-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Le 24 mai 04, � 23:59, Pascal Gloor a �crit :
estimee (un simple |- prise de trace pendant quelques minutes sur la machine cible (tcpdump) - analyse des traces, tri des attaquants par nb d'attaques sur la periodegrep | awk xxx | uniq -c etc. fait l'affaire).
cela marche assez bien tant que le nombre d'ip sources est limite (capacite de l'access-list/ipfw/autres).
Sinon une solution qui marche bien (teste et approve) mais qui malheureusement est couteuse, c'est le 'guard' de riverhead (faisant partie de groupe cisco depuis peu). http://www.riverhead.com/pr/guard.html
Je rejoins l'idee de Jerome, plutot que d'investir dans du materiel couteux qui sera obsolete un jour ou l'autre a bon coup de tcpdump minutieux cad en regardant bien les champs des paquets spoofe qui passent, notamment TTL, les flags (SYN/ACK/URG/RST ...) et aussi les numeros de sequences TCP suivie de regles adequat dans un firewall stateful (a etat) genre PF devraient deja resoudre une partie, si ce n'est pas l'integralite, du probleme.
Cordialement
/Olivier
Malheureusement, j'ai deja essay� de voir un semblant de logique dans les packets mais sans succes .
C'est totalement aleatoire (en tous cas cela le semble bien), ni l'IP source
ni le port source, ni les flags, ttl et autres ne semblent avoir de point commun .
A titre d'info sur un echantillon de 60000 packets SYN, l'ip la plus reperesent�e est a 110 packets .
En tous cas, merci pour vos commentaires.
Salim
------------------------------------------------------------- Salim Gasmi Directeur technique - Sdv Plurimedia - <http://www.sdv.fr> -------------------------------------------------------------
---------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ ----------------------------------------------- Archives : http://www.frnog.org/archives.php -----------------------------------------------
