Dechiffrage de log d'un firewall

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Dechiffrage de log d'un firewall

Messagepar raybx » 17 Août 2004 11:00

Bonjour à tous,

Je suis relativement novice et je ne comprend pas les logs de mon firewall (routeur WiFI avec pare feu de marque MSI)

1 2004/08/14 17:05:20 FIREWALL:[TCP Sync Flooding] WAN-LAN SrcIP: 81.xxx.xxx.xxx DstIP: 80.xxx.xxx.xxx Proto: 6 SrcPort: 2408 DstPort: 4662
7 2004/08/14 14:28:57 FIREWALL:[Tiny Fragment Attack] WAN-LAN SrcIP: 213.xxx.xxx.xxx DstIP: 80.xxx.xxx.xxx Proto: 255 SrcPort: 0 DstPort: 0
8 2004/08/14 14:27:43 FIREWALL:[TCP Sync Flooding] WAN-LAN SrcIP: 80.xxx.xxx.xxx DstIP: 80.xxx.xxx.xxx Proto: 6 SrcPort: 2402 DstPort: 445
9 2004/08/14 14:27:43 FIREWALL:[TCP Sync Flooding] WAN-LAN SrcIP: 80.xxx.xxx.xxx DstIP: 80.xxx.xxx.xxx Proto: 6 SrcPort: 2401 DstPort: 445
10 2004/08/14 14:27:43 FIREWALL:[TCP Sync Flooding] WAN-LAN SrcIP: 80.xxx.xxx.xxx DstIP: 80.xxx.xxx.xxx Proto: 6 SrcPort: 2400 DstPort: 445
11 2004/08/14 14:27:41 FIREWALL:[TCP Sync Flooding] WAN-LAN SrcIP: 80.xxx.xxx.xxx DstIP: 80.xxx.xxx.xxx Proto: 6 SrcPort: 3755 DstPort: 135
12 2004/08/14 14:27:40 FIREWALL:[TCP Sync Flooding] WAN-LAN SrcIP: 213.xxx.xxx.xxx DstIP: 80.xxx.xxx.xxx Proto: 6 SrcPort: 1287 DstPort: 1723
13 2004/08/14 14:27:40 FIREWALL:[TCP Sync Flooding] WAN-LAN SrcIP: 80.xxx.xxx.xxx DstIP: 80.xxx.xxx.xxx Proto: 6 SrcPort: 2402 DstPort: 445
14 2004/08/14 14:27:40 FIREWALL:[TCP Sync Flooding] WAN-LAN SrcIP: 80.xxx.xxx.xxx DstIP: 80.xxx.xxx.xxx Proto: 6 SrcPort: 2401 DstPort: 445


Sachant que l'IP 80.xxx.xxx.xxx était la mienne, je voudrais savoir à quoi correspondent ces attaques, le moyen de les contrer.

Merci de vos réponses :)
Avatar de l’utilisateur
raybx
Matelot
Matelot
 
Messages: 4
Inscrit le: 17 Août 2004 10:48

Messagepar Oliv' » 17 Août 2004 17:26

Salut,

En ce qui concerne le TCP SYNC FLOODING, voilà une belle explication (merci Google;)):
TCP Flooding ou SYN Flooding
Il semblerait qu'en France les attaques d’accès par la technique des SynFlood réapparaissent. Cette technique est très ancienne (1986/87) mais de par les nouveaux venus sur le monde Internet (nouveaux « webmasters » NT et autres) les protections nécessaires sont peu connues sauf pour les ingénieurs réseaux et Unix.
Le principe du SynFlood est basé sur l'attaque des ports de communications IP dont le but est de bloquer les serveurs en accès.
Le SynFlood ne s'attaque qu'aux machines ayant une adresse IP officielle sur Internet et donc « OnLine » : Les serveurs Web, FTP, SMTP, etc. Le SynFlood est considéré comme « intelligent ». Il agit en fonction des ports de communication. Il questionne la machine pour connaître les ports d'utilisations disponibles. Puis il envoie une demande de synchronisation « SYNC » sur la machine:

Est-elle disponible ? La réponse de cette machine est obligatoirement « SYNC/ACK », qui est une acceptation de la synchronisation, plus simplement un « acknowledgement».
Normalement, la machine qui a initialisé l’appel devrait repondre « SYNC/ACK ». Et c'est à cet instant où le SynFlood agit puisqu’elle ne renvoie pas « ACK » (CERT. CA-96.21).
Alors, la machine appelée va essayer de renvoyer un « SYNC/ACK » à l'infini jusqu’à ce que la synchronisation se fasse.
Mais malheureusement, la synchronisation ne se fera jamais. Le but du SynFlood est de bombarder à l'infini la machine. Il aura pour conséquence de prendre un temps processeur phénoménal en ralentissant fortement tout autre accès voire même en rendant indisponible le serveur pour ceux qui ne sont pas des SynFloods.


1. Le hackeur « inonde » le serveur de demandes de connexion (SYN) avec une adresse source non valide.
2. Le serveur répond « ACK/SYN » et réserve des tampons, il n’aura jamais de réponse.
3. Le serveur est saturé et il est inaccessible.
Cette attaque est très simple à réaliser et la machine victime est indisponible durant toute la durée de l’attaque.


En ce qui concerne l'autre attaque, voici un lien: http://www.miscmag.com/articles/index.php3?page=106

Oliv'
Avatar de l’utilisateur
Oliv'
Aspirant
Aspirant
 
Messages: 128
Inscrit le: 11 Juin 2004 15:14
Localisation: FRANCE

Merci

Messagepar raybx » 18 Août 2004 09:33

Merci pour cette explication trés claire ainsi que pour lien.

A@
Avatar de l’utilisateur
raybx
Matelot
Matelot
 
Messages: 4
Inscrit le: 17 Août 2004 10:48


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité