Salut,
merci pour ton super mail! J'ai trouve la source de mon probleme mais je
ne l'explique encore pas. Je vous tiens au courant des que j'aurais plus
d'infos/questions.
Stephane
Jean-Philippe Granchi wrote:
> Bonjour,
>
> Stephane Driussi wrote:
>
>>sur mon serveur, j'observe ces derniers temps 6 a 7 ligne du genre avant
>>un reboot automatique et genant de mon modem/routeur (eicon 2430):
>>
>>Jan 15 20:12:03 pokie kernel: ICMP: XXX.181.13.44: Source Route Failed.
>>Jan 15 20:12:03 pokie kernel: ICMP: XXX.192.51.41: Source Route Failed.
>>Jan 15 20:12:03 pokie kernel: ICMP: XXX.53.123.20: Source Route Failed.
>>
>>Est-ce une attaque du ping de la mort ? et alors mon modem stoppe
>>l'attaque et reboote. Ou moi avec ma slackware 8.0 kernel 2.2.20 qui
>>fait quelque chose de pas bien ?
>
>
> Mais non c'est juste un ICMP :-)
>
> <Mode Paranoid ON>
> L'explication officielle c'est qu'un routeur ne peut forwarde le packet
> sur le prochain saut. D'ou la generation du message.
> Il existe dans le header d'un ICMP une source route Option qui permet de
> donner des information au routeur/gateway sur la route que le gentil
> packets doit suivre, pour faire court LSSR et SSRR une route loose et
> une source stricte, dans la source stricte il y a une serie d'addresse
> IP et un pointeur quand arrive au bout le packet aussi (enfin en theorie
> (parceque en pratique le filtrage de la chose est un grand classique)).
>
> Quand un packet arrive avec ce type d'information sur un firewall, il
> est d'usage commun de dropper la chose, d'ou certainement la generation
> du message (Type 3 code 5).
>
> Jusqu'ici on s'affole (pas trop), mais la ou ca devient un peu plus
> genant, c'est qu'il existe effectivement la possibilite d'utiliser la
> stricte source routing avec une addresse spoofe pour redirige le packets
> vers une machine dont le comportement est generalement pas tres
> catholique.
> (l'alerte Snort ICMP basic existe (pour la forme =)(alert icmp any any
> -> any any (msg:"ICMP Destination Unreachable (Source route Failed)";
> itype: 3; icode: 5;)
>
> Il est assez commun de trouver dans une attaque de type
> man-in-the-middle, en faisant une redirection vers le routeur de
> l'ataquant, on peut aussi voir une attaque par deni de service (en
> redirigeant le routeur).
>
> Bref y a matiere a creuser.
> La solution ... euh ca depend, ca depend de la criticite des
> informations qui sont derriere le routeur, de la topologie mise en
> oeuvre (y a un gauntlet dans les parages ?), bref a voir, en tout cas un
> bon etheral + google + un peu de temps, y a matiere.
> </Mode Paranoid OFF>
>
> En tout cas Slackware ou pas c'est pas (forcement) le probleme.
> Au fait le eicon c'est pour faire du VPN ?
>
> Juste un dernier mot cacher les IP c'est bien, les autres information
> aussi, genre si ca se passe chez ton employeur tu en as deja trop dit
> :-)
>
> Sur ces considerations de type (5) et de RFC 972
>
> Bon courage.
>
> Jean-Philippe
>
>
--
|\ _,,,---,,_ ON Semiconductor
ZZZzz /,`.-'`' -. ;-;;,_ 2, Allee de Roumanie
|,4- ) )-,_. ,\ ( `'-' 38610 Gieres
'---''(_/--' `-'\_) Phone : +33-(4)38 37 41 37