voilà ce que ça donne au niveau de snort (scan.log):! juste pour
l'ouverture de la page de garde.
12/17-15:01:48.432407 TCP src: 195.36.194.233 dst: 144.85.15.51 sport:
34466 dport: 80 tgts: 7 ports: 7 flags: ******S* event_id: 12
12/17-15:01:53.872644 TCP src: 195.36.194.233 dst: 198.108.0.18 sport:
34467 dport: 43 tgts: 8 ports: 8 flags: ******S* event_id: 12
12/17-15:01:58.526903 UDP src: 195.36.194.233 dst: 194.117.200.15
sport: 33342 dport: 53 tgts: 9 ports: 9 event_id: 12
12/17-15:01:59.070840 UDP src: 195.36.194.233 dst: 154.11.145.2 sport:
33342 dport: 53 tgts: 10 ports: 10 event_id: 12
12/17-15:01:59.242115 UDP src: 195.36.194.233 dst: 154.11.136.2 sport:
33342 dport: 53 tgts: 11 ports: 11 event_id: 12
12/17-15:02:00.281091 ICMP src: 195.36.194.233 dst: 213.228.0.42 type: 8
code: 0 tgts: 12 event_id: 12
12/17-15:02:20.208922 UDP src: 195.36.194.233 dst: 211.232.1.1 sport:
33342 dport: 53 tgts: 13 ports: 13 event_id: 12
12/17-15:02:20.586172 UDP src: 195.36.194.233 dst: 211.232.1.2 sport:
33342 dport: 53 tgts: 14 ports: 14 event_id: 12
12/17-15:02:23.385038 ICMP src: 195.36.194.233 dst: 145.254.215.133
type: 3 code: 3 tgts: 15 event_id: 12
12/17-15:02:24.958431 UDP src: 195.36.194.233 dst: 210.217.192.1 sport:
33342 dport: 53 tgts: 16 ports: 16 event_id: 12
12/17-15:11:32.382952 TCP src: 195.36.194.233 dst: 194.158.126.24 sport:
34509 dport: 80 tgts: 6 ports: 6 flags: ******S* event_id: 0
inutile de dire que j'ai immédiatement refermé le browser.
Par acquis de conscience, pour vérifier que ça ne j'ai vérifié
après en ouvrant des pages web classiques mais réputées comme
"sûres" (il se peut en effet que j'aie chopé un backdoor). genre
www.yahoo.fr, libération, le monde, club-internet, wanadoo, etc... sur
toutes les pages ouvertes de cette façon, je n'ai eu que ça:
12/17-15:12:00.955823 ICMP src: 195.36.194.233 dst: 213.228.0.42 type:
8 code: 0 tgts: 7 event_id: 14 (vraisemblablement due à un popup)
heu, on fait quoi là dans ces conditions ??
voilà ce que ça donne au niveau de snort (scan.log):! juste pour
l'ouverture de la page de garde.
12/17-15:01:48.432407 TCP src: 195.36.194.233 dst: 144.85.15.51 sport:
34466 dport: 80 tgts: 7 ports: 7 flags: ******S* event_id: 12
12/17-15:01:53.872644 TCP src: 195.36.194.233 dst: 198.108.0.18 sport:
34467 dport: 43 tgts: 8 ports: 8 flags: ******S* event_id: 12
12/17-15:01:58.526903 UDP src: 195.36.194.233 dst: 194.117.200.15
sport: 33342 dport: 53 tgts: 9 ports: 9 event_id: 12
12/17-15:01:59.070840 UDP src: 195.36.194.233 dst: 154.11.145.2 sport:
33342 dport: 53 tgts: 10 ports: 10 event_id: 12
12/17-15:01:59.242115 UDP src: 195.36.194.233 dst: 154.11.136.2 sport:
33342 dport: 53 tgts: 11 ports: 11 event_id: 12
12/17-15:02:00.281091 ICMP src: 195.36.194.233 dst: 213.228.0.42 type: 8
code: 0 tgts: 12 event_id: 12
12/17-15:02:20.208922 UDP src: 195.36.194.233 dst: 211.232.1.1 sport:
33342 dport: 53 tgts: 13 ports: 13 event_id: 12
12/17-15:02:20.586172 UDP src: 195.36.194.233 dst: 211.232.1.2 sport:
33342 dport: 53 tgts: 14 ports: 14 event_id: 12
12/17-15:02:23.385038 ICMP src: 195.36.194.233 dst: 145.254.215.133
type: 3 code: 3 tgts: 15 event_id: 12
12/17-15:02:24.958431 UDP src: 195.36.194.233 dst: 210.217.192.1 sport:
33342 dport: 53 tgts: 16 ports: 16 event_id: 12
12/17-15:11:32.382952 TCP src: 195.36.194.233 dst: 194.158.126.24 sport:
34509 dport: 80 tgts: 6 ports: 6 flags: ******S* event_id: 0
inutile de dire que j'ai immédiatement refermé le browser.
