Laurent Defours a �crit, lundi 29 septembre 2003, � 01:51 :
[...]
> Si une machine envoie sur une interface autre que lo des paquets avec
> 127.0.0.1 pour source, il y a un gros probl�me car �a ne peut
> normalement pas se produire. 

On est bien d'accord, il y a une arnaque (ou un bug ?) quelque part. 

> Il ne suffit  pas de forger une adresse source  externe, il faut aussi
> modifier la  table de routage (lo  ne doit jamais  appara�tre dans une
> table de routage). Je ne suis m�me pas s�r que �a suffise, d'ailleurs.

Le routage concerne la cible, non ? Et cela se passe dans une machine du
c�t� obscur.

> Il me semble _beaucoup_ plus simple de forger directement le paquet que
> tu re�ois que de proc�der aux ricochets suppos�s

Oui,  c'est plus  simple, mais  une  attaque directe  devrait avoir  une
cadence plus  �lev�e pour �tre efficace  --- le ver/virus  est buggu�, �
moins que l'attaquant passe par un modem 110 bauds ;)

> [...] Qu'est-ce  que �a  apporte de faire  se connecter une  machine �
> elle-m�me  en lui  faisant croire  qu'elle est  une autre  (et sachant
> qu'elle est d�j� sous contr�le)�?

Elle ne l'est  peut �tre pas encore : on pourrait  essayer de saturer en
interne le port  80, avec des paquets de  source maquill�e al�atoire. Et
le paquet refus� est renvoy� en miroir sur la source spoof�e...
-- 
Jacques L'helgoualc'h

Répondre à