Le 09/02/2014 18:51, Eugène Ngontang a écrit :
Bonjour les experts.
Bonsoir,
Dans les logs de mon proxy il y a beaucoup de requêtes refusées (normal vu
les URL demandées ci-dessous) en provenance d'un ensemble de systèmes dont
j'ai l'accès. Les systèmes sont tous sous Linux/Fedora et le proxy est un
squid. Voici un petit extrait des logs :
[...]
1391149769.412 0 X.X.X.X TCP_DENIED/403 3681 GET
http://master_ibis.local/crossdomain.xml - NONE/- text/html
1391149769.444 0 X.X.X.X TCP_DENIED/403 3657 GET
http://127.0.0.1/crossdomain.xml - NONE/- text/html
1391149769.464 0 X.X.X.X TCP_DENIED/403 3681 GET
[...]
Cependant quand je lance un * tcpdump* sur la bonne interface et chacun de
ces ports je ne capture pas de paquet, je vois juste quelques fois un
nombre de paquets filtrés mais pas capturés.
De même la commande *netstat* ne me donne aucun résultat qui match ces deux
ports, de façon à ce que je puisse récupérer le *process ID *et voir le
service derrière.
Tu ne regardes pas ce qu'il faut.
Le champ correspondant à 3681 et 3657 dans tes logs correspond à la
taille de la requête...
Les clients communiquent avec le proxy sur le port du proxy (en standard
pour squid, c'est 3128) et demande à celui-ci d'accéder à la cible.
Si tu veux voir ce trafic, soit tu te met sur le proxy et tu écoute ce
qui provient des machines sources, soit tu te met sur la source, et tu
écoutes le trafic à destination du proxy, sur le port du proxy.
[...]
Sinon, concernant l'URL, ça correspond à un nom autoconfiguré
(rendez-vous), ça pourrait être une imprimante ou autre périphérique qui
s'est annoncé et qui provoque une réponse...
Ça peux aussi être une infection, un fichier crossdomain.xml sert à
autoriser d'autres domaines à accéder à des éléments d'un site...
Bonne recherche.
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
