Ou plus en amont si possible…
Le 24 juil. 2015 à 15:04, Clement Cavadore <clem...@cavadore.net> a écrit : > Re, > > On Fri, 2015-07-24 at 14:58 +0200, jehan procaccia INT wrote: >> apres analyse pcap du trafic incriminé, extrait : >> des milliers de paquets avec le Flag S (Sync) cf : >> (...) >> >> http://albanianwizard.org/how-to-read-tcpdump-output-tcpdump-advanced-use.albanianwizard >> montre qu'il s'agit vraisemblablement d'un SynFlood attack >> >> je me lance alors dans l'espoir d'intercepter ça avec les outils >> cisco >> http://www.sans.org/security-resources/idfaq/syn_flood.php >> http://ccie-or-null.net/tag/cisco-tcp-intercept/ >> http://www.ciscopress.com/articles/article.asp?p=345618&seqNum=3 >> >> Helas, sur mon 6500E pas de commande ip tcp intercept :-( ! >> ça sort d'où cette commande ? n'est pas disponible par défaut ? > > Probablement disponible sur une autre plateforme que les 6k5. > > Non, mais plus sérieusement, tu devrais poser sur ton ASR une ACL > ingress sur l'interface vers ton réseau interne, n'autorisant que les > subnets IP qu'elle est supposée recevoir, à savoir les réseaux publics > passant par ce routeur. Et du coup, tu peux te passer de ton ACL egress. > > -- > Clément Cavadore > > > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
