Logo GNT
Actualités Tests & Guides Bons Plans
Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11
Entraide Sécurité Sécurité Sécurité ICMP ack, AT&T ..

ICMP ack, AT&T ..

20 réponses
Avatar
HelloMan
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Bonsoir

L'autre jour j'ai observé les rejets de mon firewall en temps réel (ouais,
ça m'arrive, tail -f) et j'ai vu arriver un gros "paquet de paquets" tcp,
mode ACK. Shorewall est rêglé, chez moi pour refuser tous les paquets non
relatés à une connection établie venant de l'extérieur.

du genre de celui ci:

Dec 15 20:16:02 msi kernel: Shorewall:newnotsyn:DROP:IN=ppp0 OUT= MAC=
SRC=32.107.37.21 DST=213.44.171.95 LEN=40 TOS=0x08 PREC=0x00 TTL=118
ID=41657 DF PROTO=TCP SPT=80 DPT=36955 WINDOW=0 RES=0x00 ACK RST URGP=0

Voulant savoir qui pouvait m'envoyer une telle avalanche, j'ai fait un petit
whois, juste pour voir. Oh surprise, vous ne devinerez jamais...

$ whois 32.107.37.21

OrgName: AT&T Global Network Services
OrgID: ATGS
Address: 3200 Lake Emma Road
City: Lake Mary
StateProv: FL
PostalCode: 32746
Country: US

NetRange: 32.0.0.0 - 32.255.255.255
CIDR: 32.0.0.0/8
NetName: ATT-32-0-0-0-A
NetHandle: NET-32-0-0-0-1
Parent:
NetType: Direct Allocation
NameServer: NS.UK.PRSERV.NET
NameServer: NS.DE.PRSERV.NET
NameServer: NS.NL.PRSERV.NET
Comment:
RegDate:
Updated: 2002-03-28

TechHandle: PS4071-ARIN
TechName: Sides Jr., Phil
TechPhone: +1-301-962-7817
TechEmail: psidesjr@att.com

# ARIN WHOIS database, last updated 2003-12-14 19:15

Je ne sais pas vraiment pourquoi AT&T peut m'envoyer autant de ACK, en new
not syn c'est bizarre non ?

J'ai voulu en savoir plus. Sachant que je fais des logrotate toutes les
semaines (celui ci ayant lieu le Dimanche matin), j'ai compté:

$ grep Shorewall /var/log/syslog | grep 32.107.37.21 wc -l
303

303 pings de chez AT&T en deux jours, c'est pas mal non ?

Mais il y a un peu plus strange, ack, dans l'absolu, moi je veux bien, mais
pourquoi en provenance du port 80 ?

et puis, aussi il y a ça, c'est plus rare mais ça arrive

Dec 15 19:40:00 msi kernel: Shorewall:newnotsyn:DROP:IN=ppp0 OUT= MAC=
SRC=32.107.37.21 DST=213.44.171.95 LEN=190 TOS=0x08 PREC=0x00 TTL=118
ID=7757 DF PROTO=TCP SPT=80 DPT=48636 WINDOW=7563 RES=0x00 ACK PSH FIN
URGP=0

et, il y en a, depuis Dimanche matin:

$ grep 32.107.37.21 /var/log/syslog | grep 'ACK PSH FIN' | grep Shorewall |
wc -l
4

s'cusez moi, chuis un peu benêt en TCP, c'est quoi ACK, PSH, FIN ?

ça correspond à quoi ?

merci de vos lumières.

- --
HelloMan
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.3 (GNU/Linux)

iD8DBQE/3ht5eId4S2LZgTURAl1sAJ9Owc+6DB0ck04Ox4Y5DLrKYNMa6wCghHD4
1tZuXiKYgu8QKf3VMeUIZJs=
=Nk+r
-----END PGP SIGNATURE-----
Signaler un problème avec ce contenu

10 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
1 2
Avatar
Pierre LALET
HelloMan wrote:
[SNIP]
Je ne sais pas vraiment pourquoi AT&T peut m'envoyer autant de ACK, en new
not syn c'est bizarre non ?


AT&T ils seraient pas un peu fournisseur d'accès ? Encore que cette
adrese ne résolve pas. De toutes façons, rien ne prouve que cela vienne
bien de chez eux.

