Re: ICMP Source Route Failed

Top Page

Reply to this message
Author: Jean-Philippe Granchi
Date:  
To: guilde
Subject: Re: ICMP Source Route Failed
Bonjour,

Stephane Driussi wrote:
> sur mon serveur, j'observe ces derniers temps 6 a 7 ligne du genre avant
> un reboot automatique et genant de mon modem/routeur (eicon 2430):
>
> Jan 15 20:12:03 pokie kernel: ICMP: XXX.181.13.44: Source Route Failed.
> Jan 15 20:12:03 pokie kernel: ICMP: XXX.192.51.41: Source Route Failed.
> Jan 15 20:12:03 pokie kernel: ICMP: XXX.53.123.20: Source Route Failed.
>
> Est-ce une attaque du ping de la mort ? et alors mon modem stoppe
> l'attaque et reboote. Ou moi avec ma slackware 8.0 kernel 2.2.20 qui
> fait quelque chose de pas bien ?


Mais non c'est juste un ICMP :-)

<Mode Paranoid ON>
L'explication officielle c'est qu'un routeur ne peut forwarde le packet
sur le prochain saut. D'ou la generation du message.
Il existe dans le header d'un ICMP une source route Option qui permet de
donner des information au routeur/gateway sur la route que le gentil
packets doit suivre, pour faire court LSSR et SSRR une route loose et
une source stricte, dans la source stricte il y a une serie d'addresse
IP et un pointeur quand arrive au bout le packet aussi (enfin en theorie
(parceque en pratique le filtrage de la chose est un grand classique)).

Quand un packet arrive avec ce type d'information sur un firewall, il
est d'usage commun de dropper la chose, d'ou certainement la generation
du message (Type 3 code 5).

Jusqu'ici on s'affole (pas trop), mais la ou ca devient un peu plus
genant, c'est qu'il existe effectivement la possibilite d'utiliser la
stricte source routing avec une addresse spoofe pour redirige le packets
vers une machine dont le comportement est generalement pas tres
catholique.
(l'alerte Snort ICMP basic existe (pour la forme =)(alert icmp any any
-> any any (msg:"ICMP Destination Unreachable (Source route Failed)";
itype: 3; icode: 5;)

Il est assez commun de trouver dans une attaque de type
man-in-the-middle, en faisant une redirection vers le routeur de
l'ataquant, on peut aussi voir une attaque par deni de service (en
redirigeant le routeur).

Bref y a matiere a creuser.
La solution ... euh ca depend, ca depend de la criticite des
informations qui sont derriere le routeur, de la topologie mise en
oeuvre (y a un gauntlet dans les parages ?), bref a voir, en tout cas un
bon etheral + google + un peu de temps, y a matiere.
</Mode Paranoid OFF>

En tout cas Slackware ou pas c'est pas (forcement) le probleme.
Au fait le eicon c'est pour faire du VPN ?

Juste un dernier mot cacher les IP c'est bien, les autres information
aussi, genre si ca se passe chez ton employeur tu en as deja trop dit
:-)

Sur ces considerations de type (5) et de RFC 972

Bon courage.

Jean-Philippe