Re: Martian sources

Sat, 24 Jan 2004 02:21:28 -0600 

Ce qui m'�tonnes c'est que les martiens de Blaster sont comme suit:

   8. The DoS traffic has the following characteristics:
          * Is a SYN flood on port 80 of windowsupdate.com.
          * Tries to send 50 HTTP packets every second.
          * Each packet is 40 bytes in length.
          * If the worm cannot find a DNS entry for windowsupdate.com, it
uses a destination address of 255.255.255.255.

      Some fixed characteristics of the TCP and IP headers are:
                + IP identification = 256
                + Time to Live = 128
                + Source IP address = a.b.x.y, where a.b are from the host
ip and x.y are random. In some cases, a.b are random.                +
Destination IP address = dns resolution of "windowsupdate.com"            
   + TCP Source port is between 1000 and 1999                + TCP
Destination port = 80                + TCP Sequence number always has the
two low bytes set to 0; the 2 high bytes are random.                + TCP
Window size = 16384

SI le DNS n'est pas r�solu, alors l'adresse de destination est mise en
broadcast g�n�ral (255.255.255.255).

 
Donc ils sont violents (50/s est le but), effectivement de longueur 40,
peuvent �tre de source 127.0.0.1 si il se goure dans la source mais est
destin� au port 80. Dans ton cas c'est l'inverse. L'absence d'adresse mac
est juste du � la connexion PPP je crois, l'adresse MAC dans mes paquets
est celle de l'interface ethernet de la Freebox.

Les paquets envoy�s par Blaster pour infecter une machine se font eux tr�s
classiquement sur le port 135.

(cf
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html
).


Francois Boisson

Répondre à