[Résolu] Help Help !!! Attention MARTIAN en vue !!!

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Publier une réponse

[Résolu] Help Help !!! Attention MARTIAN en vue !!!

Messagepar le_binr » 11 Jan 2006 23:01

Bonjour,

J'ai un ipcop 1.4.0 qui tourne très bien depuis plus d'un an avec J'ai 3 interphaces. Aujourd'hui pour je ne sais quelle raison, certain de mes windows 2000 on été attaqué par lsasser (ceux qui n'avaient pas la bonne mise à jour). J'en ai donc déduit que le firewall les laisse maintenant passé, mais pourquoi ? (je n'ai pas fait de modif sur mes tables).

Je patch mes station, c ok. Par contre internet est très très très lent et je ne peux que recevoir des mail sur ma carte Orange, sinon aussi bien sur ma carte Verte que Orange (enfin les postes derrière) je ne peut pas avoir accès à internet car la réponse est trop lente (1 ping sur 5 répond).

Je regarde alors mes log d'ipcop, et voici ce que je vois :

-----------------------------------------------
Nt : 9 messages suppresses
martian source 192.168.150.22 ....


Nt : 9 messages suppresses
martian source 192.168.150.102 ....

--------------------------------------------

(192.168.150.22 n'est pas un ordinateur existant, et 192.168.150.0 est le subnet de mon interphace Orange)
ideam pour 192.168.150.102.

Et ca n'arrête pas, au moins une attaque par seconde... pas étonnant qu'internet soit long. Du coup su mon modem, la LED de ma prise RJ45 relié à mon firewall et celle relié à internet clignote constemment au même rythme.

Pensez vous que ce soit le firewall (ipcop) qui est à reinstaller, une carte réseau HS, ou un virus sur un des postes de mon LAN (ca mettonerai vu que l'ip du poste de destinataion existe pas => d'ou le message de type Martian).

Si quelqu'un a une idée je suis prenneur....
;-)

Merci d'avance !
Dernière édition par le_binr le 12 Jan 2006 16:39, édité 1 fois au total.
le_binr
Premier-Maître
Premier-Maître
 
Messages: 53
Inscrit le: 22 Mai 2004 11:38
Haut

Messagepar le_binr » 11 Jan 2006 23:48

Voici le log exact :


-----------
Jan 11 22:19:12 ipcop kernel: NET: 10 messages suppressed.
Jan 11 22:19:12 ipcop kernel: martian source 192.168.150.104 from 192.168.150.200, on dev eth0
Jan 11 22:19:12 ipcop kernel: ll header: ff:ff:ff:ff:ff:ff:00:40:f4:90:24:2f:08:06
---------------------


=> eth0 étant mon LAN (vert)
=> eth1 ma DMZ (orange)
=> 192.168.150.200 étant ma carte réseau orange


Si je fais :
ifconfig eth1 down

=> plus de martian message !!! (mais ma DMZ ne fonctionne plus)

Pensez vous que ce soit la carte réseau qui deconne ? ou le firewall qui a un soucis, ce qui expliquerait pourquoi lsasser est passé à traver ?


Merci d'avance... on avance....
;-)
le_binr
Premier-Maître
Premier-Maître
 
Messages: 53
Inscrit le: 22 Mai 2004 11:38
Haut

Messagepar Franck78 » 12 Jan 2006 00:42

Salut,

Il y a des questions auquelles tu peux répondre toi même sans perdre de temps :x
-remplacer une carte réseau,
-backup+reinstall IPCop (6 min)

Ton log est 'martian' car IPCop recoit sur eth0 quelque chose qui devrait arriver par eth1. Une trame IP avec une adresse source 192.168.150.x doit obligatoirement lui arriver par eth1 puis que c'est son LAN.

La node address 00:40:f4:90:24:2f si c'en est une devrait t'aider à retrouver l'emetteur
00-40-F4 : CAMEO Cameo Communications


Si tu down eth1, c'est normal que l'avertissement disparaisse puisqu'IPcop ne sait plus que ce réseau 192.168.150.x est Orange....
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris
Haut

Messagepar le_binr » 12 Jan 2006 10:46

Bonjour,

Merci de ton aide !
;-)

J'ai pu changer de serveur ipcop en réinstallant un nouveau identique (avec les paramètres de base).

Dès que j'active la carte orange les erreur de martian reviennent. Je l'ai donc désactivé.

Ensuite dès que la connection (RED) internet est active et que je branche mon LAN (avec mes 80 pc derrière) il n'y a pas d'erreur de martian, mais les LED du modem ne font que clignoter. Il y a donc quelque chose sur le LAN qui le solicite et empêche de naviguer correctement (on se croirait sur un 56 ko !). Mais la c'est assez étrange car je n'ai pas d'erreur de Martian ?

Si je débranche mon LAN forcement le modem n'est plus solicitée.

C'est vraiment bizard non ?

Il n'y aurait pas possibiliter d'accéder à d'autres fichiers log pour connaitre ce qui solicite autant l'interface verte ? car /var/log/message ne l'indique pas, et quand j'ai pas d'erreur martian il est très calme.

Merci de votre aide et votre expérience, c sympa !
;-)
le_binr
Premier-Maître
Premier-Maître
 
Messages: 53
Inscrit le: 22 Mai 2004 11:38
Haut

Messagepar Franck78 » 12 Jan 2006 11:01

le_binr a écrit:Bonjour,

Merci de ton aide !
;-)


Dès que j'active la carte orange les erreur de martian reviennent. Je l'ai donc désactivé.


Merci de votre aide et votre expérience, c sympa !


C'est sympa aussi d'essayer de comprendre les explications données....
Tu disposes de "tcpdump" pour voir ce qui passe par une interface particulière de ton COP.
Cherche sur le réseau GREEN la source du problème.
Tu n'as pas encore vérifié que la mac address 00:40:F4:.... existe :roll:
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris
Haut

Messagepar le_binr » 12 Jan 2006 12:08

Désolé Franck78, mais j'ai 40 de fièvre, pas dormis cette nuit, 80 utilisateurs qui n'arrête pas d'appeler... donc je n'ai pas toutes mes capacités... Merci en tout cas de ton aide, c cool.

en effet tcpdump est interessant. lorsque je le lance en consol, voici ce qu'il me dit :

-------------
10:48:59.369284 IP 192.168.100.210.2258 > 192.168.222.20.microsoft-ds: S 2836684729:2836684729(0) win 64240 <mss 1460,nop,nop,sackOK>
10:48:59.369292 IP 192.168.100.210.2259 > 192.168.125.199.microsoft-ds: S 2836741158:2836741158(0) win 64240 <mss 1460,nop,nop,sackOK>
10:48:59.369300 IP 192.168.100.210.apc-2260 > 192.168.71.192.microsoft-ds: S 2836787254:2836787254(0) win 64240 <mss 1460,nop,nop,sackOK>
10:48:59.369307 IP 192.168.100.210.2261 > 192.168.98.157.microsoft-ds: S 2836823503:2836823503(0) win 64240 <mss 1460,nop,nop,sackOK>
10:48:59.369316 IP 192.168.100.210.2263 > 192.168.31.241.microsoft-ds: S 2836859482:2836859482(0) win 64240 <mss 1460,nop,nop,sackOK>
10:48:59.369324 IP 192.168.100.210.2264 > 192.168.81.75.microsoft-ds: S 2836913003:2836913003(0) win 64240 <mss 1460,nop,nop,sackOK>
10:48:59.369330 IP 192.168.100.210.2266 > 192.168.6.9.microsoft-ds: S 2836947929:2836947929(0) win 64240 <mss 1460,nop,nop,sackOK>
10:48:59.369338 IP 192.168.100.210.2268 > 192.168.190.121.microsoft-ds: S 2837010484:2837010484(0) win 64240 <mss 1460,nop,nop,sackOK>

115 packets captured
42226 packets received by filter
41682 packets dropped by kernel
------------

Alors ni une ni deux je ping le 192.168.100.210 (avec l'option -a) et la bizard, le poste répond alors que l'utilisateur n'est pas présent. Je change de locaux pour vérifier sont poste, et quesque je ne voit ti pas ! un petit windows XP planté à la fermeture... ben voyont ! Je redemarrer est arrête le poste, et la stupéfaction, plus de saturatin du trafic réseau !!! merci tcpdump, mercu franck !!!

Je pense que l'rodinateur a été eteint lors d'une réception de message, et a bloqué. Du coup et le LAN et la DMZ (serveur de mail) étaint interrogé, d'ou les erreur martian.

Je vais progressivement rouvrire les ports précedemment utilisé (PCanywhere, GRE..) et ca devrait fonctionner.

Encore merci !
;-)
le_binr
Premier-Maître
Premier-Maître
 
Messages: 53
Inscrit le: 22 Mai 2004 11:38
Haut
Publier une réponse

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

Powered by boolaz