L'autre jour j'ai observé les rejets de mon firewall en temps réel (ouais,
ça m'arrive, tail -f) et j'ai vu arriver un gros "paquet de paquets" tcp,
mode ACK. Shorewall est rêglé, chez moi pour refuser tous les paquets non
relatés à une connection établie venant de l'extérieur.
Je ne sais pas vraiment pourquoi AT&T peut m'envoyer autant de ACK, en new not syn c'est bizarre non ?
AT&T ils seraient pas un peu fournisseur d'accès ? Encore que cette adrese ne résolve pas. De toutes façons, rien ne prouve que cela vienne bien de chez eux.
J'ai voulu en savoir plus. Sachant que je fais des logrotate toutes les semaines (celui ci ayant lieu le Dimanche matin), j'ai compté:
s'cusez moi, chuis un peu benêt en TCP, c'est quoi ACK, PSH, FIN ?
ACK : accusé de réception d'un paquet (pour faire croire à un pare-feu sans table d'états que le paquet appartient à une session établie). PSH : j'envoie des données (couche au dessus d'IP). FIN : symétrique de SYN pour les fins de connexions.
pierre
-- Pierre LALET -- http://www.enseirb.fr/~lalet/ Droids Corporation -- http://www.rstack.org/droids/ Clé publique PGP : http://www.enseirb.fr/~lalet/pierre_lalet.asc Empreinte de la clé : B6B8 0F89 2220 DF8B 0F3B C0C0 773E 15E6 A878 FC7E
HelloMan wrote:
[SNIP]
Je ne sais pas vraiment pourquoi AT&T peut m'envoyer autant de ACK, en new
not syn c'est bizarre non ?
AT&T ils seraient pas un peu fournisseur d'accès ? Encore que cette
adrese ne résolve pas. De toutes façons, rien ne prouve que cela vienne
bien de chez eux.
J'ai voulu en savoir plus. Sachant que je fais des logrotate toutes les
semaines (celui ci ayant lieu le Dimanche matin), j'ai compté:
s'cusez moi, chuis un peu benêt en TCP, c'est quoi ACK, PSH, FIN ?
ACK : accusé de réception d'un paquet (pour faire croire à un pare-feu
sans table d'états que le paquet appartient à une session établie).
PSH : j'envoie des données (couche au dessus d'IP).
FIN : symétrique de SYN pour les fins de connexions.
pierre
--
Pierre LALET -- http://www.enseirb.fr/~lalet/
Droids Corporation -- http://www.rstack.org/droids/
Clé publique PGP : http://www.enseirb.fr/~lalet/pierre_lalet.asc
Empreinte de la clé : B6B8 0F89 2220 DF8B 0F3B C0C0 773E 15E6 A878 FC7E
Je ne sais pas vraiment pourquoi AT&T peut m'envoyer autant de ACK, en new not syn c'est bizarre non ?
AT&T ils seraient pas un peu fournisseur d'accès ? Encore que cette adrese ne résolve pas. De toutes façons, rien ne prouve que cela vienne bien de chez eux.
J'ai voulu en savoir plus. Sachant que je fais des logrotate toutes les semaines (celui ci ayant lieu le Dimanche matin), j'ai compté:
s'cusez moi, chuis un peu benêt en TCP, c'est quoi ACK, PSH, FIN ?
ACK : accusé de réception d'un paquet (pour faire croire à un pare-feu sans table d'états que le paquet appartient à une session établie). PSH : j'envoie des données (couche au dessus d'IP). FIN : symétrique de SYN pour les fins de connexions.
pierre
-- Pierre LALET -- http://www.enseirb.fr/~lalet/ Droids Corporation -- http://www.rstack.org/droids/ Clé publique PGP : http://www.enseirb.fr/~lalet/pierre_lalet.asc Empreinte de la clé : B6B8 0F89 2220 DF8B 0F3B C0C0 773E 15E6 A878 FC7E
Cedric Blancher
Dans sa prose, Pierre LALET nous ecrivait :
Mais il y a un peu plus strange, ack, dans l'absolu, moi je veux bien, mais pourquoi en provenance du port 80 ? Pour passer un pare-feu sans table d'états par exemple ?
Dans le cas présent, il s'agit de RST-ACK.
Amha, il faudrait d'abord essayer de trouver si cette machine n'hébergerait pas un site que l'utilisateur ou une de ses applications consulte de manière régulière.
-- BOFH excuse #265:
The mouse escaped.
Dans sa prose, Pierre LALET nous ecrivait :
Mais il y a un peu plus strange, ack, dans l'absolu, moi je veux bien,
mais pourquoi en provenance du port 80 ?
Pour passer un pare-feu sans table d'états par exemple ?
Dans le cas présent, il s'agit de RST-ACK.
Amha, il faudrait d'abord essayer de trouver si cette machine
n'hébergerait pas un site que l'utilisateur ou une de ses applications
consulte de manière régulière.
Mais il y a un peu plus strange, ack, dans l'absolu, moi je veux bien, mais pourquoi en provenance du port 80 ? Pour passer un pare-feu sans table d'états par exemple ?
Dans le cas présent, il s'agit de RST-ACK.
Amha, il faudrait d'abord essayer de trouver si cette machine n'hébergerait pas un site que l'utilisateur ou une de ses applications consulte de manière régulière.
-- BOFH excuse #265:
The mouse escaped.
HelloMan
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Cedric Blancher wrote:
Dans sa prose, Pierre LALET nous ecrivait :
Mais il y a un peu plus strange, ack, dans l'absolu, moi je veux bien, mais pourquoi en provenance du port 80 ? Pour passer un pare-feu sans table d'états par exemple ?
Dans le cas présent, il s'agit de RST-ACK.
Amha, il faudrait d'abord essayer de trouver si cette machine n'hébergerait pas un site que l'utilisateur ou une de ses applications consulte de manière régulière.
Bonjour Cedric et Pierre
et Merci de vos réponses.
En fait, j'étais un peu troublé quand j'ai envoyé ce message hier. Depuis, j'ai repris les logs et les connections, d'après ce que disait Cedric, il semble bien qu'il ait un élément de réponse, et Pierre également quand il dit que AT&T est fournisseur d'accès.
En fait, au moment ou j'ai observé ces événements, j'étais en train de consulter certains sites un peu "alternatifs" (mais tout à fait corrects, je le précise)
Afin d'en savoir plus, si vous avez un firewall bien configuré, et assez verbeux, ainsi que le temps et le désir d'en savoir plus (et je comprendrais très bien que cela ne soit pas le cas pour le temps et l'envie; pour ce qui est du firewall, je pense que vous êtes équipés, d'après ce que j'ai pu lire de vous), vous pouvez tenter une connection web (j'étais sur Konqueror) sur les pages suivantes:
bien sur, je ne me rapelle plus dans quel ordre j'ai accédé à ces pages, ni par où j'y suis arrivé.
Je précise bien que je ne veux en aucun cas promouvoir la consultation de ces sites ni les idées qu'ils contiennent. Mais effectivement, je les consulte assez souvent (Cedric a raison), surtout ces derniers temps, actualité oblige.
Entre le moment où j'ai écrit les lignes ci dessus, et maintenant, j'ai fait un petit host et whois sur le troisième site, héhéhéhé, c'est les mêmes, à un alias près ! Ca intéresserait un journaliste quelque part ?
Mais il y a un peu plus strange, ack, dans l'absolu, moi je veux bien,
mais pourquoi en provenance du port 80 ?
Pour passer un pare-feu sans table d'états par exemple ?
Dans le cas présent, il s'agit de RST-ACK.
Amha, il faudrait d'abord essayer de trouver si cette machine
n'hébergerait pas un site que l'utilisateur ou une de ses applications
consulte de manière régulière.
Bonjour Cedric et Pierre
et Merci de vos réponses.
En fait, j'étais un peu troublé quand j'ai envoyé ce message hier. Depuis,
j'ai repris les logs et les connections, d'après ce que disait Cedric, il
semble bien qu'il ait un élément de réponse, et Pierre également quand il
dit que AT&T est fournisseur d'accès.
En fait, au moment ou j'ai observé ces événements, j'étais en train de
consulter certains sites un peu "alternatifs" (mais tout à fait corrects,
je le précise)
Afin d'en savoir plus, si vous avez un firewall bien configuré, et assez
verbeux, ainsi que le temps et le désir d'en savoir plus (et je
comprendrais très bien que cela ne soit pas le cas pour le temps et
l'envie; pour ce qui est du firewall, je pense que vous êtes équipés,
d'après ce que j'ai pu lire de vous), vous pouvez tenter une connection web
(j'étais sur Konqueror) sur les pages suivantes:
bien sur, je ne me rapelle plus dans quel ordre j'ai accédé à ces pages, ni
par où j'y suis arrivé.
Je précise bien que je ne veux en aucun cas promouvoir la consultation de
ces sites ni les idées qu'ils contiennent. Mais effectivement, je les
consulte assez souvent (Cedric a raison), surtout ces derniers temps,
actualité oblige.
Entre le moment où j'ai écrit les lignes ci dessus, et maintenant, j'ai fait
un petit host et whois sur le troisième site, héhéhéhé, c'est les mêmes, à
un alias près ! Ca intéresserait un journaliste quelque part ?
Mais il y a un peu plus strange, ack, dans l'absolu, moi je veux bien, mais pourquoi en provenance du port 80 ? Pour passer un pare-feu sans table d'états par exemple ?
Dans le cas présent, il s'agit de RST-ACK.
Amha, il faudrait d'abord essayer de trouver si cette machine n'hébergerait pas un site que l'utilisateur ou une de ses applications consulte de manière régulière.
Bonjour Cedric et Pierre
et Merci de vos réponses.
En fait, j'étais un peu troublé quand j'ai envoyé ce message hier. Depuis, j'ai repris les logs et les connections, d'après ce que disait Cedric, il semble bien qu'il ait un élément de réponse, et Pierre également quand il dit que AT&T est fournisseur d'accès.
En fait, au moment ou j'ai observé ces événements, j'étais en train de consulter certains sites un peu "alternatifs" (mais tout à fait corrects, je le précise)
Afin d'en savoir plus, si vous avez un firewall bien configuré, et assez verbeux, ainsi que le temps et le désir d'en savoir plus (et je comprendrais très bien que cela ne soit pas le cas pour le temps et l'envie; pour ce qui est du firewall, je pense que vous êtes équipés, d'après ce que j'ai pu lire de vous), vous pouvez tenter une connection web (j'étais sur Konqueror) sur les pages suivantes:
bien sur, je ne me rapelle plus dans quel ordre j'ai accédé à ces pages, ni par où j'y suis arrivé.
Je précise bien que je ne veux en aucun cas promouvoir la consultation de ces sites ni les idées qu'ils contiennent. Mais effectivement, je les consulte assez souvent (Cedric a raison), surtout ces derniers temps, actualité oblige.
Entre le moment où j'ai écrit les lignes ci dessus, et maintenant, j'ai fait un petit host et whois sur le troisième site, héhéhéhé, c'est les mêmes, à un alias près ! Ca intéresserait un journaliste quelque part ?
:~$ host www.michaelmoore.com www.michaelmoore.com A 208.38.54.152 :~$ host www.gwu.edu www.gwu.edu A 128.164.127.251
Pour ces deux là, ce n'est pas bon.
http://english.aljazeera.net/HomePage
:~$ host english.aljazeera.net english.aljazeera.net CNAME wa9g1.services.icdsatt.net wa9g1.services.icdsatt.net A 12.120.9.19 english.aljazeera.net CNAME wa9g1.services.icdsatt.net wa9g1.services.icdsatt.net A 32.107.56.39
Pour celui-ci, ça semble s'approcher du but. En outre, c'est le même fournisseur derrière.
Je précise bien que je ne veux en aucun cas promouvoir la consultation de ces sites ni les idées qu'ils contiennent.
Cela va de soit ;)
-- MF> Comment faire pour rechercher par exemple tout les MF> dentistes ayant un email. Du côté de l'email, ça devrait aller, pour les dentistes ! -+- MG in : Guide du Neuneu d'Usenet - Carie me on -+-
cbr@elendil:~$ host www.michaelmoore.com
www.michaelmoore.com A 208.38.54.152
cbr@elendil:~$ host www.gwu.edu
www.gwu.edu A 128.164.127.251
Pour ces deux là, ce n'est pas bon.
http://english.aljazeera.net/HomePage
cbr@elendil:~$ host english.aljazeera.net
english.aljazeera.net CNAME wa9g1.services.icdsatt.net
wa9g1.services.icdsatt.net A 12.120.9.19
english.aljazeera.net CNAME wa9g1.services.icdsatt.net
wa9g1.services.icdsatt.net A 32.107.56.39
Pour celui-ci, ça semble s'approcher du but. En outre, c'est le même
fournisseur derrière.
Je précise bien que je ne veux en aucun cas promouvoir la consultation de
ces sites ni les idées qu'ils contiennent.
Cela va de soit ;)
--
MF> Comment faire pour rechercher par exemple tout les
MF> dentistes ayant un email.
Du côté de l'email, ça devrait aller, pour les dentistes !
-+- MG in : Guide du Neuneu d'Usenet - Carie me on -+-
:~$ host www.michaelmoore.com www.michaelmoore.com A 208.38.54.152 :~$ host www.gwu.edu www.gwu.edu A 128.164.127.251
Pour ces deux là, ce n'est pas bon.
http://english.aljazeera.net/HomePage
:~$ host english.aljazeera.net english.aljazeera.net CNAME wa9g1.services.icdsatt.net wa9g1.services.icdsatt.net A 12.120.9.19 english.aljazeera.net CNAME wa9g1.services.icdsatt.net wa9g1.services.icdsatt.net A 32.107.56.39
Pour celui-ci, ça semble s'approcher du but. En outre, c'est le même fournisseur derrière.
Je précise bien que je ne veux en aucun cas promouvoir la consultation de ces sites ni les idées qu'ils contiennent.
Cela va de soit ;)
-- MF> Comment faire pour rechercher par exemple tout les MF> dentistes ayant un email. Du côté de l'email, ça devrait aller, pour les dentistes ! -+- MG in : Guide du Neuneu d'Usenet - Carie me on -+-
HelloMan
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Bonjour
Je confirme ce que je disais dans mon post précédant, je viens, par acquis de conscience de faire un petit tour sur le 3è site dont je donnais l'adresse ci-dessus; ben plaf, ça manque pas. ça recommence, à donf, mais, élément nouveau, c'est différé de quelques minutes par rapport à la consultation des pages (bien sûr, je n'ai pas pensé à chronométrer, désolé)
soit au bas mot 31 paquets par minute 0,5/s en 7 minutes.
Je m'en tape le coquillard, c'est bloqué, je n'ai rien à me reprocher puisque je n'ai fait que consulter l'actualité, mais bon, je ne trouve pas cela très sympa, et si je ne loggais pas tout, je ne m'en serais même pas rendu compte. Et si cela n'avait pas été arrêté, ça aurait fait quoi ?
Existe t'il d'autres sites qui font ça ? Dans quel but ?
Je confirme ce que je disais dans mon post précédant, je viens, par acquis
de conscience de faire un petit tour sur le 3è site dont je donnais
l'adresse ci-dessus; ben plaf, ça manque pas. ça recommence, à donf, mais,
élément nouveau, c'est différé de quelques minutes par rapport à la
consultation des pages (bien sûr, je n'ai pas pensé à chronométrer, désolé)
soit au bas mot 31 paquets par minute 0,5/s en 7 minutes.
Je m'en tape le coquillard, c'est bloqué, je n'ai rien à me reprocher
puisque je n'ai fait que consulter l'actualité, mais bon, je ne trouve pas
cela très sympa, et si je ne loggais pas tout, je ne m'en serais même pas
rendu compte. Et si cela n'avait pas été arrêté, ça aurait fait quoi ?
Existe t'il d'autres sites qui font ça ? Dans quel but ?
Je confirme ce que je disais dans mon post précédant, je viens, par acquis de conscience de faire un petit tour sur le 3è site dont je donnais l'adresse ci-dessus; ben plaf, ça manque pas. ça recommence, à donf, mais, élément nouveau, c'est différé de quelques minutes par rapport à la consultation des pages (bien sûr, je n'ai pas pensé à chronométrer, désolé)
soit au bas mot 31 paquets par minute 0,5/s en 7 minutes.
Je m'en tape le coquillard, c'est bloqué, je n'ai rien à me reprocher puisque je n'ai fait que consulter l'actualité, mais bon, je ne trouve pas cela très sympa, et si je ne loggais pas tout, je ne m'en serais même pas rendu compte. Et si cela n'avait pas été arrêté, ça aurait fait quoi ?
Existe t'il d'autres sites qui font ça ? Dans quel but ?
Pour l'activité décrite ce matin, en analysant de plus près, tous les paquets ont la même source (voir posts précédants) et le même port source (80); cependant, les ports de destination changent (presque) à chaque fois:
(ceci, pour, je le répète: 220 paquets rejetés en 7 minutes)
est ce que l'on peut tirer quelque chose de ces dports ? (moi, à priori, ils ne m'évoquent rien). Dans l'absolu, on peut considérer cela comme un scan de ports non ? (malgré le flou juridique qui l'entoure, le scan de ports n'est pas vraiment légal, il me semble...)
merci de vos lumières.
-- HelloMan
Bonjour
Pour l'activité décrite ce matin, en analysant de plus près, tous les
paquets ont la même source (voir posts précédants) et le même port source
(80); cependant, les ports de destination changent (presque) à chaque fois:
(ceci, pour, je le répète: 220 paquets rejetés en 7 minutes)
est ce que l'on peut tirer quelque chose de ces dports ? (moi, à priori, ils
ne m'évoquent rien). Dans l'absolu, on peut considérer cela comme un scan
de ports non ? (malgré le flou juridique qui l'entoure, le scan de ports
n'est pas vraiment légal, il me semble...)
Pour l'activité décrite ce matin, en analysant de plus près, tous les paquets ont la même source (voir posts précédants) et le même port source (80); cependant, les ports de destination changent (presque) à chaque fois:
(ceci, pour, je le répète: 220 paquets rejetés en 7 minutes)
est ce que l'on peut tirer quelque chose de ces dports ? (moi, à priori, ils ne m'évoquent rien). Dans l'absolu, on peut considérer cela comme un scan de ports non ? (malgré le flou juridique qui l'entoure, le scan de ports n'est pas vraiment légal, il me semble...)
merci de vos lumières.
-- HelloMan
Cedric Blancher
Dans sa prose, HelloMan nous ecrivait :
Je confirme ce que je disais dans mon post précédant, je viens, par acquis de conscience de faire un petit tour sur le 3è site dont je donnais l'adresse ci-dessus; ben plaf, ça manque pas. ça recommence, à donf, mais, élément nouveau, c'est différé de quelques minutes par rapport à la consultation des pages (bien sûr, je n'ai pas pensé à chronométrer, désolé)
Tu devrais commencer par lancer un tcpdump, ou mieux, un ethereal avec le plugin TCP reassembly, pour vérifier un peu les flux que tu émets et ce qui revient... Juste pour regarder si tu n'as pas des RST en double ou des paquets qui se perdent.