J'ai voulu en savoir plus. Sachant que je fais des logrotate toutes les
semaines (celui ci ayant lieu le Dimanche matin), j'ai compté:

$ grep Shorewall /var/log/syslog | grep 32.107.37.21 wc -l
303

303 pings de chez AT&T en deux jours, c'est pas mal non ?

Mais il y a un peu plus strange, ack, dans l'absolu, moi je veux bien, mais
pourquoi en provenance du port 80 ?


Pour passer un pare-feu sans table d'états par exemple ?

et puis, aussi il y a ça, c'est plus rare mais ça arrive

Dec 15 19:40:00 msi kernel: Shorewall:newnotsyn:DROP:IN=ppp0 OUT= MAC > SRC2.107.37.21 DST!3.44.171.95 LEN0 TOS=0x08 PREC=0x00 TTL8
IDw57 DF PROTO=TCP SPT€ DPTH636 WINDOWu63 RES=0x00 ACK PSH FIN
URGP=0

et, il y en a, depuis Dimanche matin:

$ grep 32.107.37.21 /var/log/syslog | grep 'ACK PSH FIN' | grep Shorewall |
wc -l
4

s'cusez moi, chuis un peu benêt en TCP, c'est quoi ACK, PSH, FIN ?


ACK : accusé de réception d'un paquet (pour faire croire à un pare-feu
sans table d'états que le paquet appartient à une session établie).
PSH : j'envoie des données (couche au dessus d'IP).
FIN : symétrique de SYN pour les fins de connexions.

pierre

--
Pierre LALET -- http://www.enseirb.fr/~lalet/
Droids Corporation -- http://www.rstack.org/droids/
Clé publique PGP : http://www.enseirb.fr/~lalet/pierre_lalet.asc
Empreinte de la clé : B6B8 0F89 2220 DF8B 0F3B C0C0 773E 15E6 A878 FC7E

Avatar
Cedric Blancher
Dans sa prose, Pierre LALET nous ecrivait :
Mais il y a un peu plus strange, ack, dans l'absolu, moi je veux bien,
mais pourquoi en provenance du port 80 ?
Pour passer un pare-feu sans table d'états par exemple ?



Dans le cas présent, il s'agit de RST-ACK.

Amha, il faudrait d'abord essayer de trouver si cette machine
n'hébergerait pas un site que l'utilisateur ou une de ses applications
consulte de manière régulière.


--
BOFH excuse #265:

The mouse escaped.


Avatar
HelloMan
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Cedric Blancher wrote:

Dans sa prose, Pierre LALET nous ecrivait :
Mais il y a un peu plus strange, ack, dans l'absolu, moi je veux bien,
mais pourquoi en provenance du port 80 ?
Pour passer un pare-feu sans table d'états par exemple ?



Dans le cas présent, il s'agit de RST-ACK.

Amha, il faudrait d'abord essayer de trouver si cette machine
n'hébergerait pas un site que l'utilisateur ou une de ses applications
consulte de manière régulière.


Bonjour Cedric et Pierre


et Merci de vos réponses.

En fait, j'étais un peu troublé quand j'ai envoyé ce message hier. Depuis,
j'ai repris les logs et les connections, d'après ce que disait Cedric, il
semble bien qu'il ait un élément de réponse, et Pierre également quand il
dit que AT&T est fournisseur d'accès.

En fait, au moment ou j'ai observé ces événements, j'étais en train de
consulter certains sites un peu "alternatifs" (mais tout à fait corrects,
je le précise)

Afin d'en savoir plus, si vous avez un firewall bien configuré, et assez
verbeux, ainsi que le temps et le désir d'en savoir plus (et je
comprendrais très bien que cela ne soit pas le cas pour le temps et
l'envie; pour ce qui est du firewall, je pense que vous êtes équipés,
d'après ce que j'ai pu lire de vous), vous pouvez tenter une connection web
(j'étais sur Konqueror) sur les pages suivantes:

http://www.michaelmoore.com/words/message/index.php
http://www.gwu.edu/~nsarchiv/NSAEBB/NSAEBB82/
http://english.aljazeera.net/HomePage

bien sur, je ne me rapelle plus dans quel ordre j'ai accédé à ces pages, ni
par où j'y suis arrivé.

Je précise bien que je ne veux en aucun cas promouvoir la consultation de
ces sites ni les idées qu'ils contiennent. Mais effectivement, je les
consulte assez souvent (Cedric a raison), surtout ces derniers temps,
actualité oblige.

Entre le moment où j'ai écrit les lignes ci dessus, et maintenant, j'ai fait
un petit host et whois sur le troisième site, héhéhéhé, c'est les mêmes, à
un alias près ! Ca intéresserait un journaliste quelque part ?

baille @+

- --
HelloMan
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.3 (GNU/Linux)

iD8DBQE/3tJveId4S2LZgTURAqSwAJ0R/GYvNx1pcA8pKqf9D/LD3twK+gCfcZxW
EjVMxQOyul7W34sCkLXBZNg ÖnV
-----END PGP SIGNATURE-----



Avatar
Cedric Blancher
Dans sa prose, HelloMan nous ecrivait :
http://www.michaelmoore.com/words/message/index.php
http://www.gwu.edu/~nsarchiv/NSAEBB/NSAEBB82/


:~$ host www.michaelmoore.com
www.michaelmoore.com A 208.38.54.152
:~$ host www.gwu.edu
www.gwu.edu A 128.164.127.251

Pour ces deux là, ce n'est pas bon.

http://english.aljazeera.net/HomePage


:~$ host english.aljazeera.net
english.aljazeera.net CNAME wa9g1.services.icdsatt.net
wa9g1.services.icdsatt.net A 12.120.9.19
english.aljazeera.net CNAME wa9g1.services.icdsatt.net
wa9g1.services.icdsatt.net A 32.107.56.39

Pour celui-ci, ça semble s'approcher du but. En outre, c'est le même
fournisseur derrière.

Je précise bien que je ne veux en aucun cas promouvoir la consultation de
ces sites ni les idées qu'ils contiennent.


Cela va de soit ;)

--
MF> Comment faire pour rechercher par exemple tout les
MF> dentistes ayant un email.
Du côté de l'email, ça devrait aller, pour les dentistes !
-+- MG in : Guide du Neuneu d'Usenet - Carie me on -+-

Avatar
HelloMan
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Bonjour

Je confirme ce que je disais dans mon post précédant, je viens, par acquis
de conscience de faire un petit tour sur le 3è site dont je donnais
l'adresse ci-dessus; ben plaf, ça manque pas. ça recommence, à donf, mais,
élément nouveau, c'est différé de quelques minutes par rapport à la
consultation des pages (bien sûr, je n'ai pas pensé à chronométrer, désolé)

$ grep 32.107.37.21 /var/log/syslog | grep 'Dec 17' | wc -l
220

ça pour entre
Dec 17 00:17:14
et
Dec 17 00:24:45

soit au bas mot 31 paquets par minute 0,5/s en 7 minutes.

Je m'en tape le coquillard, c'est bloqué, je n'ai rien à me reprocher
puisque je n'ai fait que consulter l'actualité, mais bon, je ne trouve pas
cela très sympa, et si je ne loggais pas tout, je ne m'en serais même pas
rendu compte. Et si cela n'avait pas été arrêté, ça aurait fait quoi ?

Existe t'il d'autres sites qui font ça ? Dans quel but ?

Quelqu'un d'autre a t'il observé la même chose ?

- --
HelloMan
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.3 (GNU/Linux)

iD8DBQE/35f6eId4S2LZgTURAvq2AKCAMunY15wWNK3QrZqqH0fA09544QCeN7FW
0MEyDRX+iR6bIaTJzidDcgE =GQod
-----END PGP SIGNATURE-----
Avatar
HelloMan
Bonjour


Pour l'activité décrite ce matin, en analysant de plus près, tous les
paquets ont la même source (voir posts précédants) et le même port source
(80); cependant, les ports de destination changent (presque) à chaque fois:

$ grep 32.107.37.21 /var/log/syslog | grep 'Dec 17' | cut -d' ' -f19 | sort
| uniq

DPT264
DPT952
DPT358
DPT757
DPT776
DPT950
DPT 110
DPT"260
DPT"697
DPT%360
DPT&121
DPT'179
DPT'663
DPT7825
DPT8959
DPTG422
DPTG555
DPTP030
DPTU48
DPTh80
DPT‚42
DPT74

(ceci, pour, je le répète: 220 paquets rejetés en 7 minutes)

est ce que l'on peut tirer quelque chose de ces dports ? (moi, à priori, ils
ne m'évoquent rien). Dans l'absolu, on peut considérer cela comme un scan
de ports non ? (malgré le flou juridique qui l'entoure, le scan de ports
n'est pas vraiment légal, il me semble...)

merci de vos lumières.