Par acquis de conscience, pour vérifier que ça ne j'ai vérifié
après en ouvrant des pages web classiques mais réputées comme
"sûres" (il se peut en effet que j'aie chopé un backdoor). genre
www.yahoo.fr, libération, le monde, club-internet, wanadoo, etc... sur
toutes les pages ouvertes de cette façon, je n'ai eu que ça:
12/17-15:12:00.955823 ICMP src: 195.36.194.233 dst: 213.228.0.42 type:
8 code: 0 tgts: 7 event_id: 14 (vraisemblablement due à un popup)
heu, on fait quoi là dans ces conditions ??
voilà ce que ça donne au niveau de snort (scan.log):! juste pour
l'ouverture de la page de garde.
12/17-15:01:48.432407 TCP src: 195.36.194.233 dst: 144.85.15.51 sport:
34466 dport: 80 tgts: 7 ports: 7 flags: ******S* event_id: 12
12/17-15:01:53.872644 TCP src: 195.36.194.233 dst: 198.108.0.18 sport:
34467 dport: 43 tgts: 8 ports: 8 flags: ******S* event_id: 12
12/17-15:01:58.526903 UDP src: 195.36.194.233 dst: 194.117.200.15
sport: 33342 dport: 53 tgts: 9 ports: 9 event_id: 12
12/17-15:01:59.070840 UDP src: 195.36.194.233 dst: 154.11.145.2 sport:
33342 dport: 53 tgts: 10 ports: 10 event_id: 12
12/17-15:01:59.242115 UDP src: 195.36.194.233 dst: 154.11.136.2 sport:
33342 dport: 53 tgts: 11 ports: 11 event_id: 12
12/17-15:02:00.281091 ICMP src: 195.36.194.233 dst: 213.228.0.42 type: 8
code: 0 tgts: 12 event_id: 12
12/17-15:02:20.208922 UDP src: 195.36.194.233 dst: 211.232.1.1 sport:
33342 dport: 53 tgts: 13 ports: 13 event_id: 12
12/17-15:02:20.586172 UDP src: 195.36.194.233 dst: 211.232.1.2 sport:
33342 dport: 53 tgts: 14 ports: 14 event_id: 12
12/17-15:02:23.385038 ICMP src: 195.36.194.233 dst: 145.254.215.133
type: 3 code: 3 tgts: 15 event_id: 12
12/17-15:02:24.958431 UDP src: 195.36.194.233 dst: 210.217.192.1 sport:
33342 dport: 53 tgts: 16 ports: 16 event_id: 12
12/17-15:11:32.382952 TCP src: 195.36.194.233 dst: 194.158.126.24 sport:
34509 dport: 80 tgts: 6 ports: 6 flags: ******S* event_id: 0
inutile de dire que j'ai immédiatement refermé le browser.
Par acquis de conscience, pour vérifier que ça ne j'ai vérifié
après en ouvrant des pages web classiques mais réputées comme
"sûres" (il se peut en effet que j'aie chopé un backdoor). genre
www.yahoo.fr, libération, le monde, club-internet, wanadoo, etc... sur
toutes les pages ouvertes de cette façon, je n'ai eu que ça:
12/17-15:12:00.955823 ICMP src: 195.36.194.233 dst: 213.228.0.42 type:
8 code: 0 tgts: 7 event_id: 14 (vraisemblablement due à un popup)
heu, on fait quoi là dans ces conditions ??
Dans sa prose, HelloMan nous ecrivait :voilà ce que ça donne au niveau de snort (scan.log):! juste pour
l'ouverture de la page de garde.