-- Apres les neo-liberaux, les neo-marxistes, je ne doute meme pas de l'existence des neo-capitalistes, neo-euros et neo-homos. On a meme droit aux neo Linuxiens sous Windows (n'est pas neo-con qui veut). -+- ST in GFA : Cherche jeu pour neo geo -+-
Dans sa prose, HelloMan nous ecrivait :
Je confirme ce que je disais dans mon post précédant, je viens, par
acquis de conscience de faire un petit tour sur le 3è site dont je
donnais l'adresse ci-dessus; ben plaf, ça manque pas. ça recommence,
à donf, mais, élément nouveau, c'est différé de quelques minutes
par rapport à la consultation des pages (bien sûr, je n'ai pas pensé
à chronométrer, désolé)
Tu devrais commencer par lancer un tcpdump, ou mieux, un ethereal avec le
plugin TCP reassembly, pour vérifier un peu les flux que tu émets et ce
qui revient... Juste pour regarder si tu n'as pas des RST en double ou des
paquets qui se perdent.
--
Apres les neo-liberaux, les neo-marxistes, je ne doute meme pas de
l'existence des neo-capitalistes, neo-euros et neo-homos. On a meme droit
aux neo Linuxiens sous Windows (n'est pas neo-con qui veut).
-+- ST in GFA : Cherche jeu pour neo geo -+-
Je confirme ce que je disais dans mon post précédant, je viens, par acquis de conscience de faire un petit tour sur le 3è site dont je donnais l'adresse ci-dessus; ben plaf, ça manque pas. ça recommence, à donf, mais, élément nouveau, c'est différé de quelques minutes par rapport à la consultation des pages (bien sûr, je n'ai pas pensé à chronométrer, désolé)
Tu devrais commencer par lancer un tcpdump, ou mieux, un ethereal avec le plugin TCP reassembly, pour vérifier un peu les flux que tu émets et ce qui revient... Juste pour regarder si tu n'as pas des RST en double ou des paquets qui se perdent.
-- Apres les neo-liberaux, les neo-marxistes, je ne doute meme pas de l'existence des neo-capitalistes, neo-euros et neo-homos. On a meme droit aux neo Linuxiens sous Windows (n'est pas neo-con qui veut). -+- ST in GFA : Cherche jeu pour neo geo -+-
HelloMan
Cedric Blancher wrote:
Dans sa prose, HelloMan nous ecrivait :
Je confirme ce que je disais dans mon post précédant, je viens, par acquis de conscience de faire un petit tour sur le 3è site dont je donnais l'adresse ci-dessus; ben plaf, ça manque pas. ça recommence, à donf, mais, élément nouveau, c'est différé de quelques minutes par rapport à la consultation des pages (bien sûr, je n'ai pas pensé à chronométrer, désolé)
Tu devrais commencer par lancer un tcpdump, ou mieux, un ethereal avec le plugin TCP reassembly, pour vérifier un peu les flux que tu émets et ce qui revient... Juste pour regarder si tu n'as pas des RST en double ou des paquets qui se perdent.
Hmmm, ça veut dire ouvrir des ports... c'est risqué, chais pas trop, j'y avais pensé hier soir, pour ethereal...
mais comment faire avec Shorewall qui bloque en newnotsyn, les paquets bizarres ne passeront pas le firewall et franchement, j'ose pas trop le faire avec un firewall ouvert...
en fait, je manque de pratique pour faire ce genre de truc...
infos ??
merci
-- HelloMan
Cedric Blancher wrote:
Dans sa prose, HelloMan nous ecrivait :
Je confirme ce que je disais dans mon post précédant, je viens, par
acquis de conscience de faire un petit tour sur le 3è site dont je
donnais l'adresse ci-dessus; ben plaf, ça manque pas. ça recommence,
à donf, mais, élément nouveau, c'est différé de quelques minutes
par rapport à la consultation des pages (bien sûr, je n'ai pas pensé
à chronométrer, désolé)
Tu devrais commencer par lancer un tcpdump, ou mieux, un ethereal avec le
plugin TCP reassembly, pour vérifier un peu les flux que tu émets et ce
qui revient... Juste pour regarder si tu n'as pas des RST en double ou des
paquets qui se perdent.
Hmmm, ça veut dire ouvrir des ports... c'est risqué, chais pas trop, j'y
avais pensé hier soir, pour ethereal...
mais comment faire avec Shorewall qui bloque en newnotsyn, les paquets
bizarres ne passeront pas le firewall et franchement, j'ose pas trop le
faire avec un firewall ouvert...
en fait, je manque de pratique pour faire ce genre de truc...
