Re: Martian sources
Nicolas Rueff a écrit, samedi 24 janvier 2004, à 10:31 :
> Ainsi parla François Boisson le 024ème jour de l'an 2004:
> [Blaster]
>
> OK, donc a priori c'est pas lui. J'ai désactivé ma règle pour le
> re-chopper, mais plus rien :-/ (lui aurais-je fait peur ?)
Je crois qu'on en a déjà parlé ici, gougeulisez les archives, et aussi
« site:ixus.net retours de paquets spoofés » =>
http://www.ixus.net/modules.php?op=modload&name=Forum&file=viewtopic&mode=viewtopic&topic=6141&forum=2&start=30
du 23 sep 2003 dans mon cache wwwoffle.
> > Donc ils sont violents (50/s est le but),
Le but était un DoS distribué sur windowsupdate.com ...
> > effectivement de longueur
> > 40, peuvent être de source 127.0.0.1 si il se goure dans la source
> > mais est destiné au port 80. Dans ton cas c'est l'inverse.
Yaunkhonki a trouvé malin de conseiller de mettre une ligne « 127.0.0.1
winmachin » dans C:\windows\hosts, et Blaster peut être bogué lui aussi.
Du coup, la machine infectée essaie de faire son DoS sur son localhost,
avec une IP source spoofée, ce qui provoque un retour au pseudo-envoyeur
si personne n'écoute le port 80...
Ces paquets n'ont rien de spécifique au dégroupage, j'en reçois aussi en
RTC chez Free, une douzaine par minute à marée haute. Inutile
d'encombrer /var/log, il suffit de vérifier que pour la règle iptables
-I INPUT -p tcp --sport 80 -s 127.0.0.1 -i $IF_MECHANT_TERNET -j DROP
on a bytes = 40 * pkts.
--
Jacques L'helgoualc'h
Reply to: