Bonsoir,
je remarque que depuis quelques temps j'ai des connexions "bizarres"
qui arrivent sur mon interface ppp0.
Mon Netfilter est configuré avec le "suivit de connexion <=> contrack"
(j'utilise bien sur mon "netfilter_cfg"
http://olivieraj.free.fr/fr/linux/programme/netfilter_cfg/), et j'ai
activé les options anti-spoofing du kernel :
for Filter in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 > $Filter
done
Cependant, tcmpdump / ethereal m'indiquent que j'ai des connexions
entrantes via mon interface ppp0 venant de 127.0.0.1:80. (voir fichier
attaché). Cela ne peut pas venir de mon propre serveur Apache, car il
est arreté, et que "netstat -taupe" n'indique aucun port 80/http
d'ouvert. Et de plus, les leds de mon modem s'allument lorsque ces
paquets arrivent, donc cela vient bien de l'exterieur...
Enfin, les paquets sont des RST+ACK, afin de "forcer" ma machine à
répondre. Mais à qui ? A moi même ? C'est un peu ridicule, non ?
Bon, je ne m'inquiète pas spécialement car avec ce que j'ai installé je
ne risque rien, mais j'aimerai savoir ce qu'attend(ent) le(s) type(s)
qui envoie(nt) ceci : C'est une tentative de "scan par temoins" ou un
truc sophistiqué de ce genre ? Ou une nouvelle faille de sécurité qui
est exploité ?
Dans le fichier attaché, j'ai supprimé tout ce qui n'était pas du
127.0.0.1, car évidement, il y a d'autres port scaning un peu moins
discret, quand ce n'est pas MSBlaster qui vient frapper à interface...
Merci d'avance pour vos réponses,
Olivier
--
~~~~~~~ _____/\_____ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Phoenix / _ \/ _ \ Olivier Allard-Jacquin
/ / \ / \ \ Web: olivieraj.free.fr
/___/ / \ \___\ Mail: olivieraj@???
~~~~ ///// ///\\\ \\\\\ ~~~~~~~~~~~~~~~~~~~~~~~ Linux Powered !!
23:45:47.211219 127.0.0.1.http > 62.147.72.71.1867: R 0:0(0) ack 992608257 win 0
23:46:25.711226 127.0.0.1.http > 62.147.72.71.1293: R 0:0(0) ack 1848377345 win 0
23:46:45.061232 127.0.0.1.http > 62.147.72.71.1965: R 0:0(0) ack 778895361 win 0
23:47:18.361221 127.0.0.1.http > 62.147.72.71.1424: R 0:0(0) ack 2111963137 win 0
23:47:46.351222 127.0.0.1.http > 62.147.72.71.1097: R 0:0(0) ack 108855297 win 0
23:48:03.551218 127.0.0.1.http > 62.147.72.71.1352: R 0:0(0) ack 2104557569 win 0
23:48:04.431218 127.0.0.1.http > 62.147.72.71.1593: R 0:0(0) ack 1980235777 win 0
23:48:52.661217 127.0.0.1.http > 62.147.72.71.1490: R 0:0(0) ack 1481244673 win 0
23:49:00.891226 127.0.0.1.http > 62.147.72.71.1279: R 0:0(0) ack 1021116417 win 0
23:49:13.591219 127.0.0.1.http > 62.147.72.71.1998: R 0:0(0) ack 1586298881 win 0
23:49:26.071233 127.0.0.1.http > 62.147.72.71.1556: R 0:0(0) ack 772145153 win 0
23:49:27.631230 127.0.0.1.http > 62.147.72.71.1965: R 0:0(0) ack 1 win 0
23:49:36.031229 127.0.0.1.http > 62.147.72.71.1998: R 0:0(0) ack 1 win 0
23:49:38.011220 127.0.0.1.http > 62.147.72.71.1352: R 0:0(0) ack 1 win 0
23:49:42.221223 127.0.0.1.http > 62.147.72.71.1820: R 0:0(0) ack 1835532289 win 0
23:49:50.211229 127.0.0.1.http > 62.147.72.71.1392: R 0:0(0) ack 1489436673 win 0
23:49:57.971223 127.0.0.1.http > 62.147.72.71.rmtcfg: R 0:0(0) ack 723255297 win 0
23:50:13.341230 127.0.0.1.http > 62.147.72.71.1279: R 0:0(0) ack 1 win 0
23:51:12.871220 127.0.0.1.http > 62.147.72.71.1179: R 0:0(0) ack 351076353 win 0
23:51:23.701223 127.0.0.1.http > 62.147.72.71.1424: R 0:0(0) ack 1 win 0
23:52:05.161227 127.0.0.1.http > 62.147.72.71.1279: R 0:0(0) ack 1 win 0
23:52:29.741230 127.0.0.1.http > 62.147.72.71.1452: R 0:0(0) ack 627179521 win 0
23:52:32.661221 127.0.0.1.http > 62.147.72.71.1796: R 0:0(0) ack 792920065 win 0
23:52:48.231219 127.0.0.1.http > 62.147.72.71.1704: R 0:0(0) ack 1171128321 win 0
23:53:23.221231 127.0.0.1.http > 62.147.72.71.1820: R 0:0(0) ack 1 win 0
23:53:43.651232 127.0.0.1.http > 62.147.72.71.1452: R 0:0(0) ack 1 win 0
23:54:39.491230 127.0.0.1.http > 62.147.72.71.1965: R 0:0(0) ack 1 win 0
23:54:40.461229 127.0.0.1.http > 62.147.72.71.1279: R 0:0(0) ack 1 win 0
23:54:45.671227 127.0.0.1.http > 62.147.72.71.1820: R 0:0(0) ack 1 win 0
23:55:12.051229 127.0.0.1.http > 62.147.72.71.1796: R 0:0(0) ack 1 win 0