Qu'est-ce que c'est ? 127.0.0.1:80 > chez.moi:1825
2 réponses
Manuel Viet
Bonjour,
Tout d'abord, mes excuses si le sujet est rebattu ; j'ai un vague
souvenir d'avoir vu passer une discussion similaire, mais je ne l'ai pas
archivée et je ne parviens pas à la retrouver.
En jetant un oeil négligent sur tcpdump, j'ai remarqué pour la première
fois des paquets forgés prétendants provenir de mon loopback sur le port
80 à destination de mon interface publique.
Est-ce une bricole connue ? J'ai fait une capture avec tcpdump ; ces
paquets ne sont pas fréquents (1 par 1/4 d'heure) : puis-je poster un
des paquets capturés ici, si ça a un intérêt ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Nicob
On Tue, 08 Jun 2004 12:01:38 +0000, Manuel Viet wrote:
En jetant un oeil négligent sur tcpdump, j'ai remarqué pour la première fois des paquets forgés prétendants provenir de mon loopback sur le port 80 à destination de mon interface publique.
La première fois que j'ai croisé ces paquets, j'ai mis un moement avant de les expliquer, mais voici mes conclusions : - une machine X est infectée par Blaster - la payload de Blaster est d'envoyer des SYN/80 vers windowsupdate.com - le FAI a configuré son DNS pour résoudre ce nom en 127.0.0.1 - l'IP spoofée du SYN est ton IP publique - Blaster envoie donc un SYN/80 : - depuis ton IP - vers 127.0.0.1 - si la machine infectée n'a pas le TCP/80 en écoute, elle envoie un RST depuis 127.0.0.1 vers ton IP publique. Sinon, un SYN/ACK ...
Nicob
On Tue, 08 Jun 2004 12:01:38 +0000, Manuel Viet wrote:
En jetant un oeil négligent sur tcpdump, j'ai remarqué pour la première
fois des paquets forgés prétendants provenir de mon loopback sur le port
80 à destination de mon interface publique.
La première fois que j'ai croisé ces paquets, j'ai mis un moement avant
de les expliquer, mais voici mes conclusions :
- une machine X est infectée par Blaster
- la payload de Blaster est d'envoyer des SYN/80 vers windowsupdate.com
- le FAI a configuré son DNS pour résoudre ce nom en 127.0.0.1
- l'IP spoofée du SYN est ton IP publique
- Blaster envoie donc un SYN/80 :
- depuis ton IP
- vers 127.0.0.1
- si la machine infectée n'a pas le TCP/80 en écoute, elle envoie un RST
depuis 127.0.0.1 vers ton IP publique. Sinon, un SYN/ACK ...
On Tue, 08 Jun 2004 12:01:38 +0000, Manuel Viet wrote:
En jetant un oeil négligent sur tcpdump, j'ai remarqué pour la première fois des paquets forgés prétendants provenir de mon loopback sur le port 80 à destination de mon interface publique.
La première fois que j'ai croisé ces paquets, j'ai mis un moement avant de les expliquer, mais voici mes conclusions : - une machine X est infectée par Blaster - la payload de Blaster est d'envoyer des SYN/80 vers windowsupdate.com - le FAI a configuré son DNS pour résoudre ce nom en 127.0.0.1 - l'IP spoofée du SYN est ton IP publique - Blaster envoie donc un SYN/80 : - depuis ton IP - vers 127.0.0.1 - si la machine infectée n'a pas le TCP/80 en écoute, elle envoie un RST depuis 127.0.0.1 vers ton IP publique. Sinon, un SYN/ACK ...
Nicob
Manuel Viet
Le 08-06-2004, Nicob a tapoté :
On Tue, 08 Jun 2004 12:01:38 +0000, Manuel Viet wrote:
En jetant un oeil négligent sur tcpdump, j'ai remarqué pour la première fois des paquets forgés prétendants provenir de mon loopback sur le port 80 à destination de mon interface publique.
La première fois que j'ai croisé ces paquets, j'ai mis un moement avant de les expliquer, mais voici mes conclusions : - une machine X est infectée par Blaster - la payload de Blaster est d'envoyer des SYN/80 vers windowsupdate.com - le FAI a configuré son DNS pour résoudre ce nom en 127.0.0.1 - l'IP spoofée du SYN est ton IP publique - Blaster envoie donc un SYN/80 : - depuis ton IP - vers 127.0.0.1 - si la machine infectée n'a pas le TCP/80 en écoute, elle envoie un RST depuis 127.0.0.1 vers ton IP publique. Sinon, un SYN/ACK ...
Ok, pigé ; merci. D'habitude je suis derrière un fw qui jette ce genre d'adresse en provenance du vaste monde, mais exceptionnellement en ce moment j'ai une connexion directe et le fw sur mon poste. Donc je vois des choses que je m'épargne habituellement.
-- Manuel Viet * mailto:
Le 08-06-2004, Nicob <nicob@I.hate.spammers.com> a tapoté :
On Tue, 08 Jun 2004 12:01:38 +0000, Manuel Viet wrote:
En jetant un oeil négligent sur tcpdump, j'ai remarqué pour la première
fois des paquets forgés prétendants provenir de mon loopback sur le port
80 à destination de mon interface publique.
La première fois que j'ai croisé ces paquets, j'ai mis un moement avant
de les expliquer, mais voici mes conclusions :
- une machine X est infectée par Blaster
- la payload de Blaster est d'envoyer des SYN/80 vers windowsupdate.com
- le FAI a configuré son DNS pour résoudre ce nom en 127.0.0.1
- l'IP spoofée du SYN est ton IP publique
- Blaster envoie donc un SYN/80 :
- depuis ton IP
- vers 127.0.0.1
- si la machine infectée n'a pas le TCP/80 en écoute, elle envoie un RST
depuis 127.0.0.1 vers ton IP publique. Sinon, un SYN/ACK ...
Ok, pigé ; merci. D'habitude je suis derrière un fw qui jette ce genre
d'adresse en provenance du vaste monde, mais exceptionnellement en ce
moment j'ai une connexion directe et le fw sur mon poste. Donc je vois
des choses que je m'épargne habituellement.
On Tue, 08 Jun 2004 12:01:38 +0000, Manuel Viet wrote:
En jetant un oeil négligent sur tcpdump, j'ai remarqué pour la première fois des paquets forgés prétendants provenir de mon loopback sur le port 80 à destination de mon interface publique.
La première fois que j'ai croisé ces paquets, j'ai mis un moement avant de les expliquer, mais voici mes conclusions : - une machine X est infectée par Blaster - la payload de Blaster est d'envoyer des SYN/80 vers windowsupdate.com - le FAI a configuré son DNS pour résoudre ce nom en 127.0.0.1 - l'IP spoofée du SYN est ton IP publique - Blaster envoie donc un SYN/80 : - depuis ton IP - vers 127.0.0.1 - si la machine infectée n'a pas le TCP/80 en écoute, elle envoie un RST depuis 127.0.0.1 vers ton IP publique. Sinon, un SYN/ACK ...
Ok, pigé ; merci. D'habitude je suis derrière un fw qui jette ce genre d'adresse en provenance du vaste monde, mais exceptionnellement en ce moment j'ai une connexion directe et le fw sur mon poste. Donc je vois des choses que je m'épargne habituellement.
