RE: Scan from 127.0.0.1

Top Page

Reply to this message
Author: Stephane Perez
Date:  
To: Guilde Linux
Subject: RE: Scan from 127.0.0.1
Bonjour,

En ce qui concerne les adresses IP sources en 127.x.x.x la meilleure des
choses a faire est de jeter tout ce qui a une adresse RFC1918 ou réservée
type 127.x.x.x à la poubelle lorsque ça rentre sur l'interface Wan (hors
paquet interne d'une trame IPSec bien sur).

>    Peut-être que ce sont des paquets TCP forgés "à la main" avec cette 
>adresse IP en 127.0.0.1, histoire qu'un firewall un peu mal configuré ne 
>le voit pas. Mais quand à comprendre l'intérêt de la chose, j'avoue que 
>ce n'est pas ca. A moins que ce ne soit une technique de scan IP un peu 
>exotique ?


Il est impossible que ça soit un proxy, car il ne ferait pas de scan et ne
donnerait pas les bits RST et ACK validés et le tout avec des fenetres TCP à
0, donc c'est un port scan qui à l'avantage de ne pas savoir qui en est
l'auteur (pas besoin de hacker un routeur, un PC pour le faire). Au passage
certaines stacks IP sont de ma souvenances un peu sensibles à la fenetre
TCP=0 avec des connexions non valides et des bits de suivi non cohérents.

Malheureusement les opérateurs type free ne peuvent pas tout le temps se
permettre de filtrer tout ce qui vient du NET avec des adresses privées ou
réservées sur le réseau de transport et ne peuvent simplement que se
contenter de filtrer leurs abonnés en entrée si toutefois ils le font.

> Une connexion avec source 127.0.0.1 est curieuse car un routeur ne
> devrait pas laisser passer ça...


Faux, en ce qui concerne le routage, un routeur ne regarde que l'adresse de
destination par défaut et comme faire du "policy-routing" (cad à partir de
l'adresse source) est très lourd en CPU on ne le fait pas souvent voire pas
du tout surtout dans les réseaux à haut débits.

Voilà pour ma petite pierre.

Stéphane PEREZ
Nortel Networks.