Re: Martian sources

[François Boisson <user.anti-spam@maison.homelinux.net>]

Ce qui m'étonnes c'est que les martiens de Blaster sont comme suit:

   8. The DoS traffic has the following characteristics:
          * Is a SYN flood on port 80 of windowsupdate.com.
          * Tries to send 50 HTTP packets every second.
          * Each packet is 40 bytes in length.
          * If the worm cannot find a DNS entry for windowsupdate.com, it
uses a destination address of 255.255.255.255.

      Some fixed characteristics of the TCP and IP headers are:
                + IP identification = 256
                + Time to Live = 128
                + Source IP address = a.b.x.y, where a.b are from the host
ip and x.y are random. In some cases, a.b are random.                +
Destination IP address = dns resolution of "windowsupdate.com"            
   + TCP Source port is between 1000 and 1999                + TCP
Destination port = 80                + TCP Sequence number always has the
two low bytes set to 0; the 2 high bytes are random.                + TCP
Window size = 16384

SI le DNS n'est pas résolu, alors l'adresse de destination est mise en
broadcast général (255.255.255.255).

 
Donc ils sont violents (50/s est le but), effectivement de longueur 40,
peuvent être de source 127.0.0.1 si il se goure dans la source mais est
destiné au port 80. Dans ton cas c'est l'inverse. L'absence d'adresse mac
est juste du à la connexion PPP je crois, l'adresse MAC dans mes paquets
est celle de l'interface ethernet de la Freebox.

Les paquets envoyés par Blaster pour infecter une machine se font eux très
classiquement sur le port 135.

(cf
http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html
).


Francois Boisson