> suite à un "tcpdump -i ppp0"
> comment interpréter les lignes suivantes, sachant que
> 62.147.72.211 est l'adresse que m'a attribué mon FAI
>
> 12:44:18.517049 127.0.0.1.http > 62.147.72.211.1990: R 0:0(0) ack 1326055425
> win 0
>
> 12:44:33.094348 127.0.0.1.http > 62.147.72.211.1937: R 0:0(0) ack 573964289
> win 0
>
> j'ai du mal à piger
> même après un man tcpdump
>
> je précise que j'ai pas de serveur web qui tourne sur la babasse en question
>
> une idée
Oui.
J'ai posé la même question il y a quelques temps sur la Guilde, et la
réponse est que ce sont les restes d'une tentative d'intrusion/DDOS sur
les routeurs de ton FAI. Plus exactement de celui qui se trouve au bout
de ta connexion.
Ce type de paquets n'a rien à faire en dehors de l'interface loopback,
et encore moins sur Internet. Je ne sais pas par contre si un petit
rigolo peut s'amuser à jouer avec ceci pour tenter de rentrer dans ta
machine, mais comme 2 précautions valent mieux qu'une, tu peux :
- configurer ton kernel pour qu'il refuse ce type de paquets anormaux :
for Filter in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 1 > $Filter ;
done
- configurer netfilter, le firewall de Linux, pour qu'il protège ta machine.
Pour cela, je t'invite à lire ma doc :
http://olivieraj.free.fr/fr/linux/information/firewall/
J'ai créé un script très simple à configurer et qui permet de sécuriser
grandement ta machine. Tu le trouveras ici :
http://olivieraj.free.fr/fr/linux/programme/netfilter_cfg/
Si tu regardes le source de celui-ci, tu trouveras le morceau de code
ci-dessus, avec une explication (cherche "KERNEL_") :
http://olivieraj.free.fr/fr/linux/programme/netfilter_cfg/archives/netfilter_cfg.tgz
Olivier
