Bonjour,
> En effet, très intéressant.
> je m'intéroge sur l'intérêt de limiter la taille des paquets à
> analyser par tcpdump à 1514
> "tcpdump -n -w 135.cap -s 1514 tcp and port 135"
> puisque, par exemple ici, la taille des paquets est limitée à 1452
> selon les recommandations de pppoe :
> /etc/ppp/peers/dsl-provider :
> ...
> pty "/usr/sbin/pppoe -I eth0 -T 80 -m 1452"
> ...
>
> Une idée ?
Tu peux effectivement limité la taille des paquets sortants de ta
machine, mais pour les paquets entrants (ceux de ce virus notamment), tu
ne peux pas faire grand chose.
De plus en cas de paquets fragmentés, Linux se charge de les
défragmenter avant de les passer à l'applicatif. Je ne veux pas dire de
bêtise, mais je me demande si ce que reçoit "tcpdump" n'est pas
justement des paquets défragmentés. En mode "promiscious", cela me
paraîtrait difficile à faire, mais en "non-promiscious", c'est plus
facilement jouable.
Olivier
