Nicolas Rueff a �crit, samedi 24 janvier 2004, � 10:31 : > Ainsi parla Fran�ois Boisson le 024�me jour de l'an 2004: > [Blaster] > > OK, donc a priori c'est pas lui. J'ai d�sactiv� ma r�gle pour le > re-chopper, mais plus rien :-/ (lui aurais-je fait peur ?)
Je crois qu'on en a d�j� parl� ici, gougeulisez les archives, et aussi � site:ixus.net retours de paquets spoof�s � => http://www.ixus.net/modules.php?op=modload&name=Forum&file=viewtopic&mode=viewtopic&topic=6141&forum=2&start=30 du 23 sep 2003 dans mon cache wwwoffle. > > Donc ils sont violents (50/s est le but), Le but �tait un DoS distribu� sur windowsupdate.com ... > > effectivement de longueur > > 40, peuvent �tre de source 127.0.0.1 si il se goure dans la source > > mais est destin� au port 80. Dans ton cas c'est l'inverse. Yaunkhonki a trouv� malin de conseiller de mettre une ligne � 127.0.0.1 winmachin � dans C:\windows\hosts, et Blaster peut �tre bogu� lui aussi. Du coup, la machine infect�e essaie de faire son DoS sur son localhost, avec une IP source spoof�e, ce qui provoque un retour au pseudo-envoyeur si personne n'�coute le port 80... Ces paquets n'ont rien de sp�cifique au d�groupage, j'en re�ois aussi en RTC chez Free, une douzaine par minute � mar�e haute. Inutile d'encombrer /var/log, il suffit de v�rifier que pour la r�gle iptables -I INPUT -p tcp --sport 80 -s 127.0.0.1 -i $IF_MECHANT_TERNET -j DROP on a bytes = 40 * pkts. -- Jacques L'helgoualc'h
