Re: [HS] virus

トップ ページ

このメッセージに返信
著者: Olivier Allard-Jacquin
日付:  
To: Guilde Linux
題目: Re: [HS] virus
    Bonjour,

> En effet, très intéressant.
> je m'intéroge sur l'intérêt de limiter la taille des paquets à
> analyser par tcpdump à 1514
> "tcpdump -n -w 135.cap -s 1514 tcp and port 135"
> puisque, par exemple ici, la taille des paquets est limitée à 1452
> selon les recommandations de pppoe :
> /etc/ppp/peers/dsl-provider :
> ...
> pty "/usr/sbin/pppoe -I eth0 -T 80 -m 1452"
> ...
>
> Une idée ?


    Tu peux effectivement limité la taille des paquets sortants de ta 
machine, mais pour les paquets entrants (ceux de ce virus notamment), tu 
ne peux pas faire grand chose.


    De plus en cas de paquets fragmentés, Linux se charge de les 
défragmenter avant de les passer à l'applicatif. Je ne veux pas dire de 
bêtise, mais je me demande si ce que reçoit "tcpdump" n'est pas 
justement des paquets défragmentés. En mode "promiscious", cela me 
paraîtrait difficile à faire, mais en "non-promiscious", c'est plus 
facilement jouable.


                    Olivier