OK, let's analyse this...12/17-15:01:48.432407 TCP src: 195.36.194.233 dst: 144.85.15.51 sport:
34466 dport: 80 tgts: 7 ports: 7 flags: ******S* event_id: 12
TCP SYN de 195.36.194.233 à destination du port 80 de 144.85.15.51. C'est
une demande d'ouverture de connexion, vraisemblablement pour aller sur le
site web.
:~$ host 195.36.194.233
Name: l01m-23-233.d2.club-internet.fr
Address: 195.36.194.233
Je présume que c'est toi ça ;)
12/17-15:01:53.872644 TCP src: 195.36.194.233 dst: 198.108.0.18 sport:
34467 dport: 43 tgts: 8 ports: 8 flags: ******S* event_id: 12
Toujours toi, qui essaye de te connecter au port 43 de 198.108.0.18, aka
rpsl-p.merit.edu. Pourquoi ? Je ne sais pas, mais en tout cas, ça répond
fermé de l'autre côté :
:~$ nc rpsl-p.merit.edu 80
rpsl-p.merit.edu [198.108.0.18] 80 (www) : Connection refused
12/17-15:01:58.526903 UDP src: 195.36.194.233 dst: 194.117.200.15
sport: 33342 dport: 53 tgts: 9 ports: 9 event_id: 12
Tu fais une requête DNS vers le DNS de ton FAI :
:~$ host 194.117.200.15
Name: ns2.club-internet.fr
Address: 194.117.200.15
12/17-15:01:59.070840 UDP src: 195.36.194.233 dst: 154.11.145.2 sport:
33342 dport: 53 tgts: 10 ports: 10 event_id: 12
Encore toi la source... Encore une requête DNS, mais cette fois
ailleurs...
:~$ host 154.11.145.2
Name: pri2.dns.ca.telus.com
Address: 154.11.145.2
Pourquoi tu vas taper là-bas, y'a que toi qui puisse le dire.
12/17-15:01:59.242115 UDP src: 195.36.194.233 dst: 154.11.136.2 sport:
33342 dport: 53 tgts: 11 ports: 11 event_id: 12
144.85.15.51
Et on remet le couvert sur le même serveur DNS...12/17-15:02:00.281091 ICMP src: 195.36.194.233 dst: 213.228.0.42 type: 8
code: 0 tgts: 12 event_id: 12
Là, tu réponds à un ping de la machine 213.228.0.42 qui n'est autre que
le web de Free :
:~$ host 213.228.0.42
Name: www1.free.fr
Address: 213.228.0.42
12/17-15:02:20.208922 UDP src: 195.36.194.233 dst: 211.232.1.1 sport:
33342 dport: 53 tgts: 13 ports: 13 event_id: 12
Décidemment, tu ne te lasses pas de faire joujou avec la DNS...
:~$ host 211.232.1.1
Name: ns1.intertns.com
Address: 211.232.1.1
12/17-15:02:20.586172 UDP src: 195.36.194.233 dst: 211.232.1.2 sport:
33342 dport: 53 tgts: 14 ports: 14 event_id: 12
Rebelotte.
:~$ host 211.232.1.2
Name: ns2.intertns.com
Address: 211.232.1.2
12/17-15:02:23.385038 ICMP src: 195.36.194.233 dst: 145.254.215.133
type: 3 code: 3 tgts: 15 event_id: 12
Là, tu renvoies une erreur ICMP. C'est déjà plus étrange. Type 3, code
3, c'est protocol unreachable, c'est à dire que la machine d'en face
essaye de communiquer avec un protocole de transport qui n'est pas
supporté par ta stack IP. Si on avait la trace complète de cet ICMP, on
pourrait aller plus loin.
Par acquis de conscience, pour vérifier que ça ne j'ai vérifié
après en ouvrant des pages web classiques mais réputées comme
"sûres" (il se peut en effet que j'aie chopé un backdoor). genre
www.yahoo.fr, libération, le monde, club-internet, wanadoo, etc... sur
toutes les pages ouvertes de cette façon, je n'ai eu que ça:
12/17-15:12:00.955823 ICMP src: 195.36.194.233 dst: 213.228.0.42 type:
8 code: 0 tgts: 7 event_id: 14 (vraisemblablement due à un popup)
C'est un réponse à un ping, comme tout à l'heure, toujours pour le site
de Free. Donc rien à voir avec tes Yahoo, Libération et autres Le Monde.
heu, on fait quoi là dans ces conditions ??
