Certains ici ont tentés de m'eSpliquer comment il est pas possible de
filtrer les flux, trop de charge toussa, sans vraiment a voir donné d'autres
explication technique que celle que "eux" connaissent le fonctionnement
d'internet et sans avoir le moins du monde rebondit que la répartition de
charge et la mutualisation que représente la technologie a la mode que l'on
nomme le Cloud ...
D'autres, agaces par cette perspective qui pourrait leur donner du boulot
(ce qui les empêcherait de jouer a l'helicoptere dans les couloirs), ont
préférés se moquer.
Je rappelle mon point de vue :
- L'internet devrait être filtré, soit depuis les noeuds majeurs soit depuis
les serveurs des FAI. Cela nettoierait ce qui parvient a notre prise
gigogne** et serait sans doute plus efficace que les misérables applications
clientes que l'on installe sur chaque poste.
** Gigogne car je parle de la France bien sur.
Et bien je suis heureux de vous faire part de ce lien
http://cert.lexsi.com/weblog/index.php/2010/11/05/396-filtrage-2-les-initiatives-de-filtrages-de-malware-par-les-fai
qui indique que je ne suis pas le seul a le penser ;-)
C'est juste dommage que ces grands esprits ne pense qu' en faire une
récupération commerciale (service payant) et que des techniciens "inventent"
des "pop-up pour prévenir le client du FAI qu'il est infecté" de la même
façon que le font des rogues comme la très célèbre série des Win Antivirus
et plus récemment les truc genre registry booster qui inquiètent
l'utilisateur pour lui faire acheter le produit en échange d'une promesse de
nettoyage.
Enfin les rogues ne sont pas nouveau, c'est juste pour donner 1 exemple...
L'idée d'un internet limité, voire scindé en réseaux parallèles et
distincts, est peut être une solution.
Par exemple, tout ce qui est pilotage d'appareils électro
ménager/alarmes/vidéo surveillance ne devrait pas être interconnecté au
reste de l'internet comme le web ou la messagerie qui représentent l'immense
majorité des usage de l'internet pour les particuliers.
De même il ressort de cet article que la tendance est de "dire au client
qu'il est infecté". Personnellement je ne suis pas d'accord, pour être
infectée, la machine du client a reçu les codes malicieux que le FAI lui a
transmis ! Or cela revient a lui dire qu'il est coupable et que c'est a lui
de prendre en charge nettoyage et protection.
C'est l'inverse qui est vrai : le responsable n'est pas l'utilisateur final,
avec son savoir au mieux parcellaire et ses outils, au mieux abordables,
mais celui qui délivre le paquet.
Imagine t on que les avions transporteraient des explosifs dans leurs soutes
?
"Tonton Th" a écrit dans le message de news:4cfcbb13$0$25002$
On 12/05/2010 04:52 PM, Az Sam wrote:
tatouage.
Piercing.
implants. ;-)
Question :
Est-ce que tout les intervenants sur ce fil "Le flux internet qui arrive dans nos salons" de fsc se félicitent mutuellement d'avoir complétement floodé (de A à Z) un NG qui ne leur demandait rien ?
Vu qu'à vu de nez il s'agit majoritairement de contributeurs "anti-fcs libre" issus des méandres de fufe, on peut imaginer beaucoup de choses ...
X.
Copie fufe.
Le 06/12/2010 22:35, Az Sam a écrit :
"Tonton Th" <tth@la.bas.invalid> a écrit dans le message de
news:4cfcbb13$0$25002$426a74cc@news.free.fr...
On 12/05/2010 04:52 PM, Az Sam wrote:
tatouage.
Piercing.
implants. ;-)
Question :
Est-ce que tout les intervenants sur ce fil "Le flux internet qui arrive
dans nos salons" de fsc se félicitent mutuellement d'avoir complétement
floodé (de A à Z) un NG qui ne leur demandait rien ?
