RE: Scan from 127.0.0.1

Page principale
Ce message fait partie du fil suivant :
MArborescence complète du fil triée par date
MStephane Perez à <-
M 

Répondre à ce message
Auteur: Stephane Perez
Date:  
À: Stephane Perez, Guilde Linux
Sujet: RE: Scan from 127.0.0.1
Bonjour,

Suite et fin, c'est la faille de sécurité qui a été référencée chez cisco
qui permets de faire un DOS sur le routeur.Y'en a qui cherchent faire tomber
quelques routeurs... Du coté free ils ont normalement fait leurs maj courant
juin/juillet.

Cordialement
Stéphane PEREZ

-----Original Message-----
From: Perez, Stephane [FRAVA:R955:EXCH]
Sent: mardi 9 septembre 2003 16:44
To: Guilde Linux
Subject: RE: Scan from 127.0.0.1



Bonjour,

En ce qui concerne les adresses IP sources en 127.x.x.x la meilleure des
choses a faire est de jeter tout ce qui a une adresse RFC1918 ou réservée
type 127.x.x.x à la poubelle lorsque ça rentre sur l'interface Wan (hors
paquet interne d'une trame IPSec bien sur). 

>       Peut-être que ce sont des paquets TCP forgés "à la main" avec cette 
>adresse IP en 127.0.0.1, histoire qu'un firewall un peu mal configuré ne 
>le voit pas. Mais quand à comprendre l'intérêt de la chose, j'avoue que 
>ce n'est pas ca. A moins que ce ne soit une technique de scan IP un peu 
>exotique ?


Il est impossible que ça soit un proxy, car il ne ferait pas de scan et ne
donnerait pas les bits RST et ACK validés et le tout avec des fenetres TCP à
0, donc c'est un port scan qui à l'avantage de ne pas savoir qui en est
l'auteur (pas besoin de hacker un routeur, un PC pour le faire). Au passage
certaines stacks IP sont de ma souvenances un peu sensibles à la fenetre
TCP=0 avec des connexions non valides et des bits de suivi non cohérents.

Malheureusement les opérateurs type free ne peuvent pas tout le temps se
permettre de filtrer tout ce qui vient du NET avec des adresses privées ou
réservées sur le réseau de transport et ne peuvent simplement que se
contenter de filtrer leurs abonnés en entrée si toutefois ils le font.

> Une connexion avec source 127.0.0.1 est curieuse car un routeur ne
> devrait pas laisser passer ça...

Faux, en ce qui concerne le routage, un routeur ne regarde que l'adresse de
destination par défaut et comme faire du "policy-routing" (cad à partir de
l'adresse source) est très lourd en CPU on ne le fait pas souvent voire pas
du tout surtout dans les réseaux à haut débits.

Voilà pour ma petite pierre.

Stéphane PEREZ
Nortel Networks.

Ce message a été envoyé sur les listes de diffusion suivantes :
Guilde
Informations sur la liste de diffusion | Messages voisins		<-RE: Scan from 127.0.0.1RE: antenne wifi->
Archive des listes de la GUILDE administré par L'administrateurLurker (version 2.3)