Re: martian source
Laurent Defours a écrit, lundi 29 septembre 2003, à 01:51 :
[...]
> Si une machine envoie sur une interface autre que lo des paquets avec
> 127.0.0.1 pour source, il y a un gros problème car ça ne peut
> normalement pas se produire.
On est bien d'accord, il y a une arnaque (ou un bug ?) quelque part.
> Il ne suffit pas de forger une adresse source externe, il faut aussi
> modifier la table de routage (lo ne doit jamais apparaître dans une
> table de routage). Je ne suis même pas sûr que ça suffise, d'ailleurs.
Le routage concerne la cible, non ? Et cela se passe dans une machine du
côté obscur.
> Il me semble _beaucoup_ plus simple de forger directement le paquet que
> tu reçois que de procéder aux ricochets supposés
Oui, c'est plus simple, mais une attaque directe devrait avoir une
cadence plus élevée pour être efficace --- le ver/virus est buggué, à
moins que l'attaquant passe par un modem 110 bauds ;)
> [...] Qu'est-ce que ça apporte de faire se connecter une machine à
> elle-même en lui faisant croire qu'elle est une autre (et sachant
> qu'elle est déjà sous contrôle) ?
Elle ne l'est peut être pas encore : on pourrait essayer de saturer en
interne le port 80, avec des paquets de source maquillée aléatoire. Et
le paquet refusé est renvoyé en miroir sur la source spoofée...
--
Jacques L'helgoualc'h
Reply to: