Flood sur réseau

dans l'article <417ecb45$0$24437$636a15ce@news.free.fr>, neff_y@epita.fr
disait...

1.121663 83.194.152.174 -> 192.168.71.89 TCP 4831 > 4662 [SYN] Seq=0 Ack=0
Toujours la même ip source ?

Sinon ([SYN]) ce ne sont que des tentatives de connexion, sans doute
d'un client emule qui n'a pas oublié ton ip, probablement pas des
"attaques"...

Inutile de dire que ca bloque les connexions. Les paquets sont envoyés en
braodcast sur le réseau.
pardon ? en broadcast ? ben s'il sont envoyé vers le 192.168.71.89, ils

sont pas envoyé en broadcast... comprend pas bien.
et d'ailleurs, avant de saturer le lien au point d'empêcher des
connexions, il en faut un paquet de paquets !! la fréquence de ces
paquets est de quel ordre ?

Derrière j'ai 3 routeurs linksys avec firewall activé !, 30 windows 2000
mises à jour et 2 serveurs redhat.
J'iamerais bien savoir comment ces attaques peuvent rentrer, sachant que les
firewall sont activés.
Tu l'as dit : les routeurs sont "derrière" ! ;o)

blagues à part, tu n'aurais pas un port forwarding ("serveur virtuel"
sur certains routeurs) sur un des routeurs, qui enverrait les paquets
dont le port de destination est 4662 vers cette ip là ?

Il te suffit de supprimer le règle NAT sur le port 4662 dans le routeur
d'entrée Ainsi, les paquets SYN seront rejetés par le routeur.

"Yannick" <neff_y@epita.fr> a écrit dans le message news:
417ecb45$0$24437$636a15ce@news.free.fr...

Bonjour,

J'ai un réseau, qui recoit des attaques dans ce genre (log de tethereal) :

1.121663 83.194.152.174 -> 192.168.71.89 TCP 4831 > 4662 [SYN] Seq=0
Ack=0

Win384 Len=0 MSS52
1.121697 83.194.152.174 -> 192.168.71.89 TCP 1285 > 4662 [SYN] Seq=0
Ack=0

37155 packets dropped
1.306839 83.194.152.174 -> 192.168.71.89 TCP 1285 > 4662 [SYN] Seq=0
Ack=0

Win384 Len=0 MSS52


Des lignes comme ca par milliers.
Inutile de dire que ca bloque les connexions. Les paquets sont envoyés en
braodcast sur le réseau.

Seulement, voilà ce qu'il faut savoir, 192.168.71.89 a hebergé pendant un
petit certain temps un client emule (d'oul 192.168.71.89 sur port 4662).
mis

ce pc n'existe absoulement plus sur le réseau.

Derrière j'ai 3 routeurs linksys avec firewall activé !, 30 windows 2000
mises à jour et 2 serveurs redhat.

J'iamerais bien savoir comment ces attaques peuvent rentrer, sachant que
les

firewall sont activés.

Merci.

Y'a pas de routage NAT sur le routeur... !!
Enfin pas sur le port 4662.

"Alain" <al@novalid.com> a écrit dans le message de news:
clo5ee$2th3@news.rd.francetelecom.fr...

Il te suffit de supprimer le règle NAT sur le port 4662 dans le routeur
d'entrée Ainsi, les paquets SYN seront rejetés par le routeur.

"Yannick" <neff_y@epita.fr> a écrit dans le message news:
417ecb45$0$24437$636a15ce@news.free.fr...

Bonjour,

J'ai un réseau, qui recoit des attaques dans ce genre (log de tethereal)
:

1.121663 83.194.152.174 -> 192.168.71.89 TCP 4831 > 4662 [SYN] Seq=0
Ack=0

Win384 Len=0 MSS52
1.121697 83.194.152.174 -> 192.168.71.89 TCP 1285 > 4662 [SYN] Seq=0
Ack=0

37155 packets dropped
1.306839 83.194.152.174 -> 192.168.71.89 TCP 1285 > 4662 [SYN] Seq=0
Ack=0

Win384 Len=0 MSS52


Des lignes comme ca par milliers.
Inutile de dire que ca bloque les connexions. Les paquets sont envoyés
en

braodcast sur le réseau.

Seulement, voilà ce qu'il faut savoir, 192.168.71.89 a hebergé pendant
un

petit certain temps un client emule (d'oul 192.168.71.89 sur port 4662).
mis

ce pc n'existe absoulement plus sur le réseau.

Derrière j'ai 3 routeurs linksys avec firewall activé !, 30 windows 2000
mises à jour et 2 serveurs redhat.

J'iamerais bien savoir comment ces attaques peuvent rentrer, sachant que
les

firewall sont activés.

Merci.

"Laurent" <lpopoz@alussinan.invalid> a écrit dans le message de news:
MPG.1be8f77d2e28a64e989704@news.free.fr...

dans l'article <417ecb45$0$24437$636a15ce@news.free.fr>, neff_y@epita.fr
disait...

1.121663 83.194.152.174 -> 192.168.71.89 TCP 4831 > 4662 [SYN] Seq=0
Ack=0

Toujours la même ip source ?
Sinon ([SYN]) ce ne sont que des tentatives de connexion, sans doute
d'un client emule qui n'a pas oublié ton ip, probablement pas des
"attaques"...

Inutile de dire que ca bloque les connexions. Les paquets sont envoyés
en

braodcast sur le réseau.
pardon ? en broadcast ? ben s'il sont envoyé vers le 192.168.71.89, ils

sont pas envoyé en broadcast... comprend pas bien.
et d'ailleurs, avant de saturer le lien au point d'empêcher des
connexions, il en faut un paquet de paquets !! la fréquence de ces
paquets est de quel ordre ?

Derrière j'ai 3 routeurs linksys avec firewall activé !, 30 windows 2000
mises à jour et 2 serveurs redhat.
J'iamerais bien savoir comment ces attaques peuvent rentrer, sachant que
les

firewall sont activés.
Tu l'as dit : les routeurs sont "derrière" ! ;o)

blagues à part, tu n'aurais pas un port forwarding ("serveur virtuel"
sur certains routeurs) sur un des routeurs, qui enverrait les paquets
dont le port de destination est 4662 vers cette ip là ?

Oui c'est envoyé à 192.168.71.89, mais tout le monde le recoit (j'ai dis que
192.168.71.89) n'existait plus.

Et quand ca arrive, ca n'est pas la même Ip (une 100aines d'ip différentes)

Et si on eteint pas physiquement le réseau... ca fait quand même tomber 2
switch 100.

http://www.epitanpi.com/trash/r2-ping-day.png = ping en local sur un
routeur.
On voit bien que de 23h00 à 8h00 (8h00 = reboot physique du matériel
réseau), plus rien ne ping.

http://www.epitanpi.com/trash/routeur-1_int1-day.png = pendant une attaque
Inutile de commenter.


merci de votre aide.

Un exemple complet :

0.120268 217.227.39.41 -> 192.168.71.89 TCP 2021 > 4662 [SYN] Seq=0 Ack=0
Wind240 Len=0 MSS52
0.120288 80.109.165.19 -> 192.168.71.89 TCP 1453 > 4662 [SYN] Seq=0 Ack=0
Wind240 Len=0 MSS52
0.120324 Ibm_f3:ad:d6 -> 00:00:00_00:00:00 ARP [Malformed Packet]
0.120351 217.236.153.156 -> 192.168.71.89 TCP 3186 > 4662 [SYN] Seq=0
Ack=0 Wind512 Len=0 MSS60
0.120400 80.109.165.19 -> 192.168.71.89 TCP 1453 > 4662 [SYN] Seq=0 Ack=0
Wind240 Len=0 MSS52
0.120413 217.227.39.41 -> 192.168.71.89 TCP 2021 > 4662 [SYN] Seq=0 Ack=0
Wind240 Len=0 MSS52
0.120462 217.236.153.156 -> 192.168.71.89 TCP 3186 > 4662 [SYN] Seq=0
Ack=0 Wind512 Len=0 MSS60
0.120470 80.109.165.19 -> 192.168.71.89 TCP 1453 > 4662 [SYN] Seq=0 Ack=0
Wind240 Len=0 MSS52
0.120523 217.227.39.41 -> 192.168.71.89 TCP 2021 > 4662 [SYN] Seq=0 Ack=0
Wind240 Len=0 MSS52
0.120530 Ibm_f3:ad:d6 -> 00:00:00_00:00:00 ARP [Malformed Packet]
0.120581 80.109.165.19 -> 192.168.71.89 TCP 1453 > 4662 [SYN] Seq=0 Ack=0
Wind240 Len=0 MSS52
0.120605 217.227.39.41 -> 192.168.71.89 TCP 2312 > 4662 [SYN] Seq=0 Ack=0
Wind240 Len=0 MSS52
0.120638 Ibm_f3:ad:d6 -> 00:00:00_00:00:00 ARP [Malformed Packet]
0.120668 213.39.189.149 -> 192.168.71.89 TCP 1439 > 4662 [SYN] Seq=0 Ack=0
Wine535 Len=0 MSS52
0.120713 217.227.39.41 -> 192.168.71.89 TCP 2312 > 4662 [SYN] Seq=0 Ack=0
Wind240 Len=0 MSS52
0.120727 201.128.77.243 -> 192.168.71.89 TCP 1242 > 4662 [SYN] Seq=0 Ack=0
Win384 Len=0 MSS52
0.120785 213.39.189.149 -> 192.168.71.89 TCP 1439 > 4662 [SYN] Seq=0 Ack=0
Wine535 Len=0 MSS52
0.120792 217.227.39.41 -> 192.168.71.89 TCP 2312 > 4662 [SYN] Seq=0 Ack=0
Wind240 Len=0 MSS52
0.120844 217.227.39.41 -> 192.168.71.89 TCP 2021 > 4662 [SYN] Seq=0 Ack=0
Wind240 Len=0 MSS52
0.120866 201.128.77.243 -> 192.168.71.89 TCP 1242 > 4662 [SYN] Seq=0 Ack=0
Win384 Len=0 MSS52
0.120905 201.128.77.243 -> 192.168.71.89 TCP 1242 > 4662 [SYN] Seq=0 Ack=0
Win384 Len=0 MSS52
0.120923 217.227.39.41 -> 192.168.71.89 TCP 2312 > 4662 [SYN] Seq=0 Ack=0
Wind240 Len=0 MSS52
0.120982 213.39.189.149 -> 192.168.71.89 TCP 1439 > 4662 [SYN] Seq=0 Ack=0
Wine535 Len=0 MSS52
0.120989 217.227.39.41 -> 192.168.71.89 TCP 2021 > 4662 [SYN] Seq=0 Ack=0
Wind240 Len=0 MSS52
0.121026 201.128.77.243 -> 192.168.71.89 TCP 1242 > 4662 [SYN] Seq=0 Ack=0
Win384 Len=0 MSS52
0.121040 Ibm_f3:ad:d6 -> 00:00:00_00:00:00 ARP [Malformed Packet]
0.121097 213.39.189.149 -> 192.168.71.89 TCP 1439 > 4662 [SYN] Seq=0 Ack=0
Wine535 Len=0 MSS52
0.121119 213.39.189.149 -> 192.168.71.89 TCP 1439 > 4662 [SYN] Seq=0 Ack=0
Wine535 Len=0 MSS52
0.121138 217.227.39.41 -> 192.168.71.89 TCP 2021 > 4662 [SYN] Seq=0 Ack=0
Wind240 Len=0 MSS52
0.121182 Ibm_f3:ad:d6 -> 00:00:00_00:00:00 ARP [Malformed Packet]
0.121214 217.227.39.41 -> 192.168.71.89 TCP 1680 > 4662 [SYN] Seq=0 Ack=0
Wind240 Len=0 MSS52
0.121242 213.39.189.149 -> 192.168.71.89 TCP 1439 > 4662 [SYN] Seq=0 Ack=0
Wine535 Len=0 MSS52
0.121278 217.227.39.41 -> 192.168.71.89 TCP 2312 > 4662 [SYN] Seq=0 Ack=0
Wind240 Len=0 MSS52
0.121301 217.227.39.41 -> 192.168.71.89 TCP 2021 > 4662 [SYN] Seq=0 Ack=0
Wind240 Len=0 MSS52
0.121339 80.109.165.19 -> 192.168.71.89 TCP 1453 > 4662 [SYN] Seq=0 Ack=0
Wind240 Len=0 MSS52
0.121361 217.227.39.41 -> 192.168.71.89 TCP 1680 > 4662 [SYN] Seq=0 Ack=0
Wind240 Len=0 MSS52
0.121398 217.227.39.41 -> 192.168.71.89 TCP 2021 > 4662 [SYN] Seq=0 Ack=0
Wind240 Len=0 MSS52
0.121438 217.227.39.41 -> 192.168.71.89 TCP 2312 > 4662 [SYN] Seq=0 Ack=0
Wind240 Len=0 MSS52
0.121459 217.227.39.41 -> 192.168.71.89 TCP 2312 > 4662 [SYN] Seq=0 Ack=0
Wind240 Len=0 MSS52
0.121502 80.109.165.19 -> 192.168.71.89 TCP 1453 > 4662 [SYN] Seq=0 Ack=0
Wind240 Len=0 MSS52
0.121535 217.227.39.41 -> 192.168.71.89 TCP 2312 > 4662 [SYN] Seq=0 Ack=0
Wind240 Len=0 MSS52
0.121562 217.227.39.41 -> 192.168.71.89 TCP 2021 > 4662 [SYN] Seq=0 Ack=0
Wind240 Len=0 MSS52
0.121622 217.227.39.41 -> 192.168.71.89 TCP 2312 > 4662 [SYN] Seq=0 Ack=0
Wind240 Len=0 MSS52
0.121628 Ibm_f3:ad:d6 -> 00:00:00_00:00:00 ARP [Malformed Packet]
0.121663 217.227.39.41 -> 192.168.71.89 TCP 2312 > 4662 [SYN] Seq=0 Ack=0
Wind240 Len=0 MSS52
0.121691 80.109.165.19 -> 192.168.71.89 TCP 1453 > 4662 [SYN] Seq=0 Ack=0
Wind240 Len=0 MSS52
0.121737 Ibm_f3:ad:d6 -> 00:00:00_00:00:00 ARP [Malformed Packet]
0.121749 217.227.39.41 -> 192.168.71.89 TCP 2312 > 4662 [SYN] Seq=0 Ack=0
Wind240 Len=0 MSS52
0.121806 217.227.39.41 -> 192.168.71.89 TCP 1680 > 4662 [SYN] Seq=0 Ack=0
Wind240 Len=0 MSS52
0.121831 80.109.165.19 -> 192.168.71.89 TCP 1453 > 4662 [SYN] Seq=0 Ack=0
Wind240 Len=0 MSS52
0.121864 217.227.39.41 -> 192.168.71.89 TCP 2021 > 4662 [SYN] Seq=0 Ack=0
Wind240 Len=0 MSS52
0.121895 217.227.39.41 -> 192.168.71.89 TCP 2312 > 4662 [SYN] Seq=0 Ack=0
Wind240 Len=0 MSS52
0.121931 201.128.77.243 -> 192.168.71.89 TCP 1242 > 4662 [SYN] Seq=0 Ack=0
Win384 Len=0 MSS52
0.121958 217.227.39.41 -> 192.168.71.89 TCP 1680 > 4662 [SYN] Seq=0 Ack=0
Wind240 Len=0 MSS52
0.121988 213.39.189.149 -> 192.168.71.89 TCP 1439 > 4662 [SYN] Seq=0 Ack=0
Wine535 Len=0 MSS52
0.122017 217.227.39.41 -> 192.168.71.89 TCP 2021 > 4662 [SYN] Seq=0 Ack=0
Wind240 Len=0 MSS52
0.122043 217.236.153.156 -> 192.168.71.89 TCP 3186 > 4662 [SYN] Seq=0
Ack=0 Wind512 Len=0 MSS60
0.122076 201.128.77.243 -> 192.168.71.89 TCP 1242 > 4662 [SYN] Seq=0 Ack=0
Win384 Len=0 MSS52
0.122103 201.128.77.243 -> 192.168.71.89 TCP 1242 > 4662 [SYN] Seq=0 Ack=0
Win384 Len=0 MSS52
0.122150 213.39.189.149 -> 192.168.71.89 TCP 1439 > 4662 [SYN] Seq=0 Ack=0
Wine535 Len=0 MSS52
0.122176 217.227.39.41 -> 192.168.71.89 TCP 2021 > 4662 [SYN] Seq=0 Ack=0
Wind240 Len=0 MSS52
0.122210 217.236.153.156 -> 192.168.71.89 TCP 3186 > 4662 [SYN] Seq=0
Ack=0 Wind512 Len=0 MSS60
0.122236 Ibm_f3:ad:d6 -> 00:00:00_00:00:00 ARP [Malformed Packet]
0.122268 201.128.77.243 -> 192.168

