Bonjour,

Le 06/02/2004, ghislain jeff a écrit:

> J'ai installé snort sur un firewall et j'ai une alerte
> récurente que je n'arrive pas a interpréter, quelqu'un
> peut-il m'aider? 
>                                    Source IP    Destination IP 
> BAD-TRAFFIC loopback traffic 127.0.0.1:80 EXTERNAL_IP:1472 TCP

> le port de destination est variable, le lien sur l'incident est:
> http://www.snort.org/snort-db/sid.html?sid=528

> Peut-on trouver le processus qui génère cela?

  J'ai alors rappelé que j'avais déjà signalé le même problème le 5 
septembre 2003, et que mon pare-feu IPCop enregistrait une attaque 
de ce type toutes les deux minutes en moyenne. Il y a d'ailleurs 
fort à parier que tous les internautes, *vous comme moi*, sont 
destinataires des mêmes types d'attaques.

  Puis (pourquoi n'y ai-je pas pensé plus tôt ?) j'ai envoyé lundi 
dernier 9 février à mon fournisseur d'accès Free une lettre (les 
hot lines sont surchargées et inefficaces) leur exposant le 
problème, et leur suggérant de réduire ce trafic inutile qui 
pénalise tout le monde en filtrant eux-mêmes les envois ayant 
127.0.0.1:80 comme adresse d'origine.

  Est-ce une coïncidence ? Je ne chante pas victoire, mais pour la 
première fois aujourd'hui, je n'ai relevé depuis ce matin que 10 
attaques sérieuses, et aucune n'a pour adresse d'origine 
127.0.0.1:80.

  Ci-joint le texte de ma lettre à Free.

G. Louge


-- 
--------------------------------------------
   Georges Louge - Juan-les-Pins (France)  
  Linux user n° 176581 (RedHat 4.1 - 1997)
--------------------------------------------

Linux-Azur :      http://www.linux-azur.org
Désinscriptions: http://www.linux-azur.org/liste.php3
**** Pas de message au format HTML, SVP ****
FREE - Réclamation

75371 PARIS CEDEX 08

Juan-les-Pins, le 8 février 2004

Objet : Filtrage de tentatives d'intrusion

Madame, Monsieur,
Chaque jour, mon PC auxiliaire doté d'une distribution pare-feu IPCop Linux
arrête une bonne cinquantaine de tentatives d'intrusion prétendant avoir pour
adresse d'origine 127.0.0.1:80.

Or cette adresse est manifestement truquée et fausse, car elle est purement
interne et ne peut pas être utilisée sur le réseau. Selon un spécialiste,
Godwin Stewart :
« C'est ce qu'on appelle un "martien". Il fausse son adresse IP dans l'en-tête
des paquets TCP dans l'espoir que le pare-feu les laissera entrer pensant que
c'est du local. »
« Au cas où ça ne marcherait pas, il envoie les paquets de son port 80,
pensant que le pare-feu les prendra pour du trafic provenant d'un serveur
web, donc légitime. »

Je ne peux pas dire que cela me gêne outre mesure, étant donnée l'efficacité
de mon pare-feu. Mais ce trafic est inutile et si on le multiplie par le
nombre de vos clients connectés, cela doit représenter un volume considérable
et perturber les liaisons en diminuant la bande passante disponible.

D'où ma question : ne serait-il pas préférable d'arrêter ces tentatives
d'intrusion chez vous au lieu de les faire parvenir à vos abonnés ?

Espérant une réponse, je vous prie d'agréer, Madame, Monsieur,  mes
salutations distinguées.

Georges Louge

Répondre à