Fri, 15 Dec 2006 10:14:46 +0100, Jacques Perrocheau wrote:
J'en ai aussi du même type qui viennent du LAN 129.20.x.x. de façon répétitive de la part de certains postes. J'imagine que c'est un "logiciel malin" qui fait cela. Ca peut aussi être des ping parfaitement normaux et légitimes. Ceux
qu'envoie un serveur DHCP avant d'allouer une adresse, par exemple...
20000 deny log icmp from any to me in icmptypes 8 Chuis pas spécialiste, mais si tu les deny tous, c'est normal que tu
les voies comme une "attaque", non ?
Pour le tchèque, si il faut se demander ce que foutent tous les paquets divers qui viennent du bout du monde, on n'est pas rendus. Un zombi, probablement. Ou un client très légitime qui utilise une appli qui vérifie si le correspondant est là (ça doit bien exister) -- Nina
On Fri, 15 Dec 2006 10:14:46 +0100, Jacques Perrocheau
<Jacques.Perrocheau@univ-rennes1.fr> wrote:
J'en ai aussi du même type qui viennent du LAN 129.20.x.x. de façon
répétitive de la part de certains postes. J'imagine que c'est un
"logiciel malin" qui fait cela.
Ca peut aussi être des ping parfaitement normaux et légitimes. Ceux
qu'envoie un serveur DHCP avant d'allouer une adresse, par exemple...
20000 deny log icmp from any to me in icmptypes 8
Chuis pas spécialiste, mais si tu les deny tous, c'est normal que tu
les voies comme une "attaque", non ?
Pour le tchèque, si il faut se demander ce que foutent tous les
paquets divers qui viennent du bout du monde, on n'est pas rendus.
Un zombi, probablement. Ou un client très légitime qui utilise une
appli qui vérifie si le correspondant est là (ça doit bien exister)
--
Nina
On Fri, 15 Dec 2006 10:14:46 +0100, Jacques Perrocheau wrote:
J'en ai aussi du même type qui viennent du LAN 129.20.x.x. de façon répétitive de la part de certains postes. J'imagine que c'est un "logiciel malin" qui fait cela. Ca peut aussi être des ping parfaitement normaux et légitimes. Ceux
qu'envoie un serveur DHCP avant d'allouer une adresse, par exemple...
20000 deny log icmp from any to me in icmptypes 8 Chuis pas spécialiste, mais si tu les deny tous, c'est normal que tu
les voies comme une "attaque", non ?
Pour le tchèque, si il faut se demander ce que foutent tous les paquets divers qui viennent du bout du monde, on n'est pas rendus. Un zombi, probablement. Ou un client très légitime qui utilise une appli qui vérifie si le correspondant est là (ça doit bien exister) -- Nina
Jacques Perrocheau
In article , Nina Popravka wrote:
J'en ai aussi du même type qui viennent du LAN 129.20.x.x. de façon répétitive de la part de certains postes. J'imagine que c'est un "logiciel malin" qui fait cela. Ca peut aussi être des ping parfaitement normaux et légitimes. Ceux
qu'envoie un serveur DHCP avant d'allouer une adresse, par exemple...
On est en adresse fixes ici... pas de serveur DHCP (officiel).
20000 deny log icmp from any to me in icmptypes 8 Chuis pas spécialiste, mais si tu les deny tous, c'est normal que tu
les voies comme une "attaque", non ?
Toutafait... mais comme il s'agit localement de tentative répétées sur la journée qui dépasse les classiques 4 (Windows) ou 10 essais "standard".
Pour le tchèque, si il faut se demander ce que foutent tous les paquets divers qui viennent du bout du monde, on n'est pas rendus. Un zombi, probablement. Ou un client très légitime qui utilise une appli qui vérifie si le correspondant est là (ça doit bien exister)
Je ne le connais pas, et il ne me connait pas, ;-)
-- Jacques PERROCHEAU Synthèse et Electrosynthèse Organiques, C.N.R.S. UMR 6510 Université de Rennes I, Campus de Beaulieu, F-35042 RENNES Cedex Tel: +33 2 23 23 63 74, Fax: +33 2 23 23 63 74
In article <bsq4o2pin2jhl6e3um67sjmkjq13gtf7fv@4ax.com>,
Nina Popravka <Nina@nospam> wrote:
J'en ai aussi du même type qui viennent du LAN 129.20.x.x. de façon
répétitive de la part de certains postes. J'imagine que c'est un
"logiciel malin" qui fait cela.
Ca peut aussi être des ping parfaitement normaux et légitimes. Ceux
qu'envoie un serveur DHCP avant d'allouer une adresse, par exemple...
On est en adresse fixes ici... pas de serveur DHCP (officiel).
20000 deny log icmp from any to me in icmptypes 8
Chuis pas spécialiste, mais si tu les deny tous, c'est normal que tu
les voies comme une "attaque", non ?
Toutafait... mais comme il s'agit localement de tentative répétées sur
la journée qui dépasse les classiques 4 (Windows) ou 10 essais
"standard".
Pour le tchèque, si il faut se demander ce que foutent tous les
paquets divers qui viennent du bout du monde, on n'est pas rendus.
Un zombi, probablement. Ou un client très légitime qui utilise une
appli qui vérifie si le correspondant est là (ça doit bien exister)
Je ne le connais pas, et il ne me connait pas, ;-)
--
Jacques PERROCHEAU
Synthèse et Electrosynthèse Organiques, C.N.R.S. UMR 6510
Université de Rennes I, Campus de Beaulieu, F-35042 RENNES Cedex
Tel: +33 2 23 23 63 74, Fax: +33 2 23 23 63 74
J'en ai aussi du même type qui viennent du LAN 129.20.x.x. de façon répétitive de la part de certains postes. J'imagine que c'est un "logiciel malin" qui fait cela. Ca peut aussi être des ping parfaitement normaux et légitimes. Ceux
qu'envoie un serveur DHCP avant d'allouer une adresse, par exemple...