Vu qu'à vu de nez il s'agit majoritairement de contributeurs "anti-fcs
libre" issus des méandres de fufe, on peut imaginer beaucoup de choses ...
"Tonton Th" a écrit dans le message de news:4cfcbb13$0$25002$
On 12/05/2010 04:52 PM, Az Sam wrote:
tatouage.
Piercing.
implants. ;-)
Question :
Est-ce que tout les intervenants sur ce fil "Le flux internet qui arrive dans nos salons" de fsc se félicitent mutuellement d'avoir complétement floodé (de A à Z) un NG qui ne leur demandait rien ?
Vu qu'à vu de nez il s'agit majoritairement de contributeurs "anti-fcs libre" issus des méandres de fufe, on peut imaginer beaucoup de choses ...
X.
Copie fufe.
Tonton Th
On 12/07/2010 11:32 PM, Yannix wrote:
Piercing.
Est-ce que tout les intervenants sur ce fil "Le flux internet qui arrive dans nos salons" de fsc se félicitent mutuellement d'avoir complétement floodé (de A à Z) un NG qui ne leur demandait rien ?
Je ne vois pas de flood dans ce fil, mais des échanges courtois sur les diverses visions de la "sécurité du Ternet".
Vu qu'à vu de nez il s'agit majoritairement de contributeurs "anti-fcs libre" issus des méandres de fufe, on peut imaginer beaucoup de choses ...
Ta paranoïa va te perdre. Et pour les angoisses de Usenet, il existe une salle de soins. Xpost et foutou.
-- .Ma coiffeuse est formidable - http://sonia.buvette.org/
On 12/07/2010 11:32 PM, Yannix wrote:
Piercing.
Est-ce que tout les intervenants sur ce fil "Le flux internet qui arrive
dans nos salons" de fsc se félicitent mutuellement d'avoir complétement
floodé (de A à Z) un NG qui ne leur demandait rien ?
Je ne vois pas de flood dans ce fil, mais des échanges courtois
sur les diverses visions de la "sécurité du Ternet".
Vu qu'à vu de nez il s'agit majoritairement de contributeurs "anti-fcs
libre" issus des méandres de fufe, on peut imaginer beaucoup de choses ...
Ta paranoïa va te perdre. Et pour les angoisses de Usenet,
il existe une salle de soins. Xpost et foutou.
--
.Ma coiffeuse est formidable - http://sonia.buvette.org/
Est-ce que tout les intervenants sur ce fil "Le flux internet qui arrive dans nos salons" de fsc se félicitent mutuellement d'avoir complétement floodé (de A à Z) un NG qui ne leur demandait rien ?
Je ne vois pas de flood dans ce fil, mais des échanges courtois sur les diverses visions de la "sécurité du Ternet".
Vu qu'à vu de nez il s'agit majoritairement de contributeurs "anti-fcs libre" issus des méandres de fufe, on peut imaginer beaucoup de choses ...
Ta paranoïa va te perdre. Et pour les angoisses de Usenet, il existe une salle de soins. Xpost et foutou.
-- .Ma coiffeuse est formidable - http://sonia.buvette.org/
Benoit Izac
Bonjour,
le 10/12/2010 à 18:10, Jean-Marc Desperrier a écrit dans le message <idtme6$svn$ :
IMAP (qui est normalisé aussi)
Sauf que chaque implémentation IMAP a sa manière de faire sur certain points, et les différences ne sont pas forcément anecdotique. Et oui, quand on développe un client IMAP on se retrouve à passer du temps à gérer les problèmes d'interopérabilité à cause de cela.
Un exemple ?
