[systeme linux]
Bonjour,
J'ai un petit probleme reseau, je suis en train de lire mes logs (je
logue *tout* pour voir ce qui se passe) et je me rends compte que
j'ai beaucoup de paquets marques NEW avec le -m state avec le port
80 en source.
Je m'interroge. Est-ce que cela peut il etre une tentative de piratage?
Au cas ou l'on mette un fw qui accepte tout les paquets en port 80
source, cela permettrait de le contourner.
Ou est-ce que c'est betement un paquet legitime dont la connection est
sortie de la table d'etats? Par exemple, ca m'etonnerait que lycos
veuille me pirater:
12.200.78.212.in-addr.arpa domain name pointer images.lycos-europe.com
Ou est indiquee la duree max de vie d'une connection marquee comme
suivie? Comment l'allonger?
Si c'est une tentative de piratage, je ne comprends pas trop (?)
ca marche ce genre de truc?
La machine est un linux qui masque un LAN.
Merci
--
Kevin
He Fred, tu as sauvegarde ce post, la, qui parlait de reparer un filesystem
avec vi et un cure-dent? Et surtout, l'as tu imprime?
-+- Les 100 choses que vous n'aimez pas entendre de la part du sysadmin -+-
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Julien Salgado
Kevin DENIS a écrit :
[systeme linux] Bonjour,
Salut,
J'ai un petit probleme reseau, je suis en train de lire mes logs (je logue *tout* pour voir ce qui se passe) et je me rends compte que j'ai beaucoup de paquets marques NEW avec le -m state avec le port 80 en source.
Au vu de ce message, corrélé à celui de fcolm on pourrait penser à des problème en amont chez ton fournisseur.
Je m'interroge. Est-ce que cela peut il etre une tentative de piratage? Au cas ou l'on mette un fw qui accepte tout les paquets en port 80 source, cela permettrait de le contourner.
Non, c'est *mal*.
Ou est-ce que c'est betement un paquet legitime dont la connection est sortie de la table d'etats?
Surement.
Par exemple, ca m'etonnerait que lycos veuille me pirater: 12.200.78.212.in-addr.arpa domain name pointer images.lycos-europe.com Ou est indiquee la duree max de vie d'une connection marquee comme suivie?
Dans les sources du noyau... net/ipv4/netfilter/ip_conntrack_proto_tcp.c
Comment l'allonger?
Cela nécessite un patch du patch-o-matic (mais je crois que c'est dans le noyau 2.4.22 par défaut) qui est ip_conntrack_proc. Cela créer des entrée dans /proc/sys/net/ipv4/netfilter qui ont des noms assez parlant.
Mais il semble plutôt que ce soit un problème de session qui sont en train de se finir (en FIN wait typiquement). La solution serait d'allonger le temps d'attente correspondant.
Si c'est une tentative de piratage, je ne comprends pas trop (?) ca marche ce genre de truc?
Sinon, ce peut aussi être des scan bien faits... Il faudrait voir si se sont des FIN, ACK ou FIN-ACK de sessions en cours de fermeture sur un client de ton LAN.
La machine est un linux qui masque un LAN. Merci
-- Julien
Kevin DENIS a écrit :
[systeme linux]
Bonjour,
Salut,
J'ai un petit probleme reseau, je suis en train de lire mes logs (je
logue *tout* pour voir ce qui se passe) et je me rends compte que
j'ai beaucoup de paquets marques NEW avec le -m state avec le port
80 en source.
Au vu de ce message, corrélé à celui de fcolm on pourrait penser à des
problème en amont chez ton fournisseur.
Je m'interroge. Est-ce que cela peut il etre une tentative de piratage?
Au cas ou l'on mette un fw qui accepte tout les paquets en port 80
source, cela permettrait de le contourner.
Non, c'est *mal*.
Ou est-ce que c'est betement un paquet legitime dont la connection est
sortie de la table d'etats?
Surement.
Par exemple, ca m'etonnerait que lycos veuille me pirater:
12.200.78.212.in-addr.arpa domain name pointer images.lycos-europe.com
Ou est indiquee la duree max de vie d'une connection marquee comme
suivie?
Dans les sources du noyau...
net/ipv4/netfilter/ip_conntrack_proto_tcp.c
Comment l'allonger?
Cela nécessite un patch du patch-o-matic (mais je crois que c'est dans
le noyau 2.4.22 par défaut) qui est ip_conntrack_proc. Cela créer des
entrée dans /proc/sys/net/ipv4/netfilter qui ont des noms assez parlant.
Mais il semble plutôt que ce soit un problème de session qui sont en
train de se finir (en FIN wait typiquement). La solution serait
d'allonger le temps d'attente correspondant.
Si c'est une tentative de piratage, je ne comprends pas trop (?)
ca marche ce genre de truc?
Sinon, ce peut aussi être des scan bien faits...
Il faudrait voir si se sont des FIN, ACK ou FIN-ACK de sessions en cours
de fermeture sur un client de ton LAN.
J'ai un petit probleme reseau, je suis en train de lire mes logs (je logue *tout* pour voir ce qui se passe) et je me rends compte que j'ai beaucoup de paquets marques NEW avec le -m state avec le port 80 en source.
Au vu de ce message, corrélé à celui de fcolm on pourrait penser à des problème en amont chez ton fournisseur.
Je m'interroge. Est-ce que cela peut il etre une tentative de piratage? Au cas ou l'on mette un fw qui accepte tout les paquets en port 80 source, cela permettrait de le contourner.
Non, c'est *mal*.
Ou est-ce que c'est betement un paquet legitime dont la connection est sortie de la table d'etats?
Surement.
Par exemple, ca m'etonnerait que lycos veuille me pirater: 12.200.78.212.in-addr.arpa domain name pointer images.lycos-europe.com Ou est indiquee la duree max de vie d'une connection marquee comme suivie?
Dans les sources du noyau... net/ipv4/netfilter/ip_conntrack_proto_tcp.c
Comment l'allonger?
Cela nécessite un patch du patch-o-matic (mais je crois que c'est dans le noyau 2.4.22 par défaut) qui est ip_conntrack_proc. Cela créer des entrée dans /proc/sys/net/ipv4/netfilter qui ont des noms assez parlant.
Mais il semble plutôt que ce soit un problème de session qui sont en train de se finir (en FIN wait typiquement). La solution serait d'allonger le temps d'attente correspondant.
Si c'est une tentative de piratage, je ne comprends pas trop (?) ca marche ce genre de truc?
Sinon, ce peut aussi être des scan bien faits... Il faudrait voir si se sont des FIN, ACK ou FIN-ACK de sessions en cours de fermeture sur un client de ton LAN.