On apprend à lire un log Snort ? :)
Va vraiment falloir que tu sortes ton ethereal parce que là, il n'y a
rien, amha, de terriblement vilain dans tout ça. D'autant que tous ces
paquets proviennent de _ton_ réseau, et qu'on n'a pas le trafic dans
l'autre sens, i.e. ce que les autres t'envoient. Or, c'est plus ce que tu
reçois qui nous importe en l'occurence.
Je jetterais quand même un coup d'oeil à ma configuration DNS si
j'étais toi, parce que c'est pas trop normal d'aller taper autant de
serveurs. T'aurais pas un cache DNS configuré sans forwarder (ou avec les
serveurs cités en forwarder) ?
Dans sa prose, HelloMan nous ecrivait :
voilà ce que ça donne au niveau de snort (scan.log):! juste pour
l'ouverture de la page de garde.
OK, let's analyse this...
12/17-15:01:48.432407 TCP src: 195.36.194.233 dst: 144.85.15.51 sport:
34466 dport: 80 tgts: 7 ports: 7 flags: ******S* event_id: 12
TCP SYN de 195.36.194.233 à destination du port 80 de 144.85.15.51. C'est
une demande d'ouverture de connexion, vraisemblablement pour aller sur le
site web.
cbr@elendil:~$ host 195.36.194.233
Name: l01m-23-233.d2.club-internet.fr
Address: 195.36.194.233
Je présume que c'est toi ça ;)
12/17-15:01:53.872644 TCP src: 195.36.194.233 dst: 198.108.0.18 sport:
34467 dport: 43 tgts: 8 ports: 8 flags: ******S* event_id: 12
Toujours toi, qui essaye de te connecter au port 43 de 198.108.0.18, aka
rpsl-p.merit.edu. Pourquoi ? Je ne sais pas, mais en tout cas, ça répond
fermé de l'autre côté :
cbr@elendil:~$ nc rpsl-p.merit.edu 80
rpsl-p.merit.edu [198.108.0.18] 80 (www) : Connection refused
12/17-15:01:58.526903 UDP src: 195.36.194.233 dst: 194.117.200.15
sport: 33342 dport: 53 tgts: 9 ports: 9 event_id: 12
Tu fais une requête DNS vers le DNS de ton FAI :
cbr@elendil:~$ host 194.117.200.15
Name: ns2.club-internet.fr
Address: 194.117.200.15
12/17-15:01:59.070840 UDP src: 195.36.194.233 dst: 154.11.145.2 sport:
33342 dport: 53 tgts: 10 ports: 10 event_id: 12
Encore toi la source... Encore une requête DNS, mais cette fois
ailleurs...
cbr@elendil:~$ host 154.11.145.2
Name: pri2.dns.ca.telus.com
Address: 154.11.145.2
Pourquoi tu vas taper là-bas, y'a que toi qui puisse le dire.
12/17-15:01:59.242115 UDP src: 195.36.194.233 dst: 154.11.136.2 sport:
33342 dport: 53 tgts: 11 ports: 11 event_id: 12
144.85.15.51
Et on remet le couvert sur le même serveur DNS...
12/17-15:02:00.281091 ICMP src: 195.36.194.233 dst: 213.228.0.42 type: 8
code: 0 tgts: 12 event_id: 12
Là, tu réponds à un ping de la machine 213.228.0.42 qui n'est autre que
le web de Free :
cbr@elendil:~$ host 213.228.0.42
Name: www1.free.fr
Address: 213.228.0.42
12/17-15:02:20.208922 UDP src: 195.36.194.233 dst: 211.232.1.1 sport:
33342 dport: 53 tgts: 13 ports: 13 event_id: 12
Décidemment, tu ne te lasses pas de faire joujou avec la DNS...
cbr@elendil:~$ host 211.232.1.1
Name: ns1.intertns.com
Address: 211.232.1.1
12/17-15:02:20.586172 UDP src: 195.36.194.233 dst: 211.232.1.2 sport:
33342 dport: 53 tgts: 14 ports: 14 event_id: 12
Rebelotte.
cbr@elendil:~$ host 211.232.1.2
Name: ns2.intertns.com
Address: 211.232.1.2
12/17-15:02:23.385038 ICMP src: 195.36.194.233 dst: 145.254.215.133
type: 3 code: 3 tgts: 15 event_id: 12
Là, tu renvoies une erreur ICMP. C'est déjà plus étrange. Type 3, code
3, c'est protocol unreachable, c'est à dire que la machine d'en face
essaye de communiquer avec un protocole de transport qui n'est pas
supporté par ta stack IP. Si on avait la trace complète de cet ICMP, on
pourrait aller plus loin.
