bad traffic loopback

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

bad traffic loopback

Messagepar krovikan » 05 Mai 2004 20:27

Bonjour a tous.

J'utilise depuis peu IP cop qui fonctionne tres bien en tant que fire wall et passerelle internet.

Pa contre quand j'active le systeme de detection des intrusions, je tombe sur plein de ligne qui ressemble a ça:

Date: 05/05 18:36:41 Nom: BAD TRAFFIC loopback traffic
Priorité: 2 Type: Potentially Bad Traffic
Informations sur l'adresse IP: 127.0.0.4:52428 -> 255.255.255.255:53
Références: aucune entrée trouvée SID: 528

c'est toujours cette adresse de loopback 127.0.0.4, mais qui n'est pas definit dans les informations sur IPCOP, je n'ai bien que la 127.0.01

Par contre le numéro de port change sans arret.

Moi j'avoue que je seche quant a trouver l'expliquation de cette adresse

Merci a vous d'avance
krovikan
Matelot
Matelot
 
Messages: 1
Inscrit le: 05 Mai 2004 20:19
Localisation: POITIERS

Messagepar vaneay » 06 Mai 2004 16:15

Hum ça arrive par quel coté ?
RED ou GREEN ?


Si c'est par RED, ça doit etre une des nombreuses variantes d'un vers de type MSblaster ou Sasser
Quoi que le truc étrange c'est que ça ressemble a une requette DNS forgée et envoyée en broadcast
on dirait qqun qui cherche un service DNS mais c'est un peu bourrin comme méthode.

Si c'est sur GREEN, c'est surement un poste client mal configuré.
LE mode de diffusion en broadcast me fait penser à du Netbios au premier abord, mais la recherche du service DNS on dirait un équipement de réseau autonome, comme une imprimante, un switch managable un Acces Point, ...

Ca peut aussi etre une machine infecté qui tente de sortir ...

Enfin bon voila quelques pistes à explorer.
S'il n'y a pas de solution, c'est qu'il n'y as pas de probleme.
Avatar de l’utilisateur
vaneay
Premier-Maître
Premier-Maître
 
Messages: 67
Inscrit le: 30 Sep 2002 00:00
Localisation: france

Messagepar tomtom » 06 Mai 2004 17:30

essaye ca et reposte si ca marche pas :

search.php

--> lock

t.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron