| View previous topic :: View next topic |
| Author |
Message |
rk187
Tux's lil' helper
Joined: 14 Apr 2003
Posts: 136
Location: France - Paris
|
 Posted: Fri Nov 14, 2003 10:15 am Post subject: [localhost] connexion etrange chez freeadsl |
 |
|
depuis que je suis chez free j'ai de drole de connexion entrante:
| Code: | 11:10:44.556460 127.0.0.1.80 > 62.147.145.178.1063: R 0:0(0) ack 1799356417 win 0
11:11:02.186472 127.0.0.1.80 > 62.147.145.178.1478: R 0:0(0) ack 1585119233 win 0
11:11:04.432338 127.0.0.1.80 > 62.147.145.178.1768: R 0:0(0) ack 1841364993 win 0
11:11:10.436284 127.0.0.1.80 > 62.147.145.178.1950: R 0:0(0) ack 606142465 win 0
|
est ce que ça vous le fait aussi ?
pour tester faite tcpdump -ni ppp0 |
|
| Back to top |
|
 |
Koon
Retired Dev
Joined: 10 Dec 2002
Posts: 518
|
| Posted: Fri Nov 14, 2003 11:13 am Post subject: Re: [localhost] connexion etrange chez freeadsl |
|
|
| rk187 wrote: | depuis que je suis chez free j'ai de drole de connexion entrante:
| Code: | 11:10:44.556460 127.0.0.1.80 > 62.147.145.178.1063: R 0:0(0) ack 1799356417 win 0
11:11:02.186472 127.0.0.1.80 > 62.147.145.178.1478: R 0:0(0) ack 1585119233 win 0
11:11:04.432338 127.0.0.1.80 > 62.147.145.178.1768: R 0:0(0) ack 1841364993 win 0
11:11:10.436284 127.0.0.1.80 > 62.147.145.178.1950: R 0:0(0) ack 606142465 win 0
|
est ce que ça vous le fait aussi ?
pour tester faite tcpdump -ni ppp0 |
Oui, ca le fait chez tout le monde. C'est un effet de bord de Blaster. Accrochez-vous, j'explique :
Appelons ta machine "A". Une machine Windows "B" infectée par Blaster lance une attaque DOS sur windowsupdate.com en spoofant son adresse source. Pas de bol, c'est la tienne ("A") qu'elle a choisi (au hasard). Le FAI de B résoud windowsupdate.com par 127.0.0.1 histoire de ne pas participer au DOS sur la vraie adresse et de ne pas générer de trafic (beaucoup de FAI ont fait ça).
La machine A fait donc son attaque en créant des paquets avec source=A port X et destination=127.0.0.1 port 80. La machine B reçoit le paquet (127.0.0.1 c'est elle même) et y répond par un Reset (note : c'est un bug de la pile réseau Windows, elle ne devrait pas répondre à un tel paquet). Le paquet de reset a source=127.0.0.1 port 80, destination : A port X
Troisième acte : A reçoit ce dernier paquet, c'est ce que tu observes.
-K |
|
| Back to top |
|
|
rk187
Tux's lil' helper
Joined: 14 Apr 2003
Posts: 136
Location: France - Paris
|
| Posted: Fri Nov 14, 2003 11:33 am Post subject: |
|
|
| un paquet avec source ou cible 127.0.0.1 ne devrait meme pas pouvoir circuler sur des routeurs non ? |
|
| Back to top |
|
|
Koon
Retired Dev
Joined: 10 Dec 2002
Posts: 518
|
| Posted: Fri Nov 14, 2003 11:38 am Post subject: |
|
|
| rk187 wrote: | | un paquet avec source ou cible 127.0.0.1 ne devrait meme pas pouvoir circuler sur des routeurs non ? |
Si le paquet a pour cible 127.0.0.1, il ne va pas aller loin effectivement. Par contre s'il a juste source 127.0.0.1, ca peut passer (si le routeur est pas trop sérieux). Je pense que la machine Blasterisée est une machine sur le réseau Free et que le paquet ne vient pas de trop loin. Cela s'explique si le source spoofing se fait sur des adresses "proches"... (j'ai pas le code de Blaster sous les yeux).
-K |
|
| Back to top |
|
|
|
French
