Ce qui m'étonnes c'est que les martiens de Blaster sont comme suit: 8. The DoS traffic has the following characteristics: * Is a SYN flood on port 80 of windowsupdate.com. * Tries to send 50 HTTP packets every second. * Each packet is 40 bytes in length. * If the worm cannot find a DNS entry for windowsupdate.com, it uses a destination address of 255.255.255.255.
Some fixed characteristics of the TCP and IP headers are: + IP identification = 256 + Time to Live = 128 + Source IP address = a.b.x.y, where a.b are from the host ip and x.y are random. In some cases, a.b are random. + Destination IP address = dns resolution of "windowsupdate.com" + TCP Source port is between 1000 and 1999 + TCP Destination port = 80 + TCP Sequence number always has the two low bytes set to 0; the 2 high bytes are random. + TCP Window size = 16384 SI le DNS n'est pas résolu, alors l'adresse de destination est mise en broadcast général (255.255.255.255). Donc ils sont violents (50/s est le but), effectivement de longueur 40, peuvent être de source 127.0.0.1 si il se goure dans la source mais est destiné au port 80. Dans ton cas c'est l'inverse. L'absence d'adresse mac est juste du à la connexion PPP je crois, l'adresse MAC dans mes paquets est celle de l'interface ethernet de la Freebox. Les paquets envoyés par Blaster pour infecter une machine se font eux très classiquement sur le port 135. (cf http://securityresponse.symantec.com/avcenter/venc/data/w32.blaster.worm.html ). Francois Boisson