Author: Jean-Philippe Granchi Date: To: guilde Subject: Re: ipchains et icmp type 9
Bonjour,
Stephane Driussi wrote:
[...] > j'ai mon routeur qui pollut mon /var/log/messages car dans mes regles
> ipchains, les connexions icmp de type 9 sont refusee. A quoi servent ces
> requettes que le routeur envoi ? Est-ce un mechant qui essaye de
> s'introduire chez moi ? [...]
Hum ... En fait c'est pire que ca, il doit y avoir des machines sous
windows pas loin (et ca c'est pire que des pirates, :-) J'en sais
quelque chose on me force a travailler sous M$ mais c'est un autre debat
...).
Plus serieusement au boot de ces chers (tres cheres) windows 2000 et
autres 98 en utilisant la configuration par default de la gateway, ces
machines lancent un ICMP Router sollicitation et discovery et les
routeurs repondent gentiment par des ICMP router Advertissements.
Si je ne me trompe pas les machines sous windows balancent Trois ICMP de
ce type au boot. Et ce sur une adresse en multicast 224.0.0.2 le plus
drole c'est que certains routeurs ne supportent pas le ICMP Router
Discovery donc on peut toujours hurler ...
Pour eviter ce genre de pollution il y a un parametre de la bdr sous
windows ... Surtout que si personne repond le cirque recommence toute
les 30 minutes...
Les ICMP router Sollicitation sont de type 10 Code 0
Les ICMP routeur Advertsement sont de type 9 code 0
Je te conseil d'utilser un TCPDump pour anlyser tout ca, sinon Prelude
ou NFR voir SNORT font l'affaire...
Donc a priori rien de grave si ce n'est un reseau avec du MS dessus, bon
alors bien sur on est jamais trop sur, ce genre de packets permets aussi
a des etres malveillants de decouvrir les routeurs sur un reseau
(forcement).