Par acquis de conscience, pour vérifier que ça ne j'ai vérifié
après en ouvrant des pages web classiques mais réputées comme
"sûres" (il se peut en effet que j'aie chopé un backdoor). genre
www.yahoo.fr, libération, le monde, club-internet, wanadoo, etc... sur
toutes les pages ouvertes de cette façon, je n'ai eu que ça:
12/17-15:12:00.955823 ICMP src: 195.36.194.233 dst: 213.228.0.42 type:
8 code: 0 tgts: 7 event_id: 14 (vraisemblablement due à un popup)
C'est un réponse à un ping, comme tout à l'heure, toujours pour le site
de Free. Donc rien à voir avec tes Yahoo, Libération et autres Le Monde.
heu, on fait quoi là dans ces conditions ??
On apprend à lire un log Snort ? :)
Va vraiment falloir que tu sortes ton ethereal parce que là, il n'y a
rien, amha, de terriblement vilain dans tout ça. D'autant que tous ces
paquets proviennent de _ton_ réseau, et qu'on n'a pas le trafic dans
l'autre sens, i.e. ce que les autres t'envoient. Or, c'est plus ce que tu
reçois qui nous importe en l'occurence.
Je jetterais quand même un coup d'oeil à ma configuration DNS si
j'étais toi, parce que c'est pas trop normal d'aller taper autant de
serveurs. T'aurais pas un cache DNS configuré sans forwarder (ou avec les
serveurs cités en forwarder) ?
Dans sa prose, HelloMan nous ecrivait :voilà ce que ça donne au niveau de snort (scan.log):! juste pour
l'ouverture de la page de garde.
OK, let's analyse this...12/17-15:01:48.432407 TCP src: 195.36.194.233 dst: 144.85.15.51 sport:
34466 dport: 80 tgts: 7 ports: 7 flags: ******S* event_id: 12
TCP SYN de 195.36.194.233 à destination du port 80 de 144.85.15.51. C'est
une demande d'ouverture de connexion, vraisemblablement pour aller sur le
site web.
:~$ host 195.36.194.233
Name: l01m-23-233.d2.club-internet.fr
Address: 195.36.194.233
Je présume que c'est toi ça ;)
12/17-15:01:53.872644 TCP src: 195.36.194.233 dst: 198.108.0.18 sport:
34467 dport: 43 tgts: 8 ports: 8 flags: ******S* event_id: 12
Toujours toi, qui essaye de te connecter au port 43 de 198.108.0.18, aka
rpsl-p.merit.edu. Pourquoi ? Je ne sais pas, mais en tout cas, ça répond
fermé de l'autre côté :
:~$ nc rpsl-p.merit.edu 80
rpsl-p.merit.edu [198.108.0.18] 80 (www) : Connection refused
12/17-15:01:58.526903 UDP src: 195.36.194.233 dst: 194.117.200.15
sport: 33342 dport: 53 tgts: 9 ports: 9 event_id: 12
Tu fais une requête DNS vers le DNS de ton FAI :
:~$ host 194.117.200.15
Name: ns2.club-internet.fr
Address: 194.117.200.15
12/17-15:01:59.070840 UDP src: 195.36.194.233 dst: 154.11.145.2 sport:
33342 dport: 53 tgts: 10 ports: 10 event_id: 12
Encore toi la source... Encore une requête DNS, mais cette fois
ailleurs...
:~$ host 154.11.145.2
Name: pri2.dns.ca.telus.com
Address: 154.11.145.2
Pourquoi tu vas taper là-bas, y'a que toi qui puisse le dire.
