Re: ICMP Source Route Failed

Page principale

Répondre à ce message
Auteur: Stephane Driussi
Date:  
À: guilde
Sujet: Re: ICMP Source Route Failed
Salut,

merci pour ton super mail! J'ai trouve la source de mon probleme mais je
ne l'explique encore pas. Je vous tiens au courant des que j'aurais plus
d'infos/questions.

Stephane

Jean-Philippe Granchi wrote:
> Bonjour,
>
> Stephane Driussi wrote:
>
>>sur mon serveur, j'observe ces derniers temps 6 a 7 ligne du genre avant
>>un reboot automatique et genant de mon modem/routeur (eicon 2430):
>>
>>Jan 15 20:12:03 pokie kernel: ICMP: XXX.181.13.44: Source Route Failed.
>>Jan 15 20:12:03 pokie kernel: ICMP: XXX.192.51.41: Source Route Failed.
>>Jan 15 20:12:03 pokie kernel: ICMP: XXX.53.123.20: Source Route Failed.
>>
>>Est-ce une attaque du ping de la mort ? et alors mon modem stoppe
>>l'attaque et reboote. Ou moi avec ma slackware 8.0 kernel 2.2.20 qui
>>fait quelque chose de pas bien ?
>
>
> Mais non c'est juste un ICMP :-)
>
> <Mode Paranoid ON>
> L'explication officielle c'est qu'un routeur ne peut forwarde le packet
> sur le prochain saut. D'ou la generation du message.
> Il existe dans le header d'un ICMP une source route Option qui permet de
> donner des information au routeur/gateway sur la route que le gentil
> packets doit suivre, pour faire court LSSR et SSRR une route loose et
> une source stricte, dans la source stricte il y a une serie d'addresse
> IP et un pointeur quand arrive au bout le packet aussi (enfin en theorie
> (parceque en pratique le filtrage de la chose est un grand classique)).
>
> Quand un packet arrive avec ce type d'information sur un firewall, il
> est d'usage commun de dropper la chose, d'ou certainement la generation
> du message (Type 3 code 5).
>
> Jusqu'ici on s'affole (pas trop), mais la ou ca devient un peu plus
> genant, c'est qu'il existe effectivement la possibilite d'utiliser la
> stricte source routing avec une addresse spoofe pour redirige le packets
> vers une machine dont le comportement est generalement pas tres
> catholique.
> (l'alerte Snort ICMP basic existe (pour la forme =)(alert icmp any any
> -> any any (msg:"ICMP Destination Unreachable (Source route Failed)";
> itype: 3; icode: 5;)
>
> Il est assez commun de trouver dans une attaque de type
> man-in-the-middle, en faisant une redirection vers le routeur de
> l'ataquant, on peut aussi voir une attaque par deni de service (en
> redirigeant le routeur).
>
> Bref y a matiere a creuser.
> La solution ... euh ca depend, ca depend de la criticite des
> informations qui sont derriere le routeur, de la topologie mise en
> oeuvre (y a un gauntlet dans les parages ?), bref a voir, en tout cas un
> bon etheral + google + un peu de temps, y a matiere.
> </Mode Paranoid OFF>
>
> En tout cas Slackware ou pas c'est pas (forcement) le probleme.
> Au fait le eicon c'est pour faire du VPN ?
>
> Juste un dernier mot cacher les IP c'est bien, les autres information
> aussi, genre si ca se passe chez ton employeur tu en as deja trop dit
> :-)
>
> Sur ces considerations de type (5) et de RFC 972
>
> Bon courage.
>
> Jean-Philippe
>
>



-- 
       |\      _,,,---,,_       ON Semiconductor
ZZZzz /,`.-'`'    -.  ;-;;,_   2, Allee de Roumanie
      |,4-  ) )-,_. ,\ (  `'-'  38610 Gieres
     '---''(_/--'  `-'\_)       Phone : +33-(4)38 37 41 37