[hs] invalid packet/packet died

14 réponses
Avatar
zulian
--Boundary-01=_EZhVRmga0QEBfqW
Content-Type: text/plain;
charset="utf-8"
Content-Transfer-Encoding: quoted-printable

Bonjour,

J'ai une invasion venant d'ip diverses et vari=C3=A9es.

Au plus fort du traffic, je ne peux plus utiliser mon acc=C3=A9s et mon sit=
e n'est=20
plus accessible.


Une id=C3=A9e de ce qui se passe ?



Un petit extrait d'un moment calme tail /var/log/syslog

Mar 29 23:24:11 winedowze kernel: [430574.544579] INPUT packet died: IN=3De=
th0=20
OUT=3D MAC=3De0:cb:4e:da:c5:c4:f4:ca:e5:41:8e:0d:08:00 SRC=3D78.85.204.100=
=20
DST=3D82.247.182.64 LEN=3D131 TOS=3D0x00 PREC=3D0x00 TTL=3D111 ID=3D735 PRO=
TO=3DUDP=20
SPT=3D18621 DPT=3D57715 LEN=3D111=20

Mar 29 23:24:23 winedowze kernel: [430586.702189] Invalid packet: IN=3Deth0=
OUT=3D=20
MAC=3De0:cb:4e:da:c5:c4:f4:ca:e5:41:8e:0d:08:00 SRC=3D192.168.0.13=20
DST=3D82.247.182.64 LEN=3D40 TOS=3D0x00 PREC=3D0x00 TTL=3D110 ID=3D9104 DF =
PROTO=3DTCP=20
SPT=3D58244 DPT=3D80 WINDOW=3D0 RES=3D0x00 ACK RST URGP=3D0=20

Mar 29 23:24:25 winedowze kernel: [430589.040516] INPUT packet died: IN=3De=
th0=20
OUT=3D MAC=3De0:cb:4e:da:c5:c4:f4:ca:e5:41:8e:0d:08:00 SRC=3D82.98.71.138=20
DST=3D82.247.182.64 LEN=3D93 TOS=3D0x00 PREC=3D0x00 TTL=3D48 ID=3D0 DF PROT=
O=3DUDP SPT=3D6881=20
DPT=3D57715 LEN=3D73=20

Mar 29 23:24:45 winedowze kernel: [430608.675349] INPUT packet died: IN=3De=
th0=20
OUT=3D MAC=3De0:cb:4e:da:c5:c4:f4:ca:e5:41:8e:0d:08:00 SRC=3D94.19.7.21=20
DST=3D82.247.182.64 LEN=3D145 TOS=3D0x00 PREC=3D0x00 TTL=3D113 ID=3D6293 PR=
OTO=3DUDP=20
SPT=3D2066 DPT=3D57715 LEN=3D125=20

=2D-=20
=46r=C3=A9d=C3=A9ric F1sxo

--Boundary-01=_EZhVRmga0QEBfqW
Content-Type: text/html;
charset="utf-8"
Content-Transfer-Encoding: quoted-printable

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0//EN" "http://www.w3.org/TR/REC-=
html40/strict.dtd">
<html><head><meta name=3D"qrichtext" content=3D"1" /><style type=3D"text/cs=
s">
p, li { white-space: pre-wrap; }
</style></head><body style=3D" font-family:'DejaVu Sans'; font-size:9pt; fo=
nt-weight:400; font-style:normal;">
<p style=3D" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig=
ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">Bonjour,</p>
<p style=3D"-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; ma=
rgin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; ">&nb=
sp;</p>
<p style=3D" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig=
ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">J'ai une in=
vasion venant d'ip diverses et vari=C3=A9es.</p>
<p style=3D"-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; ma=
rgin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; ">&nb=
sp;</p>
<p style=3D" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig=
ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">Au plus for=
t du traffic, je ne peux plus utiliser mon acc=C3=A9s et mon site n'est plu=
s accessible.</p>
<p style=3D"-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; ma=
rgin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; ">&nb=
sp;</p>
<p style=3D"-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; ma=
rgin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; ">&nb=
sp;</p>
<p style=3D" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig=
ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">Une id=C3=
=A9e de ce qui se passe ?</p>
<p style=3D"-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; ma=
rgin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; ">&nb=
sp;</p>
<p style=3D"-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; ma=
rgin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; ">&nb=
sp;</p>
<p style=3D"-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; ma=
rgin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; ">&nb=
sp;</p>
<p style=3D" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig=
ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">Un petit e=
xtrait d'un moment calme tail /var/log/syslog</p>
<p style=3D"-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; ma=
rgin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; ">&nb=
sp;</p>
<p style=3D" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig=
ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">Mar 29 23:2=
4:11 winedowze kernel: [430574.544579] INPUT packet died: IN=3Deth0 OUT=3D =
MAC=3De0:cb:4e:da:c5:c4:f4:ca:e5:41:8e:0d:08:00 SRC=3D78.85.204.100 DST=3D8=
2.247.182.64 LEN=3D131 TOS=3D0x00 PREC=3D0x00 TTL=3D111 ID=3D735 PROTO=3DUD=
P SPT=3D18621 DPT=3D57715 LEN=3D111 </p>
<p style=3D"-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; ma=
rgin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; ">&nb=
sp;</p>
<p style=3D" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig=
ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">Mar 29 23:2=
4:23 winedowze kernel: [430586.702189] Invalid packet: IN=3Deth0 OUT=3D MAC=
=3De0:cb:4e:da:c5:c4:f4:ca:e5:41:8e:0d:08:00 SRC=3D192.168.0.13 DST=3D82.24=
7.182.64 LEN=3D40 TOS=3D0x00 PREC=3D0x00 TTL=3D110 ID=3D9104 DF PROTO=3DTCP=
SPT=3D58244 DPT=3D80 WINDOW=3D0 RES=3D0x00 ACK RST URGP=3D0 </p>
<p style=3D"-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; ma=
rgin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; ">&nb=
sp;</p>
<p style=3D" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig=
ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">Mar 29 23:2=
4:25 winedowze kernel: [430589.040516] INPUT packet died: IN=3Deth0 OUT=3D =
MAC=3De0:cb:4e:da:c5:c4:f4:ca:e5:41:8e:0d:08:00 SRC=3D82.98.71.138 DST=3D82=
=2E247.182.64 LEN=3D93 TOS=3D0x00 PREC=3D0x00 TTL=3D48 ID=3D0 DF PROTO=3DUD=
P SPT=3D6881 DPT=3D57715 LEN=3D73 </p>
<p style=3D"-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; ma=
rgin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; ">&nb=
sp;</p>
<p style=3D" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig=
ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">Mar 29 23:2=
4:45 winedowze kernel: [430608.675349] INPUT packet died: IN=3Deth0 OUT=3D =
MAC=3De0:cb:4e:da:c5:c4:f4:ca:e5:41:8e:0d:08:00 SRC=3D94.19.7.21 DST=3D82.2=
47.182.64 LEN=3D145 TOS=3D0x00 PREC=3D0x00 TTL=3D113 ID=3D6293 PROTO=3DUDP =
SPT=3D2066 DPT=3D57715 LEN=3D125 </p>
<p style=3D"-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; ma=
rgin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; ">&nb=
sp;</p>
<p style=3D" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig=
ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">-- </p>
<p style=3D" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig=
ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">Fr=C3=A9d=
=C3=A9ric F1sxo</p></body></html>
--Boundary-01=_EZhVRmga0QEBfqW--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/201303292331.32834.zulian@free.fr

10 réponses

1 2
Avatar
Bzzz
On Fri, 29 Mar 2013 23:31:32 +0100
wrote:

J'ai une invasion venant d'ip diverses et variées.



Ça doit être les vacances scolaires chez les ruskoffs.

Reste que free ne devrait pas laisser passer les adresses
de classe C…

--
Vaathou> J'aime bien mon fournisseur d'accès ...
<Vaathou> "Vous n'êtes actuellement pas connecté à Internet. Vous pouvez
trouver des informations plus précises concernant l'éta t de votre
connexion en suivant ce lien: "...". Si le problème persiste,
n'hésitez pas à consulter la rubrique d'aide du site."
<Vaathou> Heum ...
<Vaathou> "C'est l'hiver, vous avez perdu vos bras dans un accident, nous v ous
proposons des moufles pour ne pas avoir froid, n'hésitez pas à vous
renseigner sur nos bracelets tendances pour Noël !" ...

