Re: bad traffic
Le 12302ième jour après Epoch,
pascalgosse@wanadoo.fr écrivait:
> Bonsoir a tous
>
> je roule sur une Debian Woody avec snort de branché dessus...
>
> Hors ce soir je regarde mes logs et voilà ce sur quoi je tombe :
>
> [**] [1:528:2] BAD TRAFFIC loopback traffic [**]
> [Classification: Potentially Bad Traffic] [Priority: 2]
> 09/01-22:39:11.429061 127.0.0.1:80 -> mon.ip.a.moi:1742
> TCP TTL:118 TOS:0x0 ID:14377 IpLen:20 DgmLen:40
> ***A*R** Seq: 0x0 Ack: 0x1170001 Win: 0x0 TcpLen: 20
>
> et en remontant je vois que tout a débuté (même alerte, juste le port
> de destination change) début septembre.
>
> Et effectivement avec tcpdump je vois ca passer de temps en temps
> ...pas tres fréquemment.
>
> Comme google est aussi mon ami je m'apercois que sur fr.comp.securité
> d'autres debianisés (et pas seulement) constatent aussi le même
> phénomène. Mais pas de réponse quant aux causes.
>
> Vous avez vu ça passé aussi ? Des idées sur l'origine ?
Allez, une petite idée comme ça, au hasard...
1) Le source de l'émission est sur le port 80 (genre web)
2) Ton firewall fais du NAT, ou genre
En gros, tu as lancé une requête HTTP (ou alors un p.tain de popup s'est
ouvert) que tu n'as pas conclus (Appui sur ESC ou STOP dans le navigateur).
Il m'arrive la même chose sur le même port, et aussi sur le port 25 quand
j'envoie du mail à des amis qui sont chez hotmail. Leurs serveurs de mails
seraient-ils donc si lent que ça que Exim abandonne après un timeout ?
> --
> "2+2 = 5 ... Pour d'assez grandes valeurs de 2"
Corollaire:
(E) <=> t=0.99999....
(E) <=> 10t = 9.999999.....
(E) <=> 10t = 9 + t
(E) <=> 10t - t = 9
(E) <=> 9t = 9
(E) <=> t = 1
hum ... :)
--
I'm not even going to *______������bother* comparing C to BASIC or FORTRAN.
-- L. Zolman, creator of BDS C
Reply to: