Snort loopback

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Messagepar everest » 29 Août 2003 11:27

<BR>Bonjour, <BR> <BR>Je viens d'obtenir plusieurs log avec Snort 2.0.1 du style : <BR> <BR>bad-traffic loopback traffic 127.0.0.1:80 -> 62.147.188.48:1436 <IMG SRC="images/smiles/icon_confused.gif"> <BR>bad-traffic loopback traffic 127.0.0.1:80 -> 62.147.188.48:1008 <BR>... <BR> <BR>Est ce que quelqu'un sait ce que c'est, d'ou ca vient et comment y remedier ? <BR> <BR>NEMESIS y a deja fait allusion sur le forum mais il n'a pas donné de réponse <IMG SRC="images/smiles/icon_bawling.gif"> <BR> <BR>Merci pour votre aide.
C'est en forgeant...qu'on devient forgeron !
Avatar de l’utilisateur
everest
Second Maître
Second Maître
 
Messages: 41
Inscrit le: 29 Août 2003 00:00
Localisation: Paris/Ile-de-France

Messagepar nemesis » 29 Août 2003 11:36

bh apparement dixit tomtom c'est du ipspoofing (y en a un qui essaye de faire croire à ipcop que c'est lui même) or ceci est normalement bloqué par les règles d'antispoof (la 1.2 le fait en tout cas je crois!). <BR> <BR> <BR>pour y remédier (ie retire ce logs de snort) je dois avouer que je me suis pas posé encore la question par contre je me suis farcis un mail a <!-- BBcode auto-mailto start --><a href="mailto:abuse@free.fr">abuse@free.fr</a><!-- BBCode auto-mailto end --> car dans mes logs j'ai un paquet d'ip fixe de chez free et dc je leur ai demandé de bien vouloir signaler à leur utilisateurs le problème.
ce n'est pas parce qu'il n'y a pas de preuve qu'une chose existe qu'elle ne peut pas exister
Avatar de l’utilisateur
nemesis
Amiral
Amiral
 
Messages: 1954
Inscrit le: 01 Jan 2003 01:00
Localisation: 75

Messagepar tomtom » 29 Août 2003 11:40

Ca c'est clairement un spoofing d'adresse source, avec une ipée reservée au loopback et en plus un port souvent ouvert sur des firewall non statefulls.... <BR> <BR>Bref, du boudin.... <BR> <BR>Par contre, il faudrait verifier que IPCop bloque ceci, en ajoutant les règles d'antispoofing d'antolien (Je ne sais pas si la 127.0.0.0) <BR> <BR> <BR>T.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar everest » 29 Août 2003 11:47

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-08-29 11:36, nemesis a écrit: <BR>bh apparement dixit tomtom c'est du ipspoofing (y en a un qui essaye de faire croire à ipcop que c'est lui même) or ceci est normalement bloqué par les règles d'antispoof (la 1.2 le fait en tout cas je crois!). <BR> <BR> <BR>pour y remédier (ie retire ce logs de snort) je dois avouer que je me suis pas posé encore la question par contre je me suis farcis un mail a <!-- BBcode auto-mailto start --><a href="mailto:abuse@free.fr">abuse@free.fr</a><!-- BBCode auto-mailto end --> car dans mes logs j'ai un paquet d'ip fixe de chez free et dc je leur ai demandé de bien vouloir signaler à leur utilisateurs le problème. <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Etant un petit nouveau dans le domaine, je vais peut etre poser une question bete mais....c'est quoi exactement du ipspoofing....c'est dangereux ? <BR> <BR>PS : Je n'ai pas ipcop mais shorewall ! Que dois je faire avec mon shorewall pour ne plus avoir d'ipspoofing ? Quelles sont les regles d'antispoofing ? <BR> <BR>Merci d'avance.
C'est en forgeant...qu'on devient forgeron !
Avatar de l’utilisateur
everest
Second Maître
Second Maître
 