--
HelloMan
Avatar
Cedric Blancher
Dans sa prose, HelloMan nous ecrivait :
Je confirme ce que je disais dans mon post précédant, je viens, par
acquis de conscience de faire un petit tour sur le 3è site dont je
donnais l'adresse ci-dessus; ben plaf, ça manque pas. ça recommence,
à donf, mais, élément nouveau, c'est différé de quelques minutes
par rapport à la consultation des pages (bien sûr, je n'ai pas pensé
à chronométrer, désolé)


Tu devrais commencer par lancer un tcpdump, ou mieux, un ethereal avec le
plugin TCP reassembly, pour vérifier un peu les flux que tu émets et ce
qui revient... Juste pour regarder si tu n'as pas des RST en double ou des
paquets qui se perdent.

--
Apres les neo-liberaux, les neo-marxistes, je ne doute meme pas de
l'existence des neo-capitalistes, neo-euros et neo-homos. On a meme droit
aux neo Linuxiens sous Windows (n'est pas neo-con qui veut).
-+- ST in GFA : Cherche jeu pour neo geo -+-

Avatar
HelloMan
Cedric Blancher wrote:

Dans sa prose, HelloMan nous ecrivait :
Je confirme ce que je disais dans mon post précédant, je viens, par
acquis de conscience de faire un petit tour sur le 3è site dont je
donnais l'adresse ci-dessus; ben plaf, ça manque pas. ça recommence,
à donf, mais, élément nouveau, c'est différé de quelques minutes
par rapport à la consultation des pages (bien sûr, je n'ai pas pensé
à chronométrer, désolé)


Tu devrais commencer par lancer un tcpdump, ou mieux, un ethereal avec le
plugin TCP reassembly, pour vérifier un peu les flux que tu émets et ce
qui revient... Juste pour regarder si tu n'as pas des RST en double ou des
paquets qui se perdent.



Hmmm, ça veut dire ouvrir des ports... c'est risqué, chais pas trop, j'y
avais pensé hier soir, pour ethereal...

mais comment faire avec Shorewall qui bloque en newnotsyn, les paquets
bizarres ne passeront pas le firewall et franchement, j'ose pas trop le
faire avec un firewall ouvert...

en fait, je manque de pratique pour faire ce genre de truc...

infos ??

merci


--
HelloMan


Avatar
HelloMan
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1


Tu devrais commencer par lancer un tcpdump, ou mieux, un ethereal avec le
plugin TCP reassembly, pour vérifier un peu les flux que tu émets et ce
qui revient... Juste pour regarder si tu n'as pas des RST en double ou des
paquets qui se perdent.


Je viens de tenter le coup, sans toucher au firewall (pas de risques
inutiles). Je n'ai même pas eu le temps de lancer la capture par
ethereal...

voilà ce que ça donne au niveau de snort (scan.log):!

juste pour l'ouverture de la page de garde.

12/17-15:01:48.432407 TCP src: 195.36.194.233 dst: 144.85.15.51 sport:
34466 dport: 80 tgts: 7 ports: 7 flags: ******S* event_id: 12
12/17-15:01:53.872644 TCP src: 195.36.194.233 dst: 198.108.0.18 sport:
34467 dport: 43 tgts: 8 ports: 8 flags: ******S* event_id: 12
12/17-15:01:58.526903 UDP src: 195.36.194.233 dst: 194.117.200.15 sport:
33342 dport: 53 tgts: 9 ports: 9 event_id: 12
12/17-15:01:59.070840 UDP src: 195.36.194.233 dst: 154.11.145.2 sport:
33342 dport: 53 tgts: 10 ports: 10 event_id: 12
12/17-15:01:59.242115 UDP src: 195.36.194.233 dst: 154.11.136.2 sport:
33342 dport: 53 tgts: 11 ports: 11 event_id: 12
12/17-15:02:00.281091 ICMP src: 195.36.194.233 dst: 213.228.0.42 type: 8
code: 0 tgts: 12 event_id: 12
12/17-15:02:20.208923 UDP src: 195.36.194.233 dst: 211.232.1.1 sport: 33342
dport: 53 tgts: 13 ports: 13 event_id: 12
12/17-15:02:20.586172 UDP src: 195.36.194.233 dst: 211.232.1.2 sport: 33342
dport: 53 tgts: 14 ports: 14 event_id: 12
12/17-15:02:23.385038 ICMP src: 195.36.194.233 dst: 145.254.215.133 type: 3
code: 3 tgts: 15 event_id: 12
12/17-15:02:24.958431 UDP src: 195.36.194.233 dst: 210.217.192.1 sport:
33342 dport: 53 tgts: 16 ports: 16 event_id: 12
12/17-15:11:32.382952 TCP src: 195.36.194.233 dst: 194.158.126.24 sport:
34509 dport: 80 tgts: 6 ports: 6 flags: ******S* event_id: 0