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
zulian
--Boundary-01=_ubiVRwL22s4zI5/
Content-Type: text/plain;
charset="utf-8"
Content-Transfer-Encoding: quoted-printable

Le vendredi 29 mars 2013 23:53:07, Bzzz a écrit :
On Fri, 29 Mar 2013 23:31:32 +0100
wrote:

> J'ai une invasion venant d'ip diverses et variées.

Ça doit être les vacances scolaires chez les ruskoffs.

Reste que free ne devrait pas laisser passer les adresses
de classe C…




Ben oui, c'est un des problémes, dans le bazard j'ai une "tripoté e" de
192.168.0.x qui arrivent.


--
Frédéric ZULIAN

--Boundary-01=_ubiVRwL22s4zI5/
Content-Type: text/html;
charset="utf-8"
Content-Transfer-Encoding: quoted-printable

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0//EN" "http://www.w3.org/TR/REC- html40/strict.dtd">
<html><head><meta name="qrichtext" content="1" /><style type="text/cs s">
p, li { white-space: pre-wrap; }
</style></head><body style=" font-family:'DejaVu Sans'; font-size:9pt; fo nt-weight:400; font-style:normal;">
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">Le vendredi 29 mars 2013 23:53:07, Bzzz a écrit :</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; On Fri , 29 Mar 2013 23:31:32 +0100</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; zulian @free.fr wrote:</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; </p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; &gt; J 'ai une invasion venant d'ip diverses et variées.</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; </p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; Ç a doit être les vacances scolaires chez les ruskoffs.</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; </p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; Reste que free ne devrait pas laisser passer les adresses</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; de cla sse C…</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; </p>
<p style="-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; ma rgin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; ">&nb sp;</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">Ben oui, c' est un des problémes, dans le bazard j'ai une &quot;tripotée&quot ; de 192.168.0.x qui arrivent.</p>
<p style="-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; ma rgin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; ">&nb sp;</p>
<p style="-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; ma rgin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; ">&nb sp;</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">-- </p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">Fréd éric ZULIAN</p></body></html>
--Boundary-01=_ubiVRwL22s4zI5/--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Bzzz
On Sat, 30 Mar 2013 00:42:38 +0100
wrote:


Ben oui, c'est un des problémes, dans le bazard j'ai une "tripotà ©e"
de 192.168.0.x qui arrivent.



Remarque que je n'avais pas repensé à un truc: certains sont si
bien configurés que tout sort de leur réseau.

Anecdote amusante: je vais chez un client pour un PB d'impression
qui se solde par le changement d'une carte Ethernet (duplication
d'adresse MAC) et quand tout est réglé il me parle d'un "truc
bizarre". On regarde, c'était effectivement bizarre: on avait tout
le réseau m$ de son voisin d'en face en ligne…

--
Biggest security gap -- an open mouth.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Stephane Bortzmeyer
On Fri, Mar 29, 2013 at 11:31:32PM +0100,
wrote
a message of 154 lines which said:

Une idée de ce qui se passe ?



Sans doute une attaque par déni de service. Ça arrive, sur
l'Internet. C'est sur quel genre d'accès Internet ? Sur un accès ADSL
à la maison, il n'y a pas grand'chose que vous puissiez faire :
l'attaquant peut en général envoyer bien plus que vos 15 ou 20 Mb/s
et, une fois que les paquets sont chez vous, il est trop tard pour les
filtrer.

