Concrètement, quelles sont les solutions pour éviter que les
utilisateurs infectés par MyDoom ne fassent effondrer un réseau ?
Changer www.sco.com en 127.0.0.1 dans les DNS est-il une solution ?
Évidemment, on tente de demander aux utilisateurs de faire le ménage,
mais y'en aura toujours un tas qui ne voudront pas.
Est-ce que la requête se fera directement ou via le proxy déclaré
(rendant alors cette mesure moins efficace) ?
--
Make sure all variables are initialised before use.
- The Elements of Programming Style (Kernighan & Plaugher)
quelles sont les solutions pour éviter que les utilisateurs infectés par MyDoom ne fassent effondrer un réseau ?
Un bon Firewall ? Un bon anti virus ?
Pierre
Xavier Roche
Vincent Bernat wrote:
Changer www.sco.com en 127.0.0.1 dans les DNS est-il une solution ?
Et null-router 216.250.128.12 également. Je pense pas que qui que ce soit n'ait besoin d'utiliser ce site de toute manière. (C'est une boite d'avocats, je crois - rien à voir avec de l'informatique.)
Évidemment, on tente de demander aux utilisateurs de faire le ménage, mais y'en aura toujours un tas qui ne voudront pas.
Il y a de bons antivirus pas chers en version corporate <re-pub details="je n'ai pas d'actions chez eux">du genre F-prot (www.f-prot.com)</re-pub>
Vincent Bernat wrote:
Changer www.sco.com en 127.0.0.1 dans les DNS est-il une solution ?
Et null-router 216.250.128.12 également.
Je pense pas que qui que ce soit n'ait besoin d'utiliser ce site de
toute manière. (C'est une boite d'avocats, je crois - rien à voir avec
de l'informatique.)
Évidemment, on tente de demander aux utilisateurs de faire le ménage,
mais y'en aura toujours un tas qui ne voudront pas.
Il y a de bons antivirus pas chers en version corporate <re-pub
details="je n'ai pas d'actions chez eux">du genre F-prot
(www.f-prot.com)</re-pub>
Changer www.sco.com en 127.0.0.1 dans les DNS est-il une solution ?
Et null-router 216.250.128.12 également. Je pense pas que qui que ce soit n'ait besoin d'utiliser ce site de toute manière. (C'est une boite d'avocats, je crois - rien à voir avec de l'informatique.)
Évidemment, on tente de demander aux utilisateurs de faire le ménage, mais y'en aura toujours un tas qui ne voudront pas.
Il y a de bons antivirus pas chers en version corporate <re-pub details="je n'ai pas d'actions chez eux">du genre F-prot (www.f-prot.com)</re-pub>
Arnaud
Coucou !
Concrètement, quelles sont les solutions pour éviter que les utilisateurs infectés par MyDoom ne fassent effondrer un réseau ? Changer www.sco.com en 127.0.0.1 dans les DNS est-il une solution ?
Ce qui n'empêche pas le DNS d'être interrogé, n'est-ce-pas ?
--
Ça dépend... Il y a des programmes qui sautent sur les mimes. Ta remarque risque d'en froisser plus d'un.
Je ne vois pas de quoi tu parles.
-+- QL in GFA : "Gnus ne froisse pas que les cravates" -+-
Coucou !
Concrètement, quelles sont les solutions pour éviter que les
utilisateurs infectés par MyDoom ne fassent effondrer un réseau ?
Changer www.sco.com en 127.0.0.1 dans les DNS est-il une solution ?
Ce qui n'empêche pas le DNS d'être interrogé, n'est-ce-pas ?
--
Ça dépend... Il y a des programmes qui sautent sur les mimes.
Ta remarque risque d'en froisser plus d'un.
Je ne vois pas de quoi tu parles.
-+- QL in GFA : "Gnus ne froisse pas que les cravates" -+-
Concrètement, quelles sont les solutions pour éviter que les utilisateurs infectés par MyDoom ne fassent effondrer un réseau ? Changer www.sco.com en 127.0.0.1 dans les DNS est-il une solution ?
Ce qui n'empêche pas le DNS d'être interrogé, n'est-ce-pas ?
--
Ça dépend... Il y a des programmes qui sautent sur les mimes. Ta remarque risque d'en froisser plus d'un.
Je ne vois pas de quoi tu parles.
-+- QL in GFA : "Gnus ne froisse pas que les cravates" -+-
Vincent Bernat
OoO Lors de la soirée naissante du vendredi 30 janvier 2004, vers 17:06, Xavier Roche disait:
Changer www.sco.com en 127.0.0.1 dans les DNS est-il une solution ?
Et null-router 216.250.128.12 également.
Malheureusement, les paquets atteignent déjà le routeur dans ce cas. Il s'est effondré avec une variante de Blaster qui passait son temps à changer d'IP (mais ça n'a pas l'air le cas de MyDoom). Mais bon, c'est vrai que ça coûte rien.
Évidemment, on tente de demander aux utilisateurs de faire le ménage, mais y'en aura toujours un tas qui ne voudront pas.
Il y a de bons antivirus pas chers en version corporate <re-pub details="je n'ai pas d'actions chez eux">du genre F-prot (www.f-prot.com)</re-pub>
Oui, leurs tarifs sont en effet très avantageux. Le problème n'est pas l'existence de l'antivirus, mais faut que les utilisateurs les installent (dans une assoce, c'est pas évident). -- BOFH excuse #148: Insert coin for new game
OoO Lors de la soirée naissante du vendredi 30 janvier 2004, vers
17:06, Xavier Roche <xroche@free.fr.NOSPAM.invalid> disait:
Changer www.sco.com en 127.0.0.1 dans les DNS est-il une solution ?
Et null-router 216.250.128.12 également.
Malheureusement, les paquets atteignent déjà le routeur dans ce cas.
Il s'est effondré avec une variante de Blaster qui passait son temps à
changer d'IP (mais ça n'a pas l'air le cas de MyDoom). Mais bon, c'est
vrai que ça coûte rien.
Évidemment, on tente de demander aux utilisateurs de faire le ménage,
mais y'en aura toujours un tas qui ne voudront pas.
Il y a de bons antivirus pas chers en version corporate <re-pub
details="je n'ai pas d'actions chez eux">du genre F-prot
(www.f-prot.com)</re-pub>
Oui, leurs tarifs sont en effet très avantageux. Le problème n'est pas
l'existence de l'antivirus, mais faut que les utilisateurs les
installent (dans une assoce, c'est pas évident).
--
BOFH excuse #148:
Insert coin for new game
OoO Lors de la soirée naissante du vendredi 30 janvier 2004, vers 17:06, Xavier Roche disait:
Changer www.sco.com en 127.0.0.1 dans les DNS est-il une solution ?
Et null-router 216.250.128.12 également.
Malheureusement, les paquets atteignent déjà le routeur dans ce cas. Il s'est effondré avec une variante de Blaster qui passait son temps à changer d'IP (mais ça n'a pas l'air le cas de MyDoom). Mais bon, c'est vrai que ça coûte rien.
Évidemment, on tente de demander aux utilisateurs de faire le ménage, mais y'en aura toujours un tas qui ne voudront pas.
Il y a de bons antivirus pas chers en version corporate <re-pub details="je n'ai pas d'actions chez eux">du genre F-prot (www.f-prot.com)</re-pub>
Oui, leurs tarifs sont en effet très avantageux. Le problème n'est pas l'existence de l'antivirus, mais faut que les utilisateurs les installent (dans une assoce, c'est pas évident). -- BOFH excuse #148: Insert coin for new game
Vincent Bernat
OoO Lors de la soirée naissante du vendredi 30 janvier 2004, vers 17:10, Arnaud disait:
Concrètement, quelles sont les solutions pour éviter que les utilisateurs infectés par MyDoom ne fassent effondrer un réseau ? Changer www.sco.com en 127.0.0.1 dans les DNS est-il une solution ?
Ce qui n'empêche pas le DNS d'être interrogé, n'est-ce-pas ?
Ouaip, j'espère que Windows cache un minimum les requêtes. Ce n'est pas le cas ? Personne n'a tenté d'avancer l'horloge pour vérifier les effets du virus sur le trafic réseau ? -- BOFH excuse #274: It was OK before you touched it.
OoO Lors de la soirée naissante du vendredi 30 janvier 2004, vers
17:10, Arnaud <alebret_nospam_basta_swan@ifrance.com> disait:
Concrètement, quelles sont les solutions pour éviter que les
utilisateurs infectés par MyDoom ne fassent effondrer un réseau ?
Changer www.sco.com en 127.0.0.1 dans les DNS est-il une solution ?
Ce qui n'empêche pas le DNS d'être interrogé, n'est-ce-pas ?
Ouaip, j'espère que Windows cache un minimum les requêtes. Ce n'est
pas le cas ? Personne n'a tenté d'avancer l'horloge pour vérifier les
effets du virus sur le trafic réseau ?
--
BOFH excuse #274:
It was OK before you touched it.
OoO Lors de la soirée naissante du vendredi 30 janvier 2004, vers 17:10, Arnaud disait:
Concrètement, quelles sont les solutions pour éviter que les utilisateurs infectés par MyDoom ne fassent effondrer un réseau ? Changer www.sco.com en 127.0.0.1 dans les DNS est-il une solution ?
Ce qui n'empêche pas le DNS d'être interrogé, n'est-ce-pas ?
Ouaip, j'espère que Windows cache un minimum les requêtes. Ce n'est pas le cas ? Personne n'a tenté d'avancer l'horloge pour vérifier les effets du virus sur le trafic réseau ? -- BOFH excuse #274: It was OK before you touched it.
Arnaud
Ce qui n'empêche pas le DNS d'être interrogé, n'est-ce-pas ? Ouaip, j'espère que Windows cache un minimum les requêtes. Ce n'est
pas le cas ? Personne n'a tenté d'avancer l'horloge pour vérifier les effets du virus sur le trafic réseau ?
Déjà, pour enlever la moitié du traffic (la réponse du DNS en l'occurence), pourquoi ne pas bloquer la requête avec un truc genre squid ?
PS : je précise que je ne suis pas admin réseau pour 2 sous.
--
t'as raison, utilise apache sous windows , ca resolvera tout tes problemes. lis le dictionnaire : resoudra...
<TP>Et le resolver, b#rd#l de m#rd#, le resolver !</TP>
-+- TB in GFA : "Je vais resolver les fautes d'orthographe..." -+-
Ce qui n'empêche pas le DNS d'être interrogé, n'est-ce-pas ?
Ouaip, j'espère que Windows cache un minimum les requêtes. Ce n'est
pas le cas ? Personne n'a tenté d'avancer l'horloge pour vérifier les
effets du virus sur le trafic réseau ?
Déjà, pour enlever la moitié du traffic (la réponse du DNS en
l'occurence), pourquoi ne pas bloquer la requête avec un truc genre
squid ?
PS : je précise que je ne suis pas admin réseau pour 2 sous.
--
t'as raison, utilise apache sous windows , ca resolvera tout tes
problemes.
lis le dictionnaire : resoudra...
<TP>Et le resolver, b#rd#l de m#rd#, le resolver !</TP>
-+- TB in GFA : "Je vais resolver les fautes d'orthographe..." -+-
Ce qui n'empêche pas le DNS d'être interrogé, n'est-ce-pas ? Ouaip, j'espère que Windows cache un minimum les requêtes. Ce n'est
pas le cas ? Personne n'a tenté d'avancer l'horloge pour vérifier les effets du virus sur le trafic réseau ?
Déjà, pour enlever la moitié du traffic (la réponse du DNS en l'occurence), pourquoi ne pas bloquer la requête avec un truc genre squid ?
PS : je précise que je ne suis pas admin réseau pour 2 sous.
--
t'as raison, utilise apache sous windows , ca resolvera tout tes problemes. lis le dictionnaire : resoudra...
<TP>Et le resolver, b#rd#l de m#rd#, le resolver !</TP>
-+- TB in GFA : "Je vais resolver les fautes d'orthographe..." -+-
Vincent Bernat
OoO Lors de la soirée naissante du vendredi 30 janvier 2004, vers 17:42, Arnaud disait:
Ce qui n'empêche pas le DNS d'être interrogé, n'est-ce-pas ? Ouaip, j'espère que Windows cache un minimum les requêtes. Ce n'est
pas le cas ? Personne n'a tenté d'avancer l'horloge pour vérifier les effets du virus sur le trafic réseau ?
Déjà, pour enlever la moitié du traffic (la réponse du DNS en l'occurence), pourquoi ne pas bloquer la requête avec un truc genre squid ?
Squid est un proxy Web, il va pas m'aider pour bloquer une requête DNS. :) Ou alors, j'ai pas compris. -- Use data arrays to avoid repetitive control sequences. - The Elements of Programming Style (Kernighan & Plaugher)
OoO Lors de la soirée naissante du vendredi 30 janvier 2004, vers
17:42, Arnaud <alebret_nospam_basta_swan@ifrance.com> disait:
Ce qui n'empêche pas le DNS d'être interrogé, n'est-ce-pas ?
Ouaip, j'espère que Windows cache un minimum les requêtes. Ce n'est
pas le cas ? Personne n'a tenté d'avancer l'horloge pour vérifier
les effets du virus sur le trafic réseau ?
Déjà, pour enlever la moitié du traffic (la réponse du DNS en
l'occurence), pourquoi ne pas bloquer la requête avec un truc genre
squid ?
Squid est un proxy Web, il va pas m'aider pour bloquer une requête
DNS. :) Ou alors, j'ai pas compris.
--
Use data arrays to avoid repetitive control sequences.
- The Elements of Programming Style (Kernighan & Plaugher)
OoO Lors de la soirée naissante du vendredi 30 janvier 2004, vers 17:42, Arnaud disait:
Ce qui n'empêche pas le DNS d'être interrogé, n'est-ce-pas ? Ouaip, j'espère que Windows cache un minimum les requêtes. Ce n'est
pas le cas ? Personne n'a tenté d'avancer l'horloge pour vérifier les effets du virus sur le trafic réseau ?
Déjà, pour enlever la moitié du traffic (la réponse du DNS en l'occurence), pourquoi ne pas bloquer la requête avec un truc genre squid ?
Squid est un proxy Web, il va pas m'aider pour bloquer une requête DNS. :) Ou alors, j'ai pas compris. -- Use data arrays to avoid repetitive control sequences. - The Elements of Programming Style (Kernighan & Plaugher)
Nicob
On Fri, 30 Jan 2004 16:48:39 +0100, Vincent Bernat wrote:
Changer www.sco.com en 127.0.0.1 dans les DNS est-il une solution ?
Ben disons que ça causera moins de problèmes que pour Blaster.
En effet, Blaster se contentait d'un paquet SYN spoofé. Ici, on a une tenative de session TCP complète (un "GET") donc aucun risque que les machines infectées émettent des RST vers l'extérieur.
De toute façon, si tu ne peux pas intervenir sur les postes, mais que tu maitrises le réseau local, tu auras :
- soit un proxy et des connexions postes -> proxy - soit pas de proxy et des requêtes DNS suivies de tentatives d'établissement de connexion vers l'IP obtenue
Pas de solution simple, donc ...
Nicob
On Fri, 30 Jan 2004 16:48:39 +0100, Vincent Bernat wrote:
Changer www.sco.com en 127.0.0.1 dans les DNS est-il une solution ?
Ben disons que ça causera moins de problèmes que pour Blaster.
En effet, Blaster se contentait d'un paquet SYN spoofé. Ici, on a une
tenative de session TCP complète (un "GET") donc aucun risque
que les machines infectées émettent des RST vers l'extérieur.
De toute façon, si tu ne peux pas intervenir sur les postes, mais que tu
maitrises le réseau local, tu auras :
- soit un proxy et des connexions postes -> proxy
- soit pas de proxy et des requêtes DNS suivies de tentatives
d'établissement de connexion vers l'IP obtenue
On Fri, 30 Jan 2004 16:48:39 +0100, Vincent Bernat wrote:
Changer www.sco.com en 127.0.0.1 dans les DNS est-il une solution ?
Ben disons que ça causera moins de problèmes que pour Blaster.
En effet, Blaster se contentait d'un paquet SYN spoofé. Ici, on a une tenative de session TCP complète (un "GET") donc aucun risque que les machines infectées émettent des RST vers l'extérieur.
De toute façon, si tu ne peux pas intervenir sur les postes, mais que tu maitrises le réseau local, tu auras :
- soit un proxy et des connexions postes -> proxy - soit pas de proxy et des requêtes DNS suivies de tentatives d'établissement de connexion vers l'IP obtenue
Pas de solution simple, donc ...
Nicob
Jean Gab1
| Concrètement, quelles sont les solutions pour éviter que les | utilisateurs infectés par MyDoom ne fassent effondrer un réseau ? | Changer www.sco.com en 127.0.0.1 dans les DNS est-il une solution ?
le mieux est de laisse faire :) SCO le mérite !!!!
| Concrètement, quelles sont les solutions pour éviter que les
| utilisateurs infectés par MyDoom ne fassent effondrer un réseau ?
| Changer www.sco.com en 127.0.0.1 dans les DNS est-il une solution ?
le mieux est de laisse faire :) SCO le mérite !!!!
| Concrètement, quelles sont les solutions pour éviter que les | utilisateurs infectés par MyDoom ne fassent effondrer un réseau ? | Changer www.sco.com en 127.0.0.1 dans les DNS est-il une solution ?
le mieux est de laisse faire :) SCO le mérite !!!!
Arnaud
Squid est un proxy Web, il va pas m'aider pour bloquer une requête DNS. :) Ou alors, j'ai pas compris.
S'il est possible d'intercaler Squid entre la machine à l'origine de la requête et le DNS, le DNS ne va pas recevoir la requête, je pense...
--
Squid est un proxy Web, il va pas m'aider pour bloquer une requête
DNS. :) Ou alors, j'ai pas compris.
S'il est possible d'intercaler Squid entre la machine à l'origine de la
requête et le DNS, le DNS ne va pas recevoir la requête, je pense...