Ca en moins de 2 sec.

"Yannick" <neff_y@epita.fr> wrote in message
news:418016f6$0$32470$626a14ce@news.free.fr

Un exemple complet :
0.120268 217.227.39.41 -> 192.168.71.89 TCP 2021 > 4662 [SYN] Seq=0 Ack=0
Wind240 Len=0 MSS52
[...]

0.122210 217.236.153.156 -> 192.168.71.89 TCP 3186 > 4662 [SYN] Seq=0
Ack=0 Wind512 Len=0 MSS60

Comme l'a dit Laurent, ca semble pourtant assez clair. Le port
destinaton
est 4662 ce qui correspond à emule. Tu as sûrement récupéré l'IP d'un
internaute qui avait emule à fond les ballons et les gens continuent de
se connecter sur l'adresse IP en pensant que c'est celle du serveur
d'origine. Y a pas à chercher plus loin. La diversité des adresses
source va dans ce sens.




--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG

Dans l'article <41801615$0$32468$626a14ce@news.free.fr>, neff_y@epita.fr
disait...

Et quand ca arrive, ca n'est pas la même Ip (une 100aines d'ip différ entes)
ça confirme plus ou moins ce que je disais concernant emule ...

Et si on eteint pas physiquement le réseau... ca fait quand même tomb er 2
switch 100.
...mais la quantité de paquets reçus est quand même très importante ...

bizarre...

http://www.epitanpi.com/trash/r2-ping-day.png = ping en local sur un
http://www.epitanpi.com/trash/routeur-1_int1-day.png = pendant une atta que

N'y aurait-il pas moyen (je ne connais pas le routeur en question) de
simplement droper ou rejeter les paquets à detination du port emule au
niveau du routeur, et donc avant qu'ils ne rentrent sur le réseau ?

Yannick wrote:

Bonjour,

J'ai un réseau, qui recoit des attaques dans ce genre (log de tethereal) :

83.194.152.174 -> 192.168.71.89 TCP 4831 > 4662 [SYN]

83.194.182.174 port 4831 envoie sur 192.168.71.89 port 4662, en gros y'a un
client edonkey dans ton réseau, sur l'ip 192.168.71.89.

Si t'en veux plus, tu bloque les requêtes sortantes vers TCP 4662 et UDP
4672 contre les autres clients ainsi que TCP 4661, TCP 4242, et qques
autres contre les serveurs.

Voili voilou !

----------------
Mathieu Moulin - lemathou at free point fr
Linux ? Ma liberté ...