Re: Martian sources

Sat, 24 Jan 2004 03:51:58 -0600 

Ainsi parla Fran�ois Boisson le 024�me jour de l'an 2004:

> Ce qui m'�tonnes c'est que les martiens de Blaster sont comme suit:
> 
>    8. The DoS traffic has the following characteristics:
>           * Is a SYN flood on port 80 of windowsupdate.com.
>           * Tries to send 50 HTTP packets every second.
>           * Each packet is 40 bytes in length.
>           * If the worm cannot find a DNS entry for windowsupdate.com,
>           it
> uses a destination address of 255.255.255.255.
> 
>       Some fixed characteristics of the TCP and IP headers are:
>                 + IP identification = 256
>                 + Time to Live = 128
>                 + Source IP address = a.b.x.y, where a.b are from the
>                 host
> ip and x.y are random. In some cases, a.b are random.                +
> Destination IP address = dns resolution of "windowsupdate.com"        
>    
>    + TCP Source port is between 1000 and 1999                + TCP
> Destination port = 80                + TCP Sequence number always has
> the two low bytes set to 0; the 2 high bytes are random.              
>  + TCP
> Window size = 16384
> 
> SI le DNS n'est pas r�solu, alors l'adresse de destination est mise en
> broadcast g�n�ral (255.255.255.255).

OK, donc a priori c'est pas lui. J'ai d�sactiv� ma r�gle pour le
re-chopper, mais plus rien :-/ (lui aurais-je fait peur ?)

> Donc ils sont violents (50/s est le but), effectivement de longueur
> 40, peuvent �tre de source 127.0.0.1 si il se goure dans la source
> mais est destin� au port 80. Dans ton cas c'est l'inverse. L'absence
> d'adresse mac est juste du � la connexion PPP je crois, l'adresse MAC
> dans mes paquets est celle de l'interface ethernet de la Freebox.

Exact. Me coucherai moins b�te ce soir.

> Les paquets envoy�s par Blaster pour infecter une machine se font eux
> tr�s classiquement sur le port 135.

Bon, donc le probl�me reste entier.

Je rebranche tethereal, et on verra si je r�cup�re un paquet "kivabien".
-- 
  .,p**"*=b_   Nicolas Rueff
 ?P"  .__ `*b   Montb�liard  -  France
|P  .d?'`&, 9|   http://rueff.tuxfamily.org
M:  |}   |- H'   [EMAIL PROTECTED]
&|  `#?_._oH'   +33 6 77 64 44 80
`H.   "`"`'   GPG 0xDD44DAB4
 `#?.       ICQ 97700474
   `^~.

We are Penguin. Resistance is futile. You will be assimilated.

Attachment: pgpVCzt09PI8J.pgp
Description: PGP signature

Répondre à