Je confirme ce que je disais dans mon post précédant, je viens, par acquis de conscience de faire un petit tour sur le 3è site dont je donnais l'adresse ci-dessus; ben plaf, ça manque pas. ça recommence, à donf, mais, élément nouveau, c'est différé de quelques minutes par rapport à la consultation des pages (bien sûr, je n'ai pas pensé à chronométrer, désolé)
Tu devrais commencer par lancer un tcpdump, ou mieux, un ethereal avec le plugin TCP reassembly, pour vérifier un peu les flux que tu émets et ce qui revient... Juste pour regarder si tu n'as pas des RST en double ou des paquets qui se perdent.
Hmmm, ça veut dire ouvrir des ports... c'est risqué, chais pas trop, j'y avais pensé hier soir, pour ethereal...
mais comment faire avec Shorewall qui bloque en newnotsyn, les paquets bizarres ne passeront pas le firewall et franchement, j'ose pas trop le faire avec un firewall ouvert...
en fait, je manque de pratique pour faire ce genre de truc...
infos ??
merci
-- HelloMan
HelloMan
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Tu devrais commencer par lancer un tcpdump, ou mieux, un ethereal avec le plugin TCP reassembly, pour vérifier un peu les flux que tu émets et ce qui revient... Juste pour regarder si tu n'as pas des RST en double ou des paquets qui se perdent.
Je viens de tenter le coup, sans toucher au firewall (pas de risques inutiles). Je n'ai même pas eu le temps de lancer la capture par ethereal...
voilà ce que ça donne au niveau de snort (scan.log):!
inutile de dire que j'ai immédiatement refermé le browser.
Par acquis de conscience, pour vérifier que ça ne j'ai vérifié après en ouvrant des pages web classiques mais réputées comme "sûres" (il se peut en effet que j'aie chopé un backdoor). genre www.yahoo.fr, libération, le monde, club-internet, wanadoo, etc... sur toutes les pages ouvertes de cette façon, je n'ai eu que ça:
12/17-15:12:00.955823 ICMP src: 195.36.194.233 dst: 213.228.0.42 type: 8 code: 0 tgts: 7 event_id: 14 (vraisemblablement due à un popup)
Tu devrais commencer par lancer un tcpdump, ou mieux, un ethereal avec le
plugin TCP reassembly, pour vérifier un peu les flux que tu émets et ce
qui revient... Juste pour regarder si tu n'as pas des RST en double ou des
paquets qui se perdent.
Je viens de tenter le coup, sans toucher au firewall (pas de risques
inutiles). Je n'ai même pas eu le temps de lancer la capture par
ethereal...
voilà ce que ça donne au niveau de snort (scan.log):!
inutile de dire que j'ai immédiatement refermé le browser.
Par acquis de conscience, pour vérifier que ça ne j'ai vérifié après en
ouvrant des pages web classiques mais réputées comme "sûres" (il se peut en
effet que j'aie chopé un backdoor). genre www.yahoo.fr, libération, le
monde, club-internet, wanadoo, etc... sur toutes les pages ouvertes de
cette façon, je n'ai eu que ça:
12/17-15:12:00.955823 ICMP src: 195.36.194.233 dst: 213.228.0.42 type: 8
code: 0 tgts: 7 event_id: 14 (vraisemblablement due à un popup)
Tu devrais commencer par lancer un tcpdump, ou mieux, un ethereal avec le plugin TCP reassembly, pour vérifier un peu les flux que tu émets et ce qui revient... Juste pour regarder si tu n'as pas des RST en double ou des paquets qui se perdent.
Je viens de tenter le coup, sans toucher au firewall (pas de risques inutiles). Je n'ai même pas eu le temps de lancer la capture par ethereal...
voilà ce que ça donne au niveau de snort (scan.log):!
inutile de dire que j'ai immédiatement refermé le browser.
Par acquis de conscience, pour vérifier que ça ne j'ai vérifié après en ouvrant des pages web classiques mais réputées comme "sûres" (il se peut en effet que j'aie chopé un backdoor). genre www.yahoo.fr, libération, le monde, club-internet, wanadoo, etc... sur toutes les pages ouvertes de cette façon, je n'ai eu que ça:
12/17-15:12:00.955823 ICMP src: 195.36.194.233 dst: 213.228.0.42 type: 8 code: 0 tgts: 7 event_id: 14 (vraisemblablement due à un popup)
et ils ne m'évoquent toujours rien. Par contre, si j'ai eu des alertes snort tout à l'heure, je n'ai plus rien eu au moment de l'arrivée des paquets newnotsyn. Pour infos, au moment de l'arrivée de ceux ci, j'avais tout fermé (browser, news, mail) et me préparais à quitter la session.
Faudrait faire ça avec un ethereal, mais je ne vois pas trop comment sans ouvrir des ports sur le fw et ça serait un peu risqué.
Peut être avec un honeyd correctement configuré, mais je n'ai pas ça en stock.
Ca me rapelle quand j'étais à l'armée:
"y a pas un volontaire parmi vous ?"
J'ai beau retourner le problème dans tous les sens, j'ai peut être attrapé une bestiole qq part, mais je ne vois pas où ni comment (attention, je ne suis pas infaillible), les ps et netstat "semblent" normaux.
-- HelloMan
Donc j'ai refait un test, avec ethereal, mais firewall fermé; consultation
de plusieurs pages dudit site vers 16h00; inmanquablement; c'est reparti
Pour infos, ethereal n'a rien donné, j'avais lancé un enregistrement en
consultant les pages, mais rien de particulier.
Donc, consultation des pages à 16h00 environ, et à partir de 16:12:32, vous
connaissez la musique:
Dec 17 16:12:32 msi kernel: Shorewall:newnotsyn:DROP:IN=ppp0 OUT= MAC SRC2.107.37.21 DST5.36.194.233 LENA TOS=0x08 PREC=0x00 TTL9
IDP127 DF PROTO=TCP SPT DPT843 WINDOWV31 RES=0x00 ACK URGP=0
en masse (raisonnable) toujours la même adresse source jusqu'à 16:43:52
et ils ne m'évoquent toujours rien. Par contre, si j'ai eu des alertes snort
tout à l'heure, je n'ai plus rien eu au moment de l'arrivée des paquets
newnotsyn. Pour infos, au moment de l'arrivée de ceux ci, j'avais tout
fermé (browser, news, mail) et me préparais à quitter la session.
Faudrait faire ça avec un ethereal, mais je ne vois pas trop comment sans
ouvrir des ports sur le fw et ça serait un peu risqué.
Peut être avec un honeyd correctement configuré, mais je n'ai pas ça en
stock.
Ca me rapelle quand j'étais à l'armée:
"y a pas un volontaire parmi vous ?"
J'ai beau retourner le problème dans tous les sens, j'ai peut être attrapé
une bestiole qq part, mais je ne vois pas où ni comment (attention, je ne
suis pas infaillible), les ps et netstat "semblent" normaux.
et ils ne m'évoquent toujours rien. Par contre, si j'ai eu des alertes snort tout à l'heure, je n'ai plus rien eu au moment de l'arrivée des paquets newnotsyn. Pour infos, au moment de l'arrivée de ceux ci, j'avais tout fermé (browser, news, mail) et me préparais à quitter la session.
Faudrait faire ça avec un ethereal, mais je ne vois pas trop comment sans ouvrir des ports sur le fw et ça serait un peu risqué.
Peut être avec un honeyd correctement configuré, mais je n'ai pas ça en stock.
Ca me rapelle quand j'étais à l'armée:
"y a pas un volontaire parmi vous ?"
J'ai beau retourner le problème dans tous les sens, j'ai peut être attrapé une bestiole qq part, mais je ne vois pas où ni comment (attention, je ne suis pas infaillible), les ps et netstat "semblent" normaux.