Il faut donc demander de l'aide au FAI. Il demandera des détails, donc
a priori un pcap pris pendant l'attaque. ('tcpdump -n -w attaque.pcap
-i eth0 -c 10000')

Un petit extrait d'un moment calme tail /var/log/syslog



Quel intérêt ? Des paquets bizarres, il y en a tout le temps sur
l'Internet. C'est le trafic pendant l'attaque qui est intéressant.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Stephane Bortzmeyer
On Fri, Mar 29, 2013 at 11:53:07PM +0100,
Bzzz wrote
a message of 33 lines which said:

Reste que free ne devrait pas laisser passer les adresses de classe
C…



Les classes d'adresses (C ou autre) ont été supprimées il y a... vingt
ans <http://www.bortzmeyer.org/fini-les-classes.html>

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
zulian
--Boundary-01=_5HwVRXUOrWZ5dEA
Content-Type: text/plain;
charset="utf-8"
Content-Transfer-Encoding: quoted-printable

Le samedi 30 mars 2013 12:26:27, Stephane Bortzmeyer a écrit :
On Fri, Mar 29, 2013 at 11:31:32PM +0100,
wrote
a message of 154 lines which said:

> Une idée de ce qui se passe ?

Sans doute une attaque par déni de service. Ça arrive, sur
l'Internet. C'est sur quel genre d'accès Internet ? Sur un accè s ADSL
à la maison, il n'y a pas grand'chose que vous puissiez faire :
l'attaquant peut en général envoyer bien plus que vos 15 ou 20 Mb/s
et, une fois que les paquets sont chez vous, il est trop tard pour les
filtrer.



Oui, car si la freebox est en mode routeur et qu'elle filtre alors elle pla nte
systématiquement.

Si je met ma Freebox en bridge mon serveur/passerelle/routeur supporte la
charge mais je n'ai plus de bande passante utilisable téllement il y a de
requétes.


Il faut donc demander de l'aide au FAI. Il demandera des détails, do nc
a priori un pcap pris pendant l'attaque. ('tcpdump -n -w attaque.pcap
-i eth0 -c 10000')



Ben c'est que mon FAI --> ne répond même pas aux d emandes,
alosr quand à esperé qu'il fasse quelque chose ......




> Un petit extrait d'un moment calme tail /var/log/syslog

Quel intérêt ? Des paquets bizarres, il y en a tout le temps sur
l'Internet. C'est le trafic pendant l'attaque qui est intéressant.





--
Frédéric ZULIAN

--Boundary-01=_5HwVRXUOrWZ5dEA
Content-Type: text/html;
charset="utf-8"
Content-Transfer-Encoding: quoted-printable

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0//EN" "http://www.w3.org/TR/REC- html40/strict.dtd">
<html><head><meta name="qrichtext" content="1" /><style type="text/cs s">
p, li { white-space: pre-wrap; }
</style></head><body style=" font-family:'DejaVu Sans'; font-size:9pt; fo nt-weight:400; font-style:normal;">
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">Le samedi 3 0 mars 2013 12:26:27, Stephane Bortzmeyer a écrit :</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; On Fri , Mar 29, 2013 at 11:31:32PM +0100,</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; zulia &lt;&gt; wrote </p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; a mes sage of 154 lines which said:</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; </p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; &gt; U ne idée de ce qui se passe ?</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; </p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; Sans d oute une attaque par déni de service. Ça arrive, sur</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; l'Inte rnet. C'est sur quel genre d'accès Internet ? Sur un accès A DSL</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; à la maison, il n'y a pas grand'chose que vous puissiez faire :</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; l'atta quant peut en général envoyer bien plus que vos 15 ou 20 Mb/s</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; et, un e fois que les paquets sont chez vous, il est trop tard pour les</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; filtre r.</p>
<p style="-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; ma rgin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; ">&nb sp;</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">Oui, car si la freebox est en mode routeur et qu'elle filtre alors elle plante systà ©matiquement.</p>
<p style="-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; ma rgin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; ">&nb sp;</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">Si je met m a Freebox en bridge mon serveur/passerelle/routeur supporte la charge mais je n'ai plus de bande passante utilisable téllement il y a de requà ©tes.</p>
<p style="-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; ma rgin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; ">&nb sp;</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; </p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; Il fau t donc demander de l'aide au FAI. Il demandera des détails, donc</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; a prio ri un pcap pris pendant l'attaque. ('tcpdump -n -w attaque.pcap</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; -i eth 0 -c 10000')</p>
<p style="-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; ma rgin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; ">&nb sp;</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">Ben c'est q ue mon FAI --&gt; ne répond même pas aux demandes, alosr quand à esperé qu'il fasse quelque chose ......</p>
<p style="-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; ma rgin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; ">&nb sp;</p>
<p style="-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; ma rgin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; ">&nb sp;</p>
<p style="-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; ma rgin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; ">&nb sp;</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; </p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; &gt; U n petit extrait d'un moment calme tail /var/log/syslog</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; </p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; Quel i ntérêt ? Des paquets bizarres, il y en a tout le temps sur</ p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; l'Inte rnet. C'est le trafic pendant l'attaque qui est intéressant.</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; </p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; </p>
<p style="-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; ma rgin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; ">&nb sp;</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">-- </p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">Fréd éric ZULIAN</p></body></html>
--Boundary-01=_5HwVRXUOrWZ5dEA--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
zulian
--Boundary-01=_yKwVRlGksaDpWTh
Content-Type: text/plain;
charset="utf-8"
Content-Transfer-Encoding: quoted-printable

Le samedi 30 mars 2013 12:28:39, Stephane Bortzmeyer a écrit :
On Fri, Mar 29, 2013 at 11:53:07PM +0100,
Bzzz wrote
a message of 33 lines which said:

> Reste que free ne devrait pas laisser passer les adresses de classe
> C…

Les classes d'adresses (C ou autre) ont été supprimées il y a... vingt
ans <http://www.bortzmeyer.org/fini-les-classes.html>





Donc il n'y a plus d'adresses "reservées" pour les réseaux locaux ?
ex 192.168.1.0
192.168.0.0

--
Frédéric F1sxo

--Boundary-01=_yKwVRlGksaDpWTh
Content-Type: text/html;
charset="utf-8"
Content-Transfer-Encoding: quoted-printable

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0//EN" "http://www.w3.org/TR/REC- html40/strict.dtd">
<html><head><meta name="qrichtext" content="1" /><style type="text/cs s">
p, li { white-space: pre-wrap; }
</style></head><body style=" font-family:'DejaVu Sans'; font-size:9pt; fo nt-weight:400; font-style:normal;">
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">Le samedi 3 0 mars 2013 12:28:39, Stephane Bortzmeyer a écrit :</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; On Fri , Mar 29, 2013 at 11:53:07PM +0100,</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; Bzzz &lt;&gt; wrote </p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; a mes sage of 33 lines which said:</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; </p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; &gt; R este que free ne devrait pas laisser passer les adresses de classe</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; &gt; C …</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; </p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; Les cl asses d'adresses (C ou autre) ont été supprimées il y a... v ingt</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; ans &l t;http://www.bortzmeyer.org/fini-les-classes.html&gt;</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; </p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; </p>
<p style="-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; ma rgin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; ">&nb sp;</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">Donc il n'y a plus d'adresses &quot;reservées&quot; pour les réseaux locaux ?</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">ex 192.168. 1.0</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">192.168.0.0 </p>
<p style="-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; ma rgin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; ">&nb sp;</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">-- </p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">Fréd éric F1sxo</p></body></html>
--Boundary-01=_yKwVRlGksaDpWTh--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
zulian
--Boundary-01=_hNwVRATVWBpw+zn
Content-Type: text/plain;
charset="utf-8"
Content-Transfer-Encoding: quoted-printable

Le samedi 30 mars 2013 12:26:27, Stephane Bortzmeyer a écrit :
On Fri, Mar 29, 2013 at 11:31:32PM +0100,
wrote
a message of 154 lines which said:

> Une idée de ce qui se passe ?

Sans doute une attaque par déni de service. Ça arrive, sur
l'Internet. C'est sur quel genre d'accès Internet ? Sur un accè s ADSL
à la maison, il n'y a pas grand'chose que vous puissiez faire :
l'attaquant peut en général envoyer bien plus que vos 15 ou 20 Mb/s
et, une fois que les paquets sont chez vous, il est trop tard pour les
filtrer.

Il faut donc demander de l'aide au FAI. Il demandera des détails, do nc
a priori un pcap pris pendant l'attaque. ('tcpdump -n -w attaque.pcap
-i eth0 -c 10000')

> Un petit extrait d'un moment calme tail /var/log/syslog

Quel intérêt ? Des paquets bizarres, il y en a tout le temps sur
l'Internet. C'est le trafic pendant l'attaque qui est intéressant.




