On Sun, 17 Aug 2003 17:42:10 +0200
Jean-Pierre Morin <jeanpierre.morin@???> wrote:
>
> Qu'est-ce que c'est que ce "Blaster de Windows" pour un neofite
> en réseau, c'est pas évident ?
un virus (ou un vers)
> Chez moi, pour un reseau famililal de 2 PC, j'ai mis cette regle
>
> iptables -N drop-and-log-it
> iptables -A drop-and-log-it -j LOG --log-level info
>
> ce qui me donne dans /var/log/messages des centaines de messages du
> genre : Aug 17 08:39:22 duron kernel: IN=ppp0 OUT= MAC=
> SRC=213.23.210.12 DST=62.147.67.145 LEN=48 TOS=0x00 PREC=0x00 TTL=123
> ID=11887 DF PROTO=TCP SPT=1605 DPT=2294 WINDOW=16384 RES=0x00 SYN
> URGP=0
en gros c'est un gars qui est en ADSL allemand
(islay:/home/jerome# host 213.23.210.12
Name: dsl-213-023-210-012.arcor-ip.net et
www.arcor-ip.net parle
l'allemand )
>
> Comment analyser ce type de message ? Je n'ai pas trouvé de doc
> permettant de le faire.
en gros les 3 trucs importants sont :
PROTO=TCP c'est le protocol
SPT=1605 c'est le port source
DPT=2294 c'est le port destination.
regarde dans /etc/services si il y a une description pour 2294/tcp (non,
il y en a pas)
puis pour 1605/tcp (non plus)
la il y a pas grand chose a dire. la tentative de connection par erreur,
ou bruit de fond.
par contre si tu troube 65000 lignes de ce genre venant de la même IP et
avec des port de destrination distincs, là tu as affaire a un vrai
portscan, étape préliminaire a une attaque.
Je te sonseille l'utilisation de "fwlogwatch" qui peut t'envoyer toutes
les 24h un résumé :
Analyse des logs du firewall
Generated Sun Aug 17 03:43:26 CEST 2003 by root.
22548 (and 2 older than 86400 seconds) of 22550 entries in the file
"/var/log/firewall/drop.log" are packet logs, 997 have unique
characteristics.
First packet log entry: Aug 16 03:44:43, last: Aug 17 03:43:07.
All entries were logged by the same host: "islay".
All entries have the same target: "-".
Only entries with a count of at least 50 are shown.
00:23:58:24 Internet tcp DROP atm0 9725 packets (583500 bytes) from
132.168.11.112 (-)
00:00:02:46 Internet tcp DROP eth0 6260 packets (375600 bytes) from
192.168.4.11 (-)
00:13:26:02 Internet tcp DROP atm0 461 packets (27596 bytes) from
82.82.146.235 (dsl-082-082-146-235.arcor-ip.net)
et tu ne t'interesse qu'au plus important (les 2 premiers, je les
connais bien : c'est moi !)
--
Jérôme @taz : Morgan 1200 + 1Go DDR in a 10L SS40G
"Windows 95 is a 32-bit shell for a 16-bit extension to an 8-bit
operating system designed for a 4-bit microprocessor by a 2-bit company
that can't stand one bit of competition."