traffic suspect : reception de plein de pacquets SYN,ACT

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

traffic suspect : reception de plein de pacquets SYN,ACT

Messagepar fanou78 » 30 Déc 2005 01:30

Bonsoir à tous,

voici mon petit "Problème" :

Configuration Réseau :

LAN (srvs WEB accessibles depuis le WAN) =>eth1 firewall (iptables)pppoe (speedtouch) => Internet

j'ai installé IPTRAF pour surveiller ce qui rentrait/sortait sur l'interface ppp0 de mon firewall. Et là, grosse surprise :

je reçois tout un tas de trames (Syn,ACT) de pleins d'adresses IP sur le NET !!! :

┌216.171.147.246:80 = 1 44 S-A- ppp0 │
│└xx.xx.xx.xx:2277 = 0 0 ---- ppp0 │
│┌64.79.2.54:80 = 9 396 S-A- ppp0 │
│└xx.xx.xx.xx:1350 = 0 0 ---- ppp0 │
│┌217.249.31.99:65385 = 13 572 S-A- ppp0 │
│└xx.xx.xx.xx:2685 = 0 0 ---- ppp0 │
│┌66.80.240.53:80 = 1 44 S-A- ppp0 │
│└xx.xx.xx.xx:1633 = 0 0 ---- ppp0 │
│┌208.251.110.169:80 = 1 44 S-A- ppp0 │
│└xx.xx.xx.xx:4053 = 0 0 ---- ppp0 │
│┌216.171.152.222:80 = 1 44 S-A- ppp0 │
│└xx.xx.xx.xx:3329 = 0 0 ---- ppp0


Dans la "copie d'ecran" ci-dessus on voit bien que les adresses
216.171.147.246:80, 64.79.2.54:80, 217.249.31.99:80, .., ..,216.171.152.222:80

me renvoient tous des trames (S-A).

Or si je regarde le traffic entrant et sortant de mon interface LAN (eth1) par IPTRAF je n'ai aucune activité réseau !!!

=> on dirait que des serveurs repondent à une solicitation de ma part mais il semblerait que je n'ai rien à voir la dedans.

EN plus ce qui est inquietant c'est que j'ai tjs une adresse dans le range 217.249.XX.XX qui repondent en permanence depuis le port 65385 vers le port 2685 (mon adresse wan).


J'ai beau tourner le pb dans tous les sens. je ne sais plus quoi faire.

Si vous pouviez me filler un coup de main, cela serait bien cool.

Merci d'avance.

PS: je peux poster mes regles de firewall si vous en avez besoins.
fanou78
Matelot
Matelot
 
Messages: 3
Inscrit le: 30 Déc 2005 01:15

Messagepar micjack » 30 Déc 2005 02:38

fanou78 a écrit:Dans la "copie d'ecran" ci-dessus

Il n'y a aucune copie d'ecran :?

Dans tous les cas, il faut analyser les ports sources et de destination.. Dans ton cas et au premier abord, je ne vois rien...
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar fanou78 » 30 Déc 2005 02:53

La galere c'est que les serveurs envoient tous depuis leur port 80 vers un port different de mon adresse WAN. Et sur ces ports (de mon adresse IP WAN) je n'ai rien en ecoute. (j'ai que 2 ports ouverts : 80 et 8080 redirigeant vers un serveur apache faisant office de redirecteur pour une 10aine de petits sites web en Lan).

Pour le moment cela ne sent pas bon du tout. J'ai mon FAI qui vient de me contacter en me disant que mon ip n'arretait pas de tenter de se connecter à des ports 80 sur des tas d'adresses IP.

=> c'est pour cela que je reçois pleins de "reponse" à mon avis des serveurs que j'ai lister dans mon premier post. Mais GROS PROBLEME : profitant de la mise off line des serveurs web, j'ai DEBRANCHE la pate LAN de mon firewall et là surprise je continue à recevoir les memes trames depuis des ports 80.

Ne serait-pas possible que quelqu'un arrive à "usurper" mon IP et lance des attaques sur les ports 80 des serveurs et que moi, j'en reçoit le retour (SYN,ACT) ?.


PS j'en ai aussi profité pour changer de firewall (IPCOP => devil Linux)
mais j'ai tjs le meme pb. (c'est donc que le firewall n'ait pas incriminé).



:cry:
fanou78
Matelot
Matelot
 
Messages: 3
Inscrit le: 30 Déc 2005 01:15

Messagepar micjack » 30 Déc 2005 02:59

j'ai DEBRANCHE la pate LAN de mon firewall et là surprise je continue à recevoir les memes trames depuis des ports 80.


Plus d'éxplications sur la constitution de ton réseau ?? :?
micjack
Amiral
Amiral
 
Messages: 3113
Inscrit le: 06 Juin 2003 00:00
Localisation: Varois

Messagepar Franck78 » 30 Déc 2005 03:40

fanou78 a écrit:J'ai mon FAI qui vient de me contacter en me disant que mon ip n'arretait pas de tenter de se connecter à des ports 80 sur des tas d'adresses IP.


Si il t'appelle c'est que tu as une IP fixe, un abonnement ou un service particulier. Il pourrait t'aider un peu plus que cette simple affirmation.

Je navigue toute la journée, je contacte sans arrêt des serveur:80, rien d'anormal à ca....

Alors pourquoi pense-t-il qu'il y a problème? Qu'il te donne des plages horaires "d'activité anormale", tu pourrais éventuellement recouper avec un client sur ton lan.

Mais si tu es certain que rien ne vient de chez toi, alors que voit-il.....? Bug dans l'adressage IP? Masque foireux quelquepart? IP publique déjà attribuée ?
Changes d'IP publique si c'est possible.

bye
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar fanou78 » 30 Déc 2005 18:58

Bonsoir,

merci de vous interresser à mon "cas".

Ce qui me fait dire qu'il y a un serieux problème : Nous avons debranché (physiquement) la patte LAN de notre firewall.
1) => plus aucun traffic ne peut donc etre emis depuis notre LAN.
2) nous avons meme changé de firewall pour passer sur une autre release. (au cas ou se serait notre "bestiau" qui se serait fait hacker).
3) et nous continuons à recevoir ces trames SYN,ACK de tonnes d'adresses IP. Chacune de ces adresses IP nous renvoit une trame toutes les 1 secondes :
1iere IP puis 1 seconde plus tard 2ieme IP..... etc.....
4) cela dure 24/24h avec des variations sur les plages d'adresse IP qui nous repondent.

=> ce qui me fait dire :

1) Ce n'est pas nous (notre LAN) qui generont une trame SYN en direction de ces adresses (ce que j'ai peut confirmer via IPTRAF (aucune trame n'est envoyée, renvoyée depuis notre Firewall....)
2) Si une adresse IP repond ce genre de trame vers notre adresse IP c'est bien que l'adresse à été sollicitée par "soit-disant" notre IP. Or ce n'est pas le cas.
3) la frequence et les plages variables utilisées me font penser immédiatement à quelqu'un qui utiliserait un BOT pour scanner les potentiels site web (puisque c'est du port 80 que lo'n nous repond) en vue de trouver une faille.

Le hic c'est qu'il y a dans ce cas, une usurpassion de l'IP source (puisque les IP des site web potentiels nous repondent sur notre IP).

Et là soucis, je vois pas quelle démarche je peux faire pour arreter ce put.... de bord.... de mer... !!!

J'ai penser à changer d'IP, mais cela potentiellmeent ne resoudrait pas le pb (en effet cela pourrait recommencer demain ou dans 1 mois.....).
fanou78
Matelot
Matelot
 
Messages: 3
Inscrit le: 30 Déc 2005 01:15

Messagepar Franck78 » 30 Déc 2005 20:43

Et bien ton IP est la cible d'un malfaisant. A toi de chercher pourquoi. Tu vends des crottes aux chocolats par correspondance et ton concurrent est très heureux de voir ton site 'en panne' précisément maintenant. C'est juste un exemple, bien sur....
Mais dès que tu auras une idée, tu auras des suspects! Voir aussi en interne, ou un licencié.

Changement d'IP: ca permettra de vérifier que tu es vraiment la cible et non une IP prise au hazard.
Quand à remonter au déclencheur d'une telle attaque, pas facile. Il faudrait contacter les admins des machines sources, pour essayer de remonter au pilote de tout ça. Pas facile.
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Google [Bot] et 0 invité(s)

cron