Bonjour, Le 06/02/2004, ghislain jeff a écrit:
> J'ai installé snort sur un firewall et j'ai une alerte > récurente que je n'arrive pas a interpréter, quelqu'un > peut-il m'aider? > Source IP Destination IP > BAD-TRAFFIC loopback traffic 127.0.0.1:80 EXTERNAL_IP:1472 TCP > le port de destination est variable, le lien sur l'incident est: > http://www.snort.org/snort-db/sid.html?sid=528 > Peut-on trouver le processus qui génère cela? J'ai alors rappelé que j'avais déjà signalé le même problème le 5 septembre 2003, et que mon pare-feu IPCop enregistrait une attaque de ce type toutes les deux minutes en moyenne. Il y a d'ailleurs fort à parier que tous les internautes, *vous comme moi*, sont destinataires des mêmes types d'attaques. Puis (pourquoi n'y ai-je pas pensé plus tôt ?) j'ai envoyé lundi dernier 9 février à mon fournisseur d'accès Free une lettre (les hot lines sont surchargées et inefficaces) leur exposant le problème, et leur suggérant de réduire ce trafic inutile qui pénalise tout le monde en filtrant eux-mêmes les envois ayant 127.0.0.1:80 comme adresse d'origine. Est-ce une coïncidence ? Je ne chante pas victoire, mais pour la première fois aujourd'hui, je n'ai relevé depuis ce matin que 10 attaques sérieuses, et aucune n'a pour adresse d'origine 127.0.0.1:80. Ci-joint le texte de ma lettre à Free. G. Louge -- -------------------------------------------- Georges Louge - Juan-les-Pins (France) Linux user n° 176581 (RedHat 4.1 - 1997) -------------------------------------------- Linux-Azur : http://www.linux-azur.org Désinscriptions: http://www.linux-azur.org/liste.php3 **** Pas de message au format HTML, SVP ****
FREE - Réclamation 75371 PARIS CEDEX 08 Juan-les-Pins, le 8 février 2004 Objet : Filtrage de tentatives d'intrusion Madame, Monsieur, Chaque jour, mon PC auxiliaire doté d'une distribution pare-feu IPCop Linux arrête une bonne cinquantaine de tentatives d'intrusion prétendant avoir pour adresse d'origine 127.0.0.1:80. Or cette adresse est manifestement truquée et fausse, car elle est purement interne et ne peut pas être utilisée sur le réseau. Selon un spécialiste, Godwin Stewart : « C'est ce qu'on appelle un "martien". Il fausse son adresse IP dans l'en-tête des paquets TCP dans l'espoir que le pare-feu les laissera entrer pensant que c'est du local. » « Au cas où ça ne marcherait pas, il envoie les paquets de son port 80, pensant que le pare-feu les prendra pour du trafic provenant d'un serveur web, donc légitime. » Je ne peux pas dire que cela me gêne outre mesure, étant donnée l'efficacité de mon pare-feu. Mais ce trafic est inutile et si on le multiplie par le nombre de vos clients connectés, cela doit représenter un volume considérable et perturber les liaisons en diminuant la bande passante disponible. D'où ma question : ne serait-il pas préférable d'arrêter ces tentatives d'intrusion chez vous au lieu de les faire parvenir à vos abonnés ? Espérant une réponse, je vous prie d'agréer, Madame, Monsieur, mes salutations distinguées. Georges Louge