-- Benoit Izac
Bonjour,
le 10/12/2010 à 18:10, Jean-Marc Desperrier a écrit dans le message
<idtme6$svn$1@writer.imaginet.fr> :
IMAP (qui est normalisé aussi)
Sauf que chaque implémentation IMAP a sa manière de faire sur certain
points, et les différences ne sont pas forcément anecdotique. Et oui,
quand on développe un client IMAP on se retrouve à passer du temps à
gérer les problèmes d'interopérabilité à cause de cela.
le 10/12/2010 à 18:10, Jean-Marc Desperrier a écrit dans le message <idtme6$svn$ :
IMAP (qui est normalisé aussi)
Sauf que chaque implémentation IMAP a sa manière de faire sur certain points, et les différences ne sont pas forcément anecdotique. Et oui, quand on développe un client IMAP on se retrouve à passer du temps à gérer les problèmes d'interopérabilité à cause de cela.
Un exemple ?
-- Benoit Izac
Nicolas George
Benoit Izac , dans le message , a écrit :
Un exemple ?
On peut au moins citer un des serveurs IMAP de proxad qui ne gère (gérait ?) pas le pipelining des commandes (il ne répondait qu'à la dernière avec l'identifiant de la première, ou une variation sur ce style). Mutt a dû implémenter une option imap_pipeline_depth pour gérer ça.
Benoit Izac , dans le message <w53bp4t8rnl.fsf@izac.org>, a écrit :
Un exemple ?
On peut au moins citer un des serveurs IMAP de proxad qui ne gère (gérait ?)
pas le pipelining des commandes (il ne répondait qu'à la dernière avec
l'identifiant de la première, ou une variation sur ce style). Mutt a dû
implémenter une option imap_pipeline_depth pour gérer ça.
On peut au moins citer un des serveurs IMAP de proxad qui ne gère (gérait ?) pas le pipelining des commandes (il ne répondait qu'à la dernière avec l'identifiant de la première, ou une variation sur ce style). Mutt a dû implémenter une option imap_pipeline_depth pour gérer ça.
Benoit Izac
Bonjour,
le 10/12/2010 à 18:44, Nicolas George a écrit dans le message <4d0266fb$0$2098$ :
Un exemple ?
On peut au moins citer un des serveurs IMAP de proxad qui ne gère (gérait ?) pas le pipelining des commandes (il ne répondait qu'à la dernière avec l'identifiant de la première, ou une variation sur ce style). Mutt a dû implémenter une option imap_pipeline_depth pour gérer ça.
Ok mais pour revenir à la discussion initiale, ça pose un problème pour effectuer un dialogue avec le serveur mais pas pour analyser le flux en vue d'un éventuel filtrage.
-- Benoit Izac
Bonjour,
le 10/12/2010 à 18:44, Nicolas George a écrit dans le message
<4d0266fb$0$2098$426a74cc@news.free.fr> :
Un exemple ?
On peut au moins citer un des serveurs IMAP de proxad qui ne gère (gérait ?)
pas le pipelining des commandes (il ne répondait qu'à la dernière avec
l'identifiant de la première, ou une variation sur ce style). Mutt a dû
implémenter une option imap_pipeline_depth pour gérer ça.
Ok mais pour revenir à la discussion initiale, ça pose un problème pour
effectuer un dialogue avec le serveur mais pas pour analyser le flux en
vue d'un éventuel filtrage.
le 10/12/2010 à 18:44, Nicolas George a écrit dans le message <4d0266fb$0$2098$ :
Un exemple ?
On peut au moins citer un des serveurs IMAP de proxad qui ne gère (gérait ?) pas le pipelining des commandes (il ne répondait qu'à la dernière avec l'identifiant de la première, ou une variation sur ce style). Mutt a dû implémenter une option imap_pipeline_depth pour gérer ça.
Ok mais pour revenir à la discussion initiale, ça pose un problème pour effectuer un dialogue avec le serveur mais pas pour analyser le flux en vue d'un éventuel filtrage.
-- Benoit Izac
Nicolas Krebs
Az Sam écrivit dans l'article news:4cfa3d72$0$18112$
"Aeris" a écrit dans le message de news:4cfa353b$0$1241$ > Eric Demeester wrote: > >> Non et trois fois non ! La solution, enfin une des solutions, mais c'est >> à mon avis la plus raisonnable même si elle est difficile à imposer, >> consiste à faire comprendre à Madame Michu qu'elle serait bien moins >> embêtée si elle utilisait MacOs, Linux, FreeBSD ou Android.
[...]
En plus je lis deja "Android"... vous rigolez ou quoi ? Google : http://www.frandroid.com/9518/attention-du-phising-sur-landroid-market/ http://www.journaldunet.com/solutions/securite/chadi-hantouche-securisation-des-smartphones.shtml http://www.developpez.net/forums/d942610/club-professionnels-informatique/ actualites/android-market-desactivons-toute-application-savererait-malicieuse-lutilisateur/
etc....
Ainsi que l'iphone store : http://www.bortzmeyer.org/malware-iphone.html http://scripting.com/stories/2010/11/15/theTechIndustryIsAVirus.html
Az Sam écrivit dans l'article news:4cfa3d72$0$18112$426a74cc@news.free.fr
"Aeris" <aeris@imirhil.fr> a écrit dans le message de
news:4cfa353b$0$1241$426a34cc@news.free.fr...
> Eric Demeester wrote:
>
>> Non et trois fois non ! La solution, enfin une des solutions, mais c'est
>> à mon avis la plus raisonnable même si elle est difficile à imposer,
>> consiste à faire comprendre à Madame Michu qu'elle serait bien moins
>> embêtée si elle utilisait MacOs, Linux, FreeBSD ou Android.
[...]
En plus je lis deja "Android"... vous rigolez ou quoi ?
Google :
http://www.frandroid.com/9518/attention-du-phising-sur-landroid-market/
http://www.journaldunet.com/solutions/securite/chadi-hantouche-securisation-des-smartphones.shtml
http://www.developpez.net/forums/d942610/club-professionnels-informatique/
actualites/android-market-desactivons-toute-application-savererait-malicieuse-lutilisateur/
etc....
Ainsi que l'iphone store :
http://www.bortzmeyer.org/malware-iphone.html
http://scripting.com/stories/2010/11/15/theTechIndustryIsAVirus.html
Az Sam écrivit dans l'article news:4cfa3d72$0$18112$
"Aeris" a écrit dans le message de news:4cfa353b$0$1241$ > Eric Demeester wrote: > >> Non et trois fois non ! La solution, enfin une des solutions, mais c'est >> à mon avis la plus raisonnable même si elle est difficile à imposer, >> consiste à faire comprendre à Madame Michu qu'elle serait bien moins >> embêtée si elle utilisait MacOs, Linux, FreeBSD ou Android.
[...]
En plus je lis deja "Android"... vous rigolez ou quoi ? Google : http://www.frandroid.com/9518/attention-du-phising-sur-landroid-market/ http://www.journaldunet.com/solutions/securite/chadi-hantouche-securisation-des-smartphones.shtml http://www.developpez.net/forums/d942610/club-professionnels-informatique/ actualites/android-market-desactivons-toute-application-savererait-malicieuse-lutilisateur/
etc....
Ainsi que l'iphone store : http://www.bortzmeyer.org/malware-iphone.html http://scripting.com/stories/2010/11/15/theTechIndustryIsAVirus.html
Nicolas Krebs
Tonton Th écrivit dans l'article news:4cfc20e5$0$5015$
On 12/05/2010 02:17 PM, Aeris wrote:
> Les pirates ne s'attardent généralement pas sur une machine qui ne répond > même pas au ping
Ne pas répondre au ping est considéré idiot.
Voir par exemple « ICMP sert à signaler les problèmes rencontrés par un paquet lors de sa traversée du réseau » dans http://www.bortzmeyer.org/5927.html , « pas mal de blaireaux administrateurs d'un pare-feu bloquent tout ICMP parce qu'ils se disent qu'il n'ont pas besoin de ping » et « Hélas, beaucoup de pare-feux sont gérés par des ignorants et bloquent tout l'ICMP. » dans http://www.bortzmeyer.org/4443.html , « un pare-feu configuré avec les pieds bloque tous les paquets ICMP (une énorme erreur de configuration, mais très fréquente) » dans http://www.bortzmeyer.org/fragmentation-ip-1280.html .
