Re: ip spoofing attack ?

To: debian-user-french@lists.debian.org
Subject: Re: ip spoofing attack ?
From: Bruno Treguier <Bruno.Treguier@shom.fr>
Date: Sun, 24 Aug 2003 17:52:40 +0200
Message-id: <[🔎] 20030824155240.GA26266@irlande.shom.fr>
In-reply-to: <[🔎] 3f468247$0$16166$626a54ce@news.free.fr>
References: <[🔎] 3f468247$0$16166$626a54ce@news.free.fr>

On Fri, Aug 22, 2003 at 10:48:26PM +0200, Jerome Caffet wrote:
> salut,

Bonjour,

> Mes logs d'iptable indiquent souvent de nombreuses lignes comme celles-ci :
> 
> Aug 19 08:47:47 gateway kernel: SPOOFED packet:IN=eth0 OUT= 
> MAC=00:40:05:49:4f:6e:00:07:cb:02:01:8d:08:00 SRC=10.1.79.2 
> DST=81.57.124.44 LEN=56 TOS=0x00 PREC=0x00 TTL=245 ID=34694 PROTO=ICMP 
> TYPE=3 CODE=1 [SRC=81.57.124.44 DST=xxx.xxx.xxx.xxx LEN=40 TOS=0x00 
> PREC=0x00 TTL=66 ID=59454 PROTO=TCP INCOMPLETE [8 bytes] ]

Ce paquet semble être une réponse ICMP 3/1 (host unreachable) de la part
de ta machine vers une machine externe (81.57.124.44) suite à l'envoi
d'un paquet de la part de cette machiine (a priori du TCP, mais comme
les paquets ICMP ne contiennent qu'une partie des données du paquet
ayant provoqué l'erreur, on n'en sait pas plus).
Le problème est dû au fait que ce paquet ICMP est généré avec une
adresse source en 10.1.79.2, ce qui correspond bien entendu à une
adresse privée. C'est une adresse sur ton réseau interne ça ? 

Dans tes règles, y'aurait pas des choses du genre port forwarding,
NAT ou autre mal configurées ?

> ou encore
> 
> Aug 19 18:53:19 gateway kernel: SPOOFED packet:IN=eth0 OUT= 
> MAC=00:40:05:49:4f:6e:00:07:cb:02:01:8d:08:00 SRC=192.168.27.53 
> DST=xxx.xxx.xxx.xxx LEN=357 TOS=0x00 PREC=0x00 TTL=54 ID=26174 DF 
> PROTO=TCP SPT=80 DPT=58212 WINDOW=6432 RES=0x00 ACK PSH FIN URGP=0
> 
> ou encore
> 
> Aug 11 00:57:21 gateway kernel: SPOOFED packet:IN=eth0 OUT= 
> MAC=00:40:05:49:4f:6e:00:07:cb:02:01:8d:08:00 SRC=192.168.11.253 DST=81.
> 57.124.44 LEN=78 TOS=0x00 PREC=0x00 TTL=109 ID=27779 PROTO=UDP SPT=1027 
> DPT=137 LEN=58
> 
> xxx.xxx.xxx.xxx = ip publique de mon serveur
> 00:40:05:49:4F:6E = adresse mac de ma carte ethernet externe

Tu pourrais faire un petit schéma de ton réseau pour voir comment est ta
config (as-tu un routeur, ou est-ce ta machine Linux qui fait le routage
en plus du firewalling, ce genre de trucs, quoi).

Cordialement,

Bruno

-- 
-- Service Hydrographique et Oceanographique de la Marine ---  EPSHOM/CIS/MIC
--     13, rue du Chatellier ---  BP 30316  --- 29603 Brest Cedex, FRANCE
--        Phone: +33 2 98 22 17 49  ---  Email: Bruno.Treguier@shom.fr

Reply to:

References:
- ip spoofing attack ?
  - From: Jerome Caffet <jcaffet@nordnet.fr>

Prev by Date: Re: [HS] Traduction de texte en francais
Next by Date: Re: probléme d'installation (ou de désinstallation) de phpmyadmin
Previous by thread: ip spoofing attack ?
Next by thread: Re: console-common 0.7.19]
Index(es):
- Date
- Thread