Re: [HS] virus

Page principale

Répondre à ce message
Auteur: Olivier Allard-Jacquin
Date:  
À: Guilde Linux
Sujet: Re: [HS] virus
    Bonjour,

> En effet, très intéressant.
> je m'intéroge sur l'intérêt de limiter la taille des paquets à
> analyser par tcpdump à 1514
> "tcpdump -n -w 135.cap -s 1514 tcp and port 135"
> puisque, par exemple ici, la taille des paquets est limitée à 1452
> selon les recommandations de pppoe :
> /etc/ppp/peers/dsl-provider :
> ...
> pty "/usr/sbin/pppoe -I eth0 -T 80 -m 1452"
> ...
>
> Une idée ?


    Tu peux effectivement limité la taille des paquets sortants de ta 
machine, mais pour les paquets entrants (ceux de ce virus notamment), tu 
ne peux pas faire grand chose.


    De plus en cas de paquets fragmentés, Linux se charge de les 
défragmenter avant de les passer à l'applicatif. Je ne veux pas dire de 
bêtise, mais je me demande si ce que reçoit "tcpdump" n'est pas 
justement des paquets défragmentés. En mode "promiscious", cela me 
paraîtrait difficile à faire, mais en "non-promiscious", c'est plus 
facilement jouable.


                    Olivier