Ainsi parla François Boisson le 024ème jour de l'an 2004: > Ce qui m'étonnes c'est que les martiens de Blaster sont comme suit: > > 8. The DoS traffic has the following characteristics: > * Is a SYN flood on port 80 of windowsupdate.com. > * Tries to send 50 HTTP packets every second. > * Each packet is 40 bytes in length. > * If the worm cannot find a DNS entry for windowsupdate.com, > it > uses a destination address of 255.255.255.255. > > Some fixed characteristics of the TCP and IP headers are: > + IP identification = 256 > + Time to Live = 128 > + Source IP address = a.b.x.y, where a.b are from the > host > ip and x.y are random. In some cases, a.b are random. + > Destination IP address = dns resolution of "windowsupdate.com" > > + TCP Source port is between 1000 and 1999 + TCP > Destination port = 80 + TCP Sequence number always has > the two low bytes set to 0; the 2 high bytes are random. > + TCP > Window size = 16384 > > SI le DNS n'est pas résolu, alors l'adresse de destination est mise en > broadcast général (255.255.255.255). OK, donc a priori c'est pas lui. J'ai désactivé ma règle pour le re-chopper, mais plus rien :-/ (lui aurais-je fait peur ?) > Donc ils sont violents (50/s est le but), effectivement de longueur > 40, peuvent être de source 127.0.0.1 si il se goure dans la source > mais est destiné au port 80. Dans ton cas c'est l'inverse. L'absence > d'adresse mac est juste du à la connexion PPP je crois, l'adresse MAC > dans mes paquets est celle de l'interface ethernet de la Freebox. Exact. Me coucherai moins bête ce soir. > Les paquets envoyés par Blaster pour infecter une machine se font eux > très classiquement sur le port 135. Bon, donc le problème reste entier. Je rebranche tethereal, et on verra si je récupère un paquet "kivabien". -- .,p**"*=b_ Nicolas Rueff ?P" .__ `*b Montbéliard - France |P .d?'`&, 9| http://rueff.tuxfamily.org M: |} |- H' n.rueff@free.fr &| `#?_._oH' +33 6 77 64 44 80 `H. "`"`' GPG 0xDD44DAB4 `#?. ICQ 97700474 `^~. We are Penguin. Resistance is futile. You will be assimilated.
Attachment:
pgpk8Pww4gLFa.pgp
Description: PGP signature