Tonton Th écrivit dans l'article news:4cfc20e5$0$5015$426a74cc@news.free.fr
On 12/05/2010 02:17 PM, Aeris wrote:
> Les pirates ne s'attardent généralement pas sur une machine qui ne répond
> même pas au ping
Ne pas répondre au ping est considéré idiot.
Voir par exemple
« ICMP sert à signaler les problèmes rencontrés par un paquet lors de sa
traversée du réseau » dans http://www.bortzmeyer.org/5927.html ,
« pas mal de blaireaux administrateurs d'un pare-feu bloquent tout ICMP
parce qu'ils se disent qu'il n'ont pas besoin de ping »
et « Hélas, beaucoup de pare-feux sont gérés par des ignorants et bloquent
tout l'ICMP. » dans http://www.bortzmeyer.org/4443.html ,
« un pare-feu configuré avec les pieds bloque tous les paquets ICMP (une
énorme erreur de configuration, mais très fréquente) »
dans http://www.bortzmeyer.org/fragmentation-ip-1280.html .
Tonton Th écrivit dans l'article news:4cfc20e5$0$5015$
On 12/05/2010 02:17 PM, Aeris wrote:
> Les pirates ne s'attardent généralement pas sur une machine qui ne répond > même pas au ping
Ne pas répondre au ping est considéré idiot.
Voir par exemple « ICMP sert à signaler les problèmes rencontrés par un paquet lors de sa traversée du réseau » dans http://www.bortzmeyer.org/5927.html , « pas mal de blaireaux administrateurs d'un pare-feu bloquent tout ICMP parce qu'ils se disent qu'il n'ont pas besoin de ping » et « Hélas, beaucoup de pare-feux sont gérés par des ignorants et bloquent tout l'ICMP. » dans http://www.bortzmeyer.org/4443.html , « un pare-feu configuré avec les pieds bloque tous les paquets ICMP (une énorme erreur de configuration, mais très fréquente) » dans http://www.bortzmeyer.org/fragmentation-ip-1280.html .
Erwan David
Nicolas Krebs écrivait :
Tonton Th écrivit dans l'article news:4cfc20e5$0$5015$
On 12/05/2010 02:17 PM, Aeris wrote:
> Les pirates ne s'attardent généralement pas sur une machine qui ne répond > même pas au ping
Ne pas répondre au ping est considéré idiot.
Voir par exemple « ICMP sert à signaler les problèmes rencontrés par un paquet lors de sa traversée du réseau » dans http://www.bortzmeyer.org/5927.html , « pas mal de blaireaux administrateurs d'un pare-feu bloquent tout ICMP parce qu'ils se disent qu'il n'ont pas besoin de ping » et « Hélas, beaucoup de pare-feux sont gérés par des ignorants et bloquent tout l'ICMP. » dans http://www.bortzmeyer.org/4443.html , « un pare-feu configuré avec les pieds bloque tous les paquets ICMP (une énorme erreur de configuration, mais très fréquente) » dans http://www.bortzmeyer.org/fragmentation-ip-1280.html .
et "bloquer ICMP c'est comme aller sur l'autoroute en refusant de regarder la signalisation".
-- Le travail n'est pas une bonne chose. Si ça l'était, les riches l'auraient accaparé
Nicolas Krebs <nicolas1.krebs3@netcourrier.com> écrivait :
Tonton Th écrivit dans l'article news:4cfc20e5$0$5015$426a74cc@news.free.fr
On 12/05/2010 02:17 PM, Aeris wrote:
> Les pirates ne s'attardent généralement pas sur une machine qui ne répond
> même pas au ping
Ne pas répondre au ping est considéré idiot.
Voir par exemple
« ICMP sert à signaler les problèmes rencontrés par un paquet lors de sa
traversée du réseau » dans http://www.bortzmeyer.org/5927.html ,
« pas mal de blaireaux administrateurs d'un pare-feu bloquent tout ICMP
parce qu'ils se disent qu'il n'ont pas besoin de ping »
et « Hélas, beaucoup de pare-feux sont gérés par des ignorants et bloquent
tout l'ICMP. » dans http://www.bortzmeyer.org/4443.html ,
« un pare-feu configuré avec les pieds bloque tous les paquets ICMP (une
énorme erreur de configuration, mais très fréquente) »
dans http://www.bortzmeyer.org/fragmentation-ip-1280.html .
et "bloquer ICMP c'est comme aller sur l'autoroute en refusant de
regarder la signalisation".
--
Le travail n'est pas une bonne chose. Si ça l'était,
les riches l'auraient accaparé
Tonton Th écrivit dans l'article news:4cfc20e5$0$5015$
On 12/05/2010 02:17 PM, Aeris wrote:
> Les pirates ne s'attardent généralement pas sur une machine qui ne répond > même pas au ping
Ne pas répondre au ping est considéré idiot.
Voir par exemple « ICMP sert à signaler les problèmes rencontrés par un paquet lors de sa traversée du réseau » dans http://www.bortzmeyer.org/5927.html , « pas mal de blaireaux administrateurs d'un pare-feu bloquent tout ICMP parce qu'ils se disent qu'il n'ont pas besoin de ping » et « Hélas, beaucoup de pare-feux sont gérés par des ignorants et bloquent tout l'ICMP. » dans http://www.bortzmeyer.org/4443.html , « un pare-feu configuré avec les pieds bloque tous les paquets ICMP (une énorme erreur de configuration, mais très fréquente) » dans http://www.bortzmeyer.org/fragmentation-ip-1280.html .
et "bloquer ICMP c'est comme aller sur l'autoroute en refusant de regarder la signalisation".
-- Le travail n'est pas une bonne chose. Si ça l'était, les riches l'auraient accaparé
Erwan David
"Az Sam" écrivait :
"Erwan David" a écrit dans le message de news:
et "bloquer ICMP c'est comme aller sur l'autoroute en refusant de regarder la signalisation".
:-)) ca vous inspire on dirait. Mais en l'occurrence s'il s'agit de bloquer icmp sur la machine cliente avec laquelle on va sur l'autoroute, je trouve qu'une meilleure approche serait de dire que c'est comme d'y aller de nuit sans allumer les feux arrières, voir et être vu ;-)
Pas seulement : pense déjà au PMTU discovery...
-- Le travail n'est pas une bonne chose. Si ça l'était, les riches l'auraient accaparé
"Az Sam" <me@home.net> écrivait :
"Erwan David" <erwan@rail.eu.org> a écrit dans le message de
news:87aakap0tc.fsf@nez-casse.rail.eu.org...
et "bloquer ICMP c'est comme aller sur l'autoroute en refusant de
regarder la signalisation".
:-))
ca vous inspire on dirait.
Mais en l'occurrence s'il s'agit de bloquer icmp sur la machine
cliente avec laquelle on va sur l'autoroute, je trouve qu'une
meilleure approche serait de dire que c'est comme d'y aller de nuit
sans allumer les feux arrières, voir et être vu ;-)
Pas seulement : pense déjà au PMTU discovery...
--
Le travail n'est pas une bonne chose. Si ça l'était,
les riches l'auraient accaparé
et "bloquer ICMP c'est comme aller sur l'autoroute en refusant de regarder la signalisation".
:-)) ca vous inspire on dirait. Mais en l'occurrence s'il s'agit de bloquer icmp sur la machine cliente avec laquelle on va sur l'autoroute, je trouve qu'une meilleure approche serait de dire que c'est comme d'y aller de nuit sans allumer les feux arrières, voir et être vu ;-)
Pas seulement : pense déjà au PMTU discovery...
