Bonjour, Le Vendredi 6 Février 2004 09:39, ghislain jeff a écrit :
> J'ai installé snort sur un firewall et j'ai une alerte récurente > que je n'arrive pas a interpréter, quelqu'un peut-il m'aider? > Source IP Destination IP > BAD-TRAFFIC loopback traffic 127.0.0.1:80 EXTERNAL_IP:1472 TCP > > le port de destination est variable, le lien sur l'incident est: > http://www.snort.org/snort-db/sid.html?sid=528 > > Peut-on trouver le processus qui génère cela? J'ai déjà posé la même question le 5 septembre dernier sous le sujet "[TECH] BAD TRAFFIC loopback traffic" et parmi les réponses, voici celle de Godwin Stewart: > > C'est ce qu'on appelle un "martien". Il fausse son adresse > > IP dans l'entête des paquets TCP dans l'espoir que ton > > pare-feu les laissera entrer pensant que c'est du local. > > Au cas où ça ne marcherait pas, il envoie les paquets de > > son port 80, pensant que le pare-feu les prendra pour du > > trafic provenant d'un serveur web, donc légitime. Depuis, rien n'a changé, mon pare-feu (un PC auxiliaire qui travaille avec la distribution IPCop) enregistre chaque jour une attaque de ce genre toutes les 2 minutes en moyenne, qui est bien entendu bloquée par IPCop. En plus, hier, IPCop a arrêté: - 8 tentatives répertoriées comme: "MS-SQL Worm propagation attempt", - 3 avec un balayage cherchant systématiquement tous les ports d'entrée qui pourraient être ouverts, avec un commentaire du pare-feu de ce genre: "(spp_portscan2) Portscan detected from 213.228.0.42: 1 targets 21 ports in 3 seconds" Mais hier, c'était de ce point de vue une toute petite journée... Georges Louge -- -------------------------------------------- Georges Louge - Juan-les-Pins (France) Linux user n° 176581 (RedHat 4.1 - 1997) -------------------------------------------- Linux-Azur : http://www.linux-azur.org Désinscriptions: http://www.linux-azur.org/liste.php3 **** Pas de message au format HTML, SVP ****