inutile de dire que j'ai immédiatement refermé le browser.

Par acquis de conscience, pour vérifier que ça ne j'ai vérifié après en
ouvrant des pages web classiques mais réputées comme "sûres" (il se peut en
effet que j'aie chopé un backdoor). genre www.yahoo.fr, libération, le
monde, club-internet, wanadoo, etc... sur toutes les pages ouvertes de
cette façon, je n'ai eu que ça:

12/17-15:12:00.955823 ICMP src: 195.36.194.233 dst: 213.228.0.42 type: 8
code: 0 tgts: 7 event_id: 14 (vraisemblablement due à un popup)

heu, on fait quoi là dans ces conditions ??

thanx for help

- --
HelloMan
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.3 (GNU/Linux)

iD8DBQE/4GmeeId4S2LZgTURAr3RAJ9h3VhqSeyU7kMjmV/SCG0h9j3a9ACbBxcA
NnpmHjAqOJ/weo3+LApn9ws =eQoJ
-----END PGP SIGNATURE-----

Avatar
HelloMan
Donc j'ai refait un test, avec ethereal, mais firewall fermé; consultation
de plusieurs pages dudit site vers 16h00; inmanquablement; c'est reparti

Pour infos, ethereal n'a rien donné, j'avais lancé un enregistrement en
consultant les pages, mais rien de particulier.

Donc, consultation des pages à 16h00 environ, et à partir de 16:12:32, vous
connaissez la musique:

Dec 17 16:12:32 msi kernel: Shorewall:newnotsyn:DROP:IN=ppp0 OUT= MAC SRC2.107.37.21 DST5.36.194.233 LENA TOS=0x08 PREC=0x00 TTL9
IDP127 DF PROTO=TCP SPT€ DPT843 WINDOWV31 RES=0x00 ACK URGP=0

en masse (raisonnable) toujours la même adresse source jusqu'à 16:43:52

y en a eu

# grep 32.107.37.21 /var/log/syslog | grep 'Dec 17 16' | wc -l
210

210 paquets newnotsyn en 31 minutes.
6 paquets par minute.

les ports de destination sont les suivants:

# grep 32.107.37.21 /var/log/syslog | grep 'Dec 17 16' | cut -d' ' -f19 |
sort | uniq

DPT843
DPT86
DPT818
DPT$479
DPT$59
DPT&722
DPT'612
DPT(241
DPT1048
DPT2882
DPT2987
DPT4591
DPT9736

DPTC795
DPTF252
DPTI425
DPTW891
DPTc274
DPT03
DPT70

et ils ne m'évoquent toujours rien. Par contre, si j'ai eu des alertes snort
tout à l'heure, je n'ai plus rien eu au moment de l'arrivée des paquets
newnotsyn. Pour infos, au moment de l'arrivée de ceux ci, j'avais tout
fermé (browser, news, mail) et me préparais à quitter la session.

Faudrait faire ça avec un ethereal, mais je ne vois pas trop comment sans
ouvrir des ports sur le fw et ça serait un peu risqué.

Peut être avec un honeyd correctement configuré, mais je n'ai pas ça en
stock.

Ca me rapelle quand j'étais à l'armée:

"y a pas un volontaire parmi vous ?"

J'ai beau retourner le problème dans tous les sens, j'ai peut être attrapé
une bestiole qq part, mais je ne vois pas où ni comment (attention, je ne
suis pas infaillible), les ps et netstat "semblent" normaux.

--
HelloMan
1 2