On est en adresse fixes ici... pas de serveur DHCP (officiel).
20000 deny log icmp from any to me in icmptypes 8 Chuis pas spécialiste, mais si tu les deny tous, c'est normal que tu
les voies comme une "attaque", non ?
Toutafait... mais comme il s'agit localement de tentative répétées sur la journée qui dépasse les classiques 4 (Windows) ou 10 essais "standard".
Pour le tchèque, si il faut se demander ce que foutent tous les paquets divers qui viennent du bout du monde, on n'est pas rendus. Un zombi, probablement. Ou un client très légitime qui utilise une appli qui vérifie si le correspondant est là (ça doit bien exister)
Je ne le connais pas, et il ne me connait pas, ;-)
-- Jacques PERROCHEAU Synthèse et Electrosynthèse Organiques, C.N.R.S. UMR 6510 Université de Rennes I, Campus de Beaulieu, F-35042 RENNES Cedex Tel: +33 2 23 23 63 74, Fax: +33 2 23 23 63 74
Nina Popravka
On Fri, 15 Dec 2006 11:35:22 +0100, Jacques Perrocheau wrote:
Toutafait... mais comme il s'agit localement de tentative répétées sur la journée qui dépasse les classiques 4 (Windows) ou 10 essais "standard".
Ben à part aller regarder les bécanes fautives dans le fond des yeux... Par contre, je sais voir quel process cause en TCP ou UDP, pour ICMP aucune idée. -- Nina
On Fri, 15 Dec 2006 11:35:22 +0100, Jacques Perrocheau
<Jacques.Perrocheau@univ-rennes1.fr> wrote:
Toutafait... mais comme il s'agit localement de tentative répétées sur
la journée qui dépasse les classiques 4 (Windows) ou 10 essais
"standard".
Ben à part aller regarder les bécanes fautives dans le fond des
yeux...
Par contre, je sais voir quel process cause en TCP ou UDP, pour ICMP
aucune idée.
--
Nina
On Fri, 15 Dec 2006 11:35:22 +0100, Jacques Perrocheau wrote:
Toutafait... mais comme il s'agit localement de tentative répétées sur la journée qui dépasse les classiques 4 (Windows) ou 10 essais "standard".
Ben à part aller regarder les bécanes fautives dans le fond des yeux... Par contre, je sais voir quel process cause en TCP ou UDP, pour ICMP aucune idée. -- Nina
root
Le Fri, 15 Dec 2006 10:14:46 +0100, Jacques Perrocheau a écrit :
Dans mes log d'ipfw j'ai:
Dec 14 19:28:10 toto ipfw: 20000 Deny ICMP:8.0 88.101.143.217 129.20.xx.xx in via en0 Dec 14 19:28:11 toto ipfw: 20000 Deny ICMP:8.0 88.101.143.217 129.20.xx.xx in via en0 Dec 14 19:28:12 toto ipfw: 20000 Deny ICMP:8.0 88.101.143.217 129.20.xx.xx in via en0 Dec 14 19:28:13 toto ipfw: 20000 Deny ICMP:8.0 88.101.143.217 129.20.xx.xx in via en0
Qu'est qu'"il" (un tchèque) cherche à faire avec cette attaque en ICMP:8.0 et le 8.0 a quoi correspond-il, à un ping seulement ?
ICMP Type 8 Code 0, qui est donc un "ICMP echo request" (un simple ping)
Le Fri, 15 Dec 2006 10:14:46 +0100, Jacques Perrocheau a écrit :
Dans mes log d'ipfw j'ai:
Dec 14 19:28:10 toto ipfw: 20000 Deny ICMP:8.0 88.101.143.217
129.20.xx.xx in via en0
Dec 14 19:28:11 toto ipfw: 20000 Deny ICMP:8.0 88.101.143.217
129.20.xx.xx in via en0
Dec 14 19:28:12 toto ipfw: 20000 Deny ICMP:8.0 88.101.143.217
129.20.xx.xx in via en0
Dec 14 19:28:13 toto ipfw: 20000 Deny ICMP:8.0 88.101.143.217
129.20.xx.xx in via en0
Qu'est qu'"il" (un tchèque) cherche à faire avec cette attaque en
ICMP:8.0 et le 8.0 a quoi correspond-il, à un ping seulement ?
ICMP Type 8 Code 0, qui est donc un "ICMP echo request" (un simple
ping)
Le Fri, 15 Dec 2006 10:14:46 +0100, Jacques Perrocheau a écrit :
Dans mes log d'ipfw j'ai:
Dec 14 19:28:10 toto ipfw: 20000 Deny ICMP:8.0 88.101.143.217 129.20.xx.xx in via en0 Dec 14 19:28:11 toto ipfw: 20000 Deny ICMP:8.0 88.101.143.217 129.20.xx.xx in via en0 Dec 14 19:28:12 toto ipfw: 20000 Deny ICMP:8.0 88.101.143.217 129.20.xx.xx in via en0 Dec 14 19:28:13 toto ipfw: 20000 Deny ICMP:8.0 88.101.143.217 129.20.xx.xx in via en0
Qu'est qu'"il" (un tchèque) cherche à faire avec cette attaque en ICMP:8.0 et le 8.0 a quoi correspond-il, à un ping seulement ?
ICMP Type 8 Code 0, qui est donc un "ICMP echo request" (un simple ping)
