Spoof, snort, règles iptables pas efficace ... que penser ?

Spoof, snort, règles iptables pas efficace ... que penser ? - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 24-04-2004 à 16:14:14    

cf : http://linuxfr.org/~udok/11928.html
 
j'ai du traffic bizarre sur mon ppp0 qui n'est pas détecter sur mon lo et qui a pourtant comme adresse source 127.0.0.1
donc j'ai pensé à du spoof, mais avec ces règles iptables :

-A INPUT -p tcp -m tcp -s 127.0.0.1 -i lo --sport 80 -j DROP
-A INPUT -s 127.0.0.1 -i ppp0 -j DROP


ça passe quand même (toujours vu par tcpdump et par snort)
 
bien sur je suis pas parano, je doute que je risque grand chose, surement qq'un qui fait mumuse, ou alors c'est peut-être tout simplement normal, mais j'aimerais comprendre en fait, d'où ça peut venir


---------------
Non au projet de loi DADVSI ! (droits d'auteurs)
Reply

Marsh Posté le 24-04-2004 à 16:14:14   

Reply

Marsh Posté le 24-04-2004 à 17:14:41    

http://forum.eagle-usb.org/viewtop [...] ht=martien
La deuxième page surtout ;)
 
et un topic sur OSA de tomate
http://forum.hardware.fr/forum2.ph [...] 0&subcat=0
 
Donc en gros on n'y peut rien.
Modifie ta règle snort pour ne plus logger ces paquets
Les règles iptables que j ai appliqué n'empêche pas snort de loggué les paquets  :sweat:

Reply

Marsh Posté le 24-04-2004 à 17:27:32    

ouai j'ai vu, j'ai mis un lien vers ixus (que je connaissais pas et qui a l'air bien) sur linuxfr où ils disent la même chose
 
c'est encore plus polluer que ce que je croyais le net :o
là j'ai redémarré ma connection y-a une heure et j'ai plein de requete sur 4662 alors que j'ai pas démarré de p2p
et le pire c'est que ma machine répond plutot que de dire unreachable [:mlc2]
avec ça par exemple :

17:28:58.419566 monip.4662 > qqundautre.3307: R [tcp sum ok] 0:0(0) ack 2744044184 win 0 (DF) [tos 0x20]  (ttl 64, id 2198, len 40)


j'en ai plein des comme ça :o
mais "0:0(0)" me fait dire que le paquet doit être vide
ce qui fait chier c'est que ngrep ne détecte rien de ce traffic, comme il ne détectait pas le traffic sur 127.0.0.1 avant que je stoppe ma connection :o


Message édité par udok le 24-04-2004 à 17:30:21

---------------
Non au projet de loi DADVSI ! (droits d'auteurs)
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed