-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Le 24 mai 04, � 23:59, Pascal Gloor a �crit :
- prise de trace pendant quelques minutes sur la machine cible (tcpdump)estimee (un simple |
- analyse des traces, tri des attaquants par nb d'attaques sur la periodegrep | awk xxx | uniq -c etc. fait l'affaire).
cela marche assez bien tant que le nombre d'ip sources est limite (capacite
de l'access-list/ipfw/autres).
Sinon une solution qui marche bien (teste et approve) mais qui
malheureusement est couteuse, c'est le 'guard' de riverhead (faisant partie
de groupe cisco depuis peu). http://www.riverhead.com/pr/guard.html
Je rejoins l'idee de Jerome, plutot que d'investir dans du materiel couteux qui sera obsolete un jour ou l'autre a bon coup de tcpdump minutieux cad en regardant bien les champs des paquets spoofe qui passent, notamment TTL, les flags (SYN/ACK/URG/RST ...) et aussi les numeros de sequences TCP suivie de regles adequat dans un firewall stateful (a etat) genre PF devraient deja resoudre une partie, si ce n'est pas l'integralite, du probleme.
Cordialement
/Olivier
- --
Warin Olivier
Xview dot net - Net & Web Services for Un*x Geeks
The Caudium Webserver (http://www.caudium.net)
"Ce n'est pas parce que les choses sont difficiles que nous n'osons pas
mais c'est parce que nous n'osons pas que les choses sont difficiles."
S�n�que
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.4 (Darwin)iD8DBQFAsqC6sBj9sTvtXyoRAlWxAKC+3BjBL0snHXtzgCK6ygJzAl4R2wCdGCom ZJomsx40nyUoVYbRazLP8WQ= =+clS -----END PGP SIGNATURE-----
---------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ ----------------------------------------------- Archives : http://www.frnog.org/archives.php -----------------------------------------------