Y a t-il une possibilité de soulager le serveur dans le traitement de ces
paquets et de limiter au maximum l'utilisation de la bande passante par ces
paquets ?

libapache2-mod-evasive ??


--
Frédéric ZULIAN

--Boundary-01=_hNwVRATVWBpw+zn
Content-Type: text/html;
charset="utf-8"
Content-Transfer-Encoding: quoted-printable

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0//EN" "http://www.w3.org/TR/REC- html40/strict.dtd">
<html><head><meta name="qrichtext" content="1" /><style type="text/cs s">
p, li { white-space: pre-wrap; }
</style></head><body style=" font-family:'DejaVu Sans'; font-size:9pt; fo nt-weight:400; font-style:normal;">
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">Le samedi 3 0 mars 2013 12:26:27, Stephane Bortzmeyer a écrit :</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; On Fri , Mar 29, 2013 at 11:31:32PM +0100,</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; zulia &lt;&gt; wrote </p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; a mes sage of 154 lines which said:</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; </p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; &gt; U ne idée de ce qui se passe ?</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; </p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; Sans d oute une attaque par déni de service. Ça arrive, sur</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; l'Inte rnet. C'est sur quel genre d'accès Internet ? Sur un accès A DSL</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; à la maison, il n'y a pas grand'chose que vous puissiez faire :</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; l'atta quant peut en général envoyer bien plus que vos 15 ou 20 Mb/s</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; et, un e fois que les paquets sont chez vous, il est trop tard pour les</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; filtre r.</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; </p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; Il fau t donc demander de l'aide au FAI. Il demandera des détails, donc</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; a prio ri un pcap pris pendant l'attaque. ('tcpdump -n -w attaque.pcap</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; -i eth 0 -c 10000')</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; </p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; &gt; U n petit extrait d'un moment calme tail /var/log/syslog</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; </p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; Quel i ntérêt ? Des paquets bizarres, il y en a tout le temps sur</ p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; l'Inte rnet. C'est le trafic pendant l'attaque qui est intéressant.</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">&gt; </p>
<p style="-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; ma rgin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; ">&nb sp;</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">Y a t-il un e possibilité de soulager le serveur dans le traitement de ces paquets et de limiter au maximum l'utilisation de la bande passante par ces paquet s ?</p>
<p style="-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; ma rgin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; ">&nb sp;</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">libapache2- mod-evasive ?? </p>
<p style="-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; ma rgin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; ">&nb sp;</p>
<p style="-qt-paragraph-type:empty; margin-top:0px; margin-bottom:0px; ma rgin-left:0px; margin-right:0px; -qt-block-indent:0; text-indent:0px; ">&nb sp;</p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">-- </p>
<p style=" margin-top:0px; margin-bottom:0px; margin-left:0px; margin-rig ht:0px; -qt-block-indent:0; text-indent:0px; -qt-user-state:0;">Fréd éric ZULIAN</p></body></html>
--Boundary-01=_hNwVRATVWBpw+zn--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Bzzz
On Sat, 30 Mar 2013 16:23:13 +0100
wrote:


Y a t-il une possibilité de soulager le serveur dans le traitement de
ces paquets et de limiter au maximum l'utilisation de la bande
passante par ces paquets ?



Tu peux limiter le nombre de connexions/packets par seconde, mais
pas trop bas, sinon les moteurs de recherche vont faire la gueule.

Ça ne changera rien au fait que si ton lien est saturé, ta BP ne
sera pas plus dispo; est-ce que tu en a parlé sur les forums pour
voir si c'est général ou bien si c'est parce que les russes t'aim ent
bien?

--
Sex is a natural bodily process, like a stroke.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Avatar
Stephane Bortzmeyer
On Sat, Mar 30, 2013 at 04:20:18PM +0100,
wrote
a message of 103 lines which said:

Donc il n'y a plus d'adresses "reservées" pour les réseaux locaux ?



Si, mais cela n'a rien à voir avec les classes
<http://www.bortzmeyer.org/1918.html>.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
1 2