Re: tcpdump

Page principale

Répondre à ce message
Auteur: Olivier Allard-Jacquin
Date:  
À: Guilde Linux
Sujet: Re: tcpdump
> suite à un "tcpdump -i ppp0"
> comment interpréter les lignes suivantes, sachant que
> 62.147.72.211 est l'adresse que m'a attribué mon FAI
>
> 12:44:18.517049 127.0.0.1.http > 62.147.72.211.1990: R 0:0(0) ack 1326055425
> win 0
>
> 12:44:33.094348 127.0.0.1.http > 62.147.72.211.1937: R 0:0(0) ack 573964289
> win 0
>
> j'ai du mal à piger
> même après un man tcpdump
>
> je précise que j'ai pas de serveur web qui tourne sur la babasse en question
>
> une idée


    Oui.


    J'ai posé la même question il y a quelques temps sur la Guilde, et la 
réponse est que ce sont les restes d'une tentative d'intrusion/DDOS sur 
les routeurs de ton FAI. Plus exactement de celui qui se trouve au bout 
de ta connexion.


    Ce type de paquets n'a rien à faire en dehors de l'interface loopback, 
et encore moins sur Internet. Je ne sais pas par contre si un petit 
rigolo peut s'amuser à jouer avec ceci pour tenter de rentrer dans ta 
machine, mais comme 2 précautions valent mieux qu'une, tu peux :
- configurer ton kernel pour qu'il refuse ce type de paquets anormaux :


for Filter in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 1 > $Filter ;
done

- configurer netfilter, le firewall de Linux, pour qu'il protège ta machine.

    Pour cela, je t'invite à lire ma doc :
http://olivieraj.free.fr/fr/linux/information/firewall/


    J'ai créé un script très simple à configurer et qui permet de sécuriser 
grandement ta machine. Tu le trouveras ici :
http://olivieraj.free.fr/fr/linux/programme/netfilter_cfg/


Si tu regardes le source de celui-ci, tu trouveras le morceau de code
ci-dessus, avec une explication (cherche "KERNEL_") :
http://olivieraj.free.fr/fr/linux/programme/netfilter_cfg/archives/netfilter_cfg.tgz

                    Olivier