Re, On Fri, 2015-07-24 at 14:58 +0200, jehan procaccia INT wrote: > apres analyse pcap du trafic incriminé, extrait : > des milliers de paquets avec le Flag S (Sync) cf : >(...) > > http://albanianwizard.org/how-to-read-tcpdump-output-tcpdump-advanced-use.albanianwizard > montre qu'il s'agit vraisemblablement d'un SynFlood attack > > je me lance alors dans l'espoir d'intercepter ça avec les outils > cisco > http://www.sans.org/security-resources/idfaq/syn_flood.php > http://ccie-or-null.net/tag/cisco-tcp-intercept/ > http://www.ciscopress.com/articles/article.asp?p=345618&seqNum=3 > > Helas, sur mon 6500E pas de commande ip tcp intercept :-( ! > ça sort d'où cette commande ? n'est pas disponible par défaut ?
Probablement disponible sur une autre plateforme que les 6k5. Non, mais plus sérieusement, tu devrais poser sur ton ASR une ACL ingress sur l'interface vers ton réseau interne, n'autorisant que les subnets IP qu'elle est supposée recevoir, à savoir les réseaux publics passant par ce routeur. Et du coup, tu peux te passer de ton ACL egress. -- Clément Cavadore --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
