bad traffic loopback

[krovikan]

Bonjour a tous.

J'utilise depuis peu IP cop qui fonctionne tres bien en tant que fire wall et passerelle internet.

Pa contre quand j'active le systeme de detection des intrusions, je tombe sur plein de ligne qui ressemble a ça:

Date: 05/05 18:36:41 Nom: BAD TRAFFIC loopback traffic
Priorité: 2 Type: Potentially Bad Traffic
Informations sur l'adresse IP: 127.0.0.4:52428 -> 255.255.255.255:53
Références: aucune entrée trouvée SID: 528

c'est toujours cette adresse de loopback 127.0.0.4, mais qui n'est pas definit dans les informations sur IPCOP, je n'ai bien que la 127.0.01

Par contre le numéro de port change sans arret.

Moi j'avoue que je seche quant a trouver l'expliquation de cette adresse

Merci a vous d'avance

[vaneay]

Hum ça arrive par quel coté ?
RED ou GREEN ?


Si c'est par RED, ça doit etre une des nombreuses variantes d'un vers de type MSblaster ou Sasser
Quoi que le truc étrange c'est que ça ressemble a une requette DNS forgée et envoyée en broadcast
on dirait qqun qui cherche un service DNS mais c'est un peu bourrin comme méthode.

Si c'est sur GREEN, c'est surement un poste client mal configuré.
LE mode de diffusion en broadcast me fait penser à du Netbios au premier abord, mais la recherche du service DNS on dirait un équipement de réseau autonome, comme une imprimante, un switch managable un Acces Point, ...

Ca peut aussi etre une machine infecté qui tente de sortir ...

Enfin bon voila quelques pistes à explorer.

[tomtom]

essaye ca et reposte si ca marche pas :

search.php

--> lock

t.