-- Le travail n'est pas une bonne chose. Si ça l'était, les riches l'auraient accaparé
Stephane Catteau
Erwan David devait dire quelque chose comme ceci :
Voir par exemple « ICMP sert à signaler les problèmes rencontrés par un paquet lors de sa traversée du réseau » dans http://www.bortzmeyer.org/5927.html , « pas mal de blaireaux administrateurs d'un pare-feu bloquent tout ICMP parce qu'ils se disent qu'il n'ont pas besoin de ping » et « Hélas, beaucoup de pare-feux sont gérés par des ignorants et bloquent tout l'ICMP. » dans http://www.bortzmeyer.org/4443.html , « un pare-feu configuré avec les pieds bloque tous les paquets ICMP (une énorme erreur de configuration, mais très fréquente) » dans http://www.bortzmeyer.org/fragmentation-ip-1280.html .
et "bloquer ICMP c'est comme aller sur l'autoroute en refusant de regarder la signalisation".
C'est beaucoup plus simple que ça, bloquer (tout) ICMP c'est dire que l'on ne connait rien du tout à la configuration d'un filtre IP et qu'il suffit juste de chercher la faille. Un peu comme l'absence de réponse sur les ports bloqués signifie qu'il y a 90% de chance que le filtre IP soit sous Windows. C'est une information aussi importante à prendre en compte que les autres.
Erwan David devait dire quelque chose comme ceci :
Voir par exemple
« ICMP sert à signaler les problèmes rencontrés par un paquet lors de sa
traversée du réseau » dans http://www.bortzmeyer.org/5927.html ,
« pas mal de blaireaux administrateurs d'un pare-feu bloquent tout ICMP
parce qu'ils se disent qu'il n'ont pas besoin de ping »
et « Hélas, beaucoup de pare-feux sont gérés par des ignorants et bloquent
tout l'ICMP. » dans http://www.bortzmeyer.org/4443.html ,
« un pare-feu configuré avec les pieds bloque tous les paquets ICMP (une
énorme erreur de configuration, mais très fréquente) »
dans http://www.bortzmeyer.org/fragmentation-ip-1280.html .
et "bloquer ICMP c'est comme aller sur l'autoroute en refusant de
regarder la signalisation".
C'est beaucoup plus simple que ça, bloquer (tout) ICMP c'est dire que
l'on ne connait rien du tout à la configuration d'un filtre IP et qu'il
suffit juste de chercher la faille. Un peu comme l'absence de réponse
sur les ports bloqués signifie qu'il y a 90% de chance que le filtre IP
soit sous Windows. C'est une information aussi importante à prendre en
compte que les autres.
Erwan David devait dire quelque chose comme ceci :
Voir par exemple « ICMP sert à signaler les problèmes rencontrés par un paquet lors de sa traversée du réseau » dans http://www.bortzmeyer.org/5927.html , « pas mal de blaireaux administrateurs d'un pare-feu bloquent tout ICMP parce qu'ils se disent qu'il n'ont pas besoin de ping » et « Hélas, beaucoup de pare-feux sont gérés par des ignorants et bloquent tout l'ICMP. » dans http://www.bortzmeyer.org/4443.html , « un pare-feu configuré avec les pieds bloque tous les paquets ICMP (une énorme erreur de configuration, mais très fréquente) » dans http://www.bortzmeyer.org/fragmentation-ip-1280.html .
et "bloquer ICMP c'est comme aller sur l'autoroute en refusant de regarder la signalisation".
C'est beaucoup plus simple que ça, bloquer (tout) ICMP c'est dire que l'on ne connait rien du tout à la configuration d'un filtre IP et qu'il suffit juste de chercher la faille. Un peu comme l'absence de réponse sur les ports bloqués signifie qu'il y a 90% de chance que le filtre IP soit sous Windows. C'est une information aussi importante à prendre en compte que les autres.
