Salut, Je ne suis pas sur que mon webmail ne casse le fil de la news, malheureusement je n'ai aucun autre acces pour le moment. N'hesitez pas a me jeter, je prend un client mail ce soir! Pour ton problème de LoopBack, c'est normal!! Et je parie que les ports sont 80 d'un coté et dans la plage 1000 à 1999 pour l'autre coté? non? Vous n'etes pas sans savoir que Blaster avait comme mission de flooder windowsupdate.microsoft.com. Ils forgent leur @IP source et envoie des ouvertures de connexions sur le port 80 de microsoft. Le DNS de microsoft a donc fait pointer ce nom d'hote vers 127.0.0.1 Résultat : Les hotes infectés s'autoflood sur leur port 80. S'ils n'ont pas de srv web local, le paquet sera rejeté (Flags TCP RST+ACK) et renvoyé a la source. Cette source etant forgée, la rejet est envoyé a cette source forgée. Qui peut etre toi. CQFD Donc les criteres sont : port src 80, port dest 1000 à 1999 , flag TCP/IP RST/ACK, @ src 127.0.0.1 Une avalanche de RST/ACK bien connue des spécialistes. Apres, les ISP filtrent ces @ src à leurs "bords" mais ca passe en interne. En esperant que ca t'aide...
Laurent On Fri, 06 Feb 2004 09:39:50 +0100, "ghislain jeff" <[EMAIL PROTECTED]> said: > Bonjour > J'ai installé snort sur un firewall et j'ai une alerte récurente que je > n'arrive pas a interpréter, quelqu'un peut-il m'aider? > Source IP Destination IP > BAD-TRAFFIC loopback traffic 127.0.0.1:80 EXTERNAL_IP:1472 TCP > > le port de destination est variable, le lien sur l'incident est: > http://www.snort.org/snort-db/sid.html?sid=528 > > Peut-on trouver le processus qui génère cela? > > Merci. > > > > Linux-Azur : http://www.linux-azur.org > Désinscriptions: http://www.linux-azur.org/liste.php3 > **** Pas de message au format HTML, SVP **** -- teebee [EMAIL PROTECTED] -- http://www.fastmail.fm - The professional email service Linux-Azur : http://www.linux-azur.org Désinscriptions: http://www.linux-azur.org/liste.php3 **** Pas de message au format HTML, SVP ****
