et pour le port de destination? est-il fixe, ou al�atoire? possibilit� de le bloquer au niveau du routeur si le port est fixe et inutilis� sur la machine de destination (peut probable, mais toujours possible)
Salutations, Johan Denoyer [EMAIL PROTECTED] Digital Connexion http://www.digital-connexion.info Salim Gasmi a dit : > At 5/25/2004 03:26 AM, Olivier Warin wrote: >>-----BEGIN PGP SIGNED MESSAGE----- >>Hash: SHA1 >> >>Le 24 mai 04, � 23:59, Pascal Gloor a �crit : >> >>>>- prise de trace pendant quelques minutes sur la machine cible >>>> (tcpdump) >>>>- analyse des traces, tri des attaquants par nb d'attaques sur la >>>> periode >>>estimee (un simple | >>>>grep | awk xxx | uniq -c etc. fait l'affaire). >>> >>>cela marche assez bien tant que le nombre d'ip sources est limite >>> (capacite >>>de l'access-list/ipfw/autres). >>> >>>Sinon une solution qui marche bien (teste et approve) mais qui >>>malheureusement est couteuse, c'est le 'guard' de riverhead (faisant >>> partie >>>de groupe cisco depuis peu). http://www.riverhead.com/pr/guard.html >> >>Je rejoins l'idee de Jerome, plutot que d'investir dans du materiel >>couteux qui sera obsolete un jour ou l'autre a bon coup de tcpdump >>minutieux cad en regardant bien les champs des paquets spoofe qui >> passent, >>notamment TTL, les flags (SYN/ACK/URG/RST ...) et aussi les numeros de >>sequences TCP suivie de regles adequat dans un firewall stateful (a etat) >>genre PF devraient deja resoudre une partie, si ce n'est pas >>l'integralite, du probleme. >>Cordialement >> /Olivier > > Malheureusement, j'ai deja essay� de voir un semblant de logique > dans les packets mais sans succes . > > C'est totalement aleatoire (en tous cas cela le semble bien), ni l'IP > source > ni le port source, ni les flags, ttl et autres ne semblent avoir de point > commun . > > A titre d'info sur un echantillon de 60000 packets SYN, l'ip la plus > reperesent�e est a 110 packets . > > En tous cas, merci pour vos commentaires. > > Salim > > ------------------------------------------------------------- > Salim Gasmi > Directeur technique - Sdv Plurimedia - <http://www.sdv.fr> > ------------------------------------------------------------- > > > > ---------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > ----------------------------------------------- > Archives : > http://www.frnog.org/archives.php > ----------------------------------------------- > ---------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ ----------------------------------------------- Archives : http://www.frnog.org/archives.php -----------------------------------------------
