Re: bad traffic

To: debian-user-french@lists.debian.org
Subject: Re: bad traffic
From: Florent Capdeville <Florent.capdeville+from@free.fr.invalid>
Date: Mon, 08 Sep 2003 20:04:53 +0200
Message-id: <[🔎] 87llsz88ca.fsf@pallas.flo.fr.invalid>
Reply-to: florent.capdeville+RepTO@free.fr
In-reply-to: <[🔎] 3F5B8D32.9010508@wanadoo.fr> (pascalgosse@wanadoo.fr's message of "Sun, 07 Sep 2003 21:55:30 +0200")
References: <[🔎] 3F5B8D32.9010508@wanadoo.fr>

pascal <pascalgosse@wanadoo.fr> writes:

> Bonsoir a tous
>
> je roule sur une Debian Woody avec snort de branché dessus...
>
> Hors ce soir je regarde mes logs et voilà ce sur quoi je tombe :
>
> [**] [1:528:2] BAD TRAFFIC loopback traffic [**]
> [Classification: Potentially Bad Traffic] [Priority: 2]
> 09/01-22:39:11.429061 127.0.0.1:80 -> mon.ip.a.moi:1742
> TCP TTL:118 TOS:0x0 ID:14377 IpLen:20 DgmLen:40
> ***A*R** Seq: 0x0  Ack: 0x1170001  Win: 0x0  TcpLen: 20
>
> et en remontant je vois que tout a débuté (même alerte, juste le port
> de destination change) début septembre.

Pas mieux!
[...]

> Comme google est aussi mon ami je m'apercois que sur fr.comp.securité
> d'autres debianisés (et pas seulement) constatent aussi le même
> phénomène. Mais pas de réponse quant aux causes.

Beaucoup de "contactés" (comme moi) sont chez free.

> Vous avez vu ça passé aussi ? Des idées sur l'origine ?

Apparemment,c'est de l'IP spoofing, loopback étant généralement
transparent pour les Firewall.

A ce propos, un point de départ pour la config. d'un firewall pour
debian?

Reply to:

Follow-Ups:
- Re: bad traffic
  - From: Georges Mariano <mariano.georges@free.fr>

References:
- bad traffic
  - From: pascal <pascalgosse@wanadoo.fr>

Prev by Date: Re: 2 cartes réseaux en plus du SagenFast 800
Next by Date: Re: bad traffic
Previous by thread: Re: bad traffic
Next by thread: Re: bad traffic
Index(es):
- Date
- Thread