12/17-15:01:59.242115 UDP src: 195.36.194.233 dst: 154.11.136.2 sport:
33342 dport: 53 tgts: 11 ports: 11 event_id: 12
144.85.15.51
Et on remet le couvert sur le même serveur DNS...12/17-15:02:00.281091 ICMP src: 195.36.194.233 dst: 213.228.0.42 type: 8
code: 0 tgts: 12 event_id: 12
Là, tu réponds à un ping de la machine 213.228.0.42 qui n'est autre que
le web de Free :
:~$ host 213.228.0.42
Name: www1.free.fr
Address: 213.228.0.42
12/17-15:02:20.208922 UDP src: 195.36.194.233 dst: 211.232.1.1 sport:
33342 dport: 53 tgts: 13 ports: 13 event_id: 12
Décidemment, tu ne te lasses pas de faire joujou avec la DNS...
:~$ host 211.232.1.1
Name: ns1.intertns.com
Address: 211.232.1.1
12/17-15:02:20.586172 UDP src: 195.36.194.233 dst: 211.232.1.2 sport:
33342 dport: 53 tgts: 14 ports: 14 event_id: 12
Rebelotte.
:~$ host 211.232.1.2
Name: ns2.intertns.com
Address: 211.232.1.2
12/17-15:02:23.385038 ICMP src: 195.36.194.233 dst: 145.254.215.133
type: 3 code: 3 tgts: 15 event_id: 12
Là, tu renvoies une erreur ICMP. C'est déjà plus étrange. Type 3, code
3, c'est protocol unreachable, c'est à dire que la machine d'en face
essaye de communiquer avec un protocole de transport qui n'est pas
supporté par ta stack IP. Si on avait la trace complète de cet ICMP, on
pourrait aller plus loin.
Par acquis de conscience, pour vérifier que ça ne j'ai vérifié
après en ouvrant des pages web classiques mais réputées comme
"sûres" (il se peut en effet que j'aie chopé un backdoor). genre
www.yahoo.fr, libération, le monde, club-internet, wanadoo, etc... sur
toutes les pages ouvertes de cette façon, je n'ai eu que ça:
12/17-15:12:00.955823 ICMP src: 195.36.194.233 dst: 213.228.0.42 type:
8 code: 0 tgts: 7 event_id: 14 (vraisemblablement due à un popup)
C'est un réponse à un ping, comme tout à l'heure, toujours pour le site
de Free. Donc rien à voir avec tes Yahoo, Libération et autres Le Monde.
heu, on fait quoi là dans ces conditions ??
On apprend à lire un log Snort ? :)
Va vraiment falloir que tu sortes ton ethereal parce que là, il n'y a
rien, amha, de terriblement vilain dans tout ça. D'autant que tous ces
paquets proviennent de _ton_ réseau, et qu'on n'a pas le trafic dans
l'autre sens, i.e. ce que les autres t'envoient. Or, c'est plus ce que tu
reçois qui nous importe en l'occurence.
Je jetterais quand même un coup d'oeil à ma configuration DNS si
j'étais toi, parce que c'est pas trop normal d'aller taper autant de
serveurs. T'aurais pas un cache DNS configuré sans forwarder (ou avec les
serveurs cités en forwarder) ?
forwarders {
194.117.200.10;
194.117.200.15;
};
forward first;
(et re-snip)
qu'il me semble important de résoudre en premier lieu (je pense soit à un
backdoor, soit à un spyware, soit à ce que ce soit le DNS de club-internet
qui fait un lui même un forward vers d'autres DNS en cas de surcharge et
que je me récupère les données du serveur DNS forwardé à la place de
ns1.club-internet.fr)
forwarders {
194.117.200.10;
194.117.200.15;
};
forward first;
(et re-snip)
qu'il me semble important de résoudre en premier lieu (je pense soit à un
backdoor, soit à un spyware, soit à ce que ce soit le DNS de club-internet
qui fait un lui même un forward vers d'autres DNS en cas de surcharge et
que je me récupère les données du serveur DNS forwardé à la place de
ns1.club-internet.fr)
forwarders {
194.117.200.10;
194.117.200.15;
};
forward first;
(et re-snip)
qu'il me semble important de résoudre en premier lieu (je pense soit à un
backdoor, soit à un spyware, soit à ce que ce soit le DNS de club-internet
qui fait un lui même un forward vers d'autres DNS en cas de surcharge et
que je me récupère les données du serveur DNS forwardé à la place de
ns1.club-internet.fr)
Faudrait faire ça avec un ethereal, mais je ne vois pas trop comment sans
ouvrir des ports sur le fw et ça serait un peu risqué.
Faudrait faire ça avec un ethereal, mais je ne vois pas trop comment sans
ouvrir des ports sur le fw et ça serait un peu risqué.
Faudrait faire ça avec un ethereal, mais je ne vois pas trop comment sans
ouvrir des ports sur le fw et ça serait un peu risqué.
Donc, consultation des pages à 16h00 environ, et à partir de 16:12:32,
Dec 17 16:12:32 msi kernel: Shorewall:newnotsyn:DROP:IN=ppp0 OUT= MAC > SRC2.107.37.21 DST5.36.194.233 LENA TOS=0x08 PREC=0x00 TTL9
IDP127 DF PROTO=TCP SPT DPT843 WINDOWV31 RES=0x00 ACK URGP=0
en masse (raisonnable) toujours la même adresse source jusqu'à 16:43:52
les ports de destination sont les suivants:
# grep 32.107.37.21 /var/log/syslog | grep 'Dec 17 16' | cut -d' ' -f19 |
sort | uniq
DPT843
DPT86
DPT818
[...]
et ils ne m'évoquent toujours rien.
Donc, consultation des pages à 16h00 environ, et à partir de 16:12:32,
Dec 17 16:12:32 msi kernel: Shorewall:newnotsyn:DROP:IN=ppp0 OUT= MAC > SRC2.107.37.21 DST5.36.194.233 LENA TOS=0x08 PREC=0x00 TTL9
IDP127 DF PROTO=TCP SPT DPT843 WINDOWV31 RES=0x00 ACK URGP=0
en masse (raisonnable) toujours la même adresse source jusqu'à 16:43:52
les ports de destination sont les suivants:
# grep 32.107.37.21 /var/log/syslog | grep 'Dec 17 16' | cut -d' ' -f19 |
sort | uniq
DPT843
DPT86
DPT818
[...]
et ils ne m'évoquent toujours rien.
Donc, consultation des pages à 16h00 environ, et à partir de 16:12:32,
Dec 17 16:12:32 msi kernel: Shorewall:newnotsyn:DROP:IN=ppp0 OUT= MAC > SRC2.107.37.21 DST5.36.194.233 LENA TOS=0x08 PREC=0x00 TTL9
IDP127 DF PROTO=TCP SPT DPT843 WINDOWV31 RES=0x00 ACK URGP=0
en masse (raisonnable) toujours la même adresse source jusqu'à 16:43:52
les ports de destination sont les suivants:
# grep 32.107.37.21 /var/log/syslog | grep 'Dec 17 16' | cut -d' ' -f19 |
sort | uniq
DPT843
DPT86
DPT818
[...]
et ils ne m'évoquent toujours rien.
(Cedric 3/3 c'est port unreachable, pas proto unreachable 3/2).
(Cedric 3/3 c'est port unreachable, pas proto unreachable 3/2).
(Cedric 3/3 c'est port unreachable, pas proto unreachable 3/2).
Salut,
On 17 Dec 2003 17:49:09 GMT, HelloMan wrote:Donc, consultation des pages à 16h00 environ, et à partir de 16:12:32,
Ce serait bien d'avoir le délai exact entre la dernière connexion et le
premier paquet "bizarre".
Ce sont des paquets d'une connexion HTTP établie précédemment, et que le
serveur de destination ne considère aparemment pas comme fermée (alors que
ton firewall a déjà "oublié" l'existance de cette connexion). Et si le
paquet est "droppé" sans renvoyer un RST ou un ICMP, le serveur continue à
penser que la connexion est établie, et qu'il ne fait que perdre des
paquets, donc il recommencera, encore et encore, jusqu'à en avoir
définitivement marre.en masse (raisonnable) toujours la même adresse source jusqu'à 16:43:52
C'est bizarre que ça dure aussi longtemps, j'aurais eu tendance à penser
qu'une session TCP sans aucune réponse tiendrait moins longtemps que ça,
mais bon, c'est une question de paramétrage...
J'ai tendance à penser qu'il y a une règle idiote quelque part qui fait
que le destinataire ne voit jamais les sessions se fermer. C'est valable
sur une seul et unique site, ou sur plusieurs?
Salut,
On 17 Dec 2003 17:49:09 GMT, HelloMan <aaa@bbb.ccc> wrote:
Donc, consultation des pages à 16h00 environ, et à partir de 16:12:32,
Ce serait bien d'avoir le délai exact entre la dernière connexion et le
premier paquet "bizarre".
Ce sont des paquets d'une connexion HTTP établie précédemment, et que le
serveur de destination ne considère aparemment pas comme fermée (alors que
ton firewall a déjà "oublié" l'existance de cette connexion). Et si le
paquet est "droppé" sans renvoyer un RST ou un ICMP, le serveur continue à
penser que la connexion est établie, et qu'il ne fait que perdre des
paquets, donc il recommencera, encore et encore, jusqu'à en avoir
définitivement marre.
en masse (raisonnable) toujours la même adresse source jusqu'à 16:43:52
C'est bizarre que ça dure aussi longtemps, j'aurais eu tendance à penser
qu'une session TCP sans aucune réponse tiendrait moins longtemps que ça,
mais bon, c'est une question de paramétrage...
J'ai tendance à penser qu'il y a une règle idiote quelque part qui fait
que le destinataire ne voit jamais les sessions se fermer. C'est valable
sur une seul et unique site, ou sur plusieurs?
Salut,
On 17 Dec 2003 17:49:09 GMT, HelloMan wrote:Donc, consultation des pages à 16h00 environ, et à partir de 16:12:32,
Ce serait bien d'avoir le délai exact entre la dernière connexion et le
premier paquet "bizarre".
Ce sont des paquets d'une connexion HTTP établie précédemment, et que le
serveur de destination ne considère aparemment pas comme fermée (alors que
ton firewall a déjà "oublié" l'existance de cette connexion). Et si le
paquet est "droppé" sans renvoyer un RST ou un ICMP, le serveur continue à
penser que la connexion est établie, et qu'il ne fait que perdre des
paquets, donc il recommencera, encore et encore, jusqu'à en avoir
définitivement marre.en masse (raisonnable) toujours la même adresse source jusqu'à 16:43:52
C'est bizarre que ça dure aussi longtemps, j'aurais eu tendance à penser
qu'une session TCP sans aucune réponse tiendrait moins longtemps que ça,
mais bon, c'est une question de paramétrage...
J'ai tendance à penser qu'il y a une règle idiote quelque part qui fait
que le destinataire ne voit jamais les sessions se fermer. C'est valable
sur une seul et unique site, ou sur plusieurs?
HelloMan wrote:forwarders {
194.117.200.10;
194.117.200.15;
};
forward first;
(et re-snip)
Ben "forward first;" si les DNS de club-internet ne répondent pas
assez vite, c'est normal d'aller voir directement les DNS
du domaine demandé.
HelloMan <aaa@bbb.ccc> wrote:
forwarders {
194.117.200.10;
194.117.200.15;
};
forward first;
(et re-snip)
Ben "forward first;" si les DNS de club-internet ne répondent pas
assez vite, c'est normal d'aller voir directement les DNS
du domaine demandé.
HelloMan wrote:forwarders {
194.117.200.10;
194.117.200.15;
};
forward first;
(et re-snip)
Ben "forward first;" si les DNS de club-internet ne répondent pas
assez vite, c'est normal d'aller voir directement les DNS
du domaine demandé.
Faudrait faire ça avec un ethereal, mais je ne vois pas trop comment
sans ouvrir des ports sur le fw et ça serait un peu risqué.
pour sniffer les paquets il n'y a pas besoin que le firewall soit ouvert.
Ils sont pris par l'api d'écoute avant d'être passés aux filtres.
Enfin sur un système normal :-]
Faudrait faire ça avec un ethereal, mais je ne vois pas trop comment
sans ouvrir des ports sur le fw et ça serait un peu risqué.
pour sniffer les paquets il n'y a pas besoin que le firewall soit ouvert.
Ils sont pris par l'api d'écoute avant d'être passés aux filtres.
Enfin sur un système normal :-]
Faudrait faire ça avec un ethereal, mais je ne vois pas trop comment
sans ouvrir des ports sur le fw et ça serait un peu risqué.
pour sniffer les paquets il n'y a pas besoin que le firewall soit ouvert.
Ils sont pris par l'api d'écoute avant d'être passés aux filtres.
Enfin sur un système normal :-]