Messages: 41
Inscrit le: 29 Août 2003 00:00
Localisation: Paris/Ile-de-France

Messagepar tomtom » 29 Août 2003 11:55

ALors dans l'ordre.. Du IP Spoofing, c'est toute operation qui consiste à modifier dans les paquets ip les adresses sources et/ou destination. Cela peut avoir plusieurs objectif, franchir un firewall en est un. <BR> <BR>Sous shorewall je ne sais pas bien faire les règles. Attention, Snort detecte l'attaque, il est tout à fait possible que le firewall ait bloqué les paquets quand même, cela ne veut pas dire du tout que les paquets soient passés ! <BR> <BR>Les règles consistent à rejeter les paquets arrivant sur l'interface externe et utilisant une ip interdite comme ip source et/ou destination (ip privée, ip de loopback, ip mlticast/broadcast (surtout comme source !) ... ) <BR> <BR>Voila, encore une fois, même s'il n'y a pas de règle exeplicite pour bloquer ça, il y a de grandes chances que tu ne sois pas vulnerable, car souvent les règles netfilter sont basées sur des interfaces plutot que des ip, donc ces paquets seraient surement rejetés de toutes façon. Tu dois pouvoir voir ça si tes règles sont correctes dans les logs (/var/log/messages.log ou kernel.log) <BR> <BR> <BR>T.
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar everest » 29 Août 2003 12:01

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-08-29 11:55, tomtom a écrit: <BR>ALors dans l'ordre.. Du IP Spoofing, c'est toute operation qui consiste à modifier dans les paquets ip les adresses sources et/ou destination. Cela peut avoir plusieurs objectif, franchir un firewall en est un. <BR> <BR>Sous shorewall je ne sais pas bien faire les règles. Attention, Snort detecte l'attaque, il est tout à fait possible que le firewall ait bloqué les paquets quand même, cela ne veut pas dire du tout que les paquets soient passés ! <BR> <BR>Les règles consistent à rejeter les paquets arrivant sur l'interface externe et utilisant une ip interdite comme ip source et/ou destination (ip privée, ip de loopback, ip mlticast/broadcast (surtout comme source !) ... ) <BR> <BR>Voila, encore une fois, même s'il n'y a pas de règle exeplicite pour bloquer ça, il y a de grandes chances que tu ne sois pas vulnerable, car souvent les règles netfilter sont basées sur des interfaces plutot que des ip, donc ces paquets seraient surement rejetés de toutes façon. Tu dois pouvoir voir ça si tes règles sont correctes dans les logs (/var/log/messages.log ou kernel.log) <BR> <BR> <BR>T. <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Merci pour les infos....je vais me pencher sur la chose <IMG SRC="images/smiles/icon_smile.gif">
C'est en forgeant...qu'on devient forgeron !
Avatar de l’utilisateur
everest
Second Maître
Second Maître
 
Messages: 41
Inscrit le: 29 Août 2003 00:00
Localisation: Paris/Ile-de-France

Messagepar everest » 29 Août 2003 17:17

J'ai jeté un coup d'oeil dans mes log et malheureusement je n'ai aucune trace du trafic mentionné par Snort. <IMG SRC="images/smiles/icon_bawling.gif"> Je ne sais donc pas si ca passe ou non...ca reste un mystere pour moi. <BR> <BR>J'ai egalement regardé ce qu'on raconte a propos de cette alert sur le site de Snort et c'est pas beaucoup mieux.... <BR> <BR>J'aimerais bien pouvoir trouver une solution car je recois des alert environ toutes les 2 minutes <IMG SRC="images/smiles/icon_cussing.gif"> et c'est pas cool... <BR> <BR>Si vous avez une solution au probleme....je suis preneur <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>Merci <BR> <BR>E. <IMG SRC="images/smiles/icon_bawling.gif"> <BR>
C'est en forgeant...qu'on devient forgeron !
Avatar de l’utilisateur
everest
Second Maître
Second Maître
 
Messages: 41
Inscrit le: 29 Août 2003 00:00
Localisation: Paris/Ile-de-France

Messagepar nemesis » 29 Août 2003 17:27

je suis dans le même cas j'essayerai une analyse poussée ce soir là je suis au boulot.
ce n'est pas parce qu'il n'y a pas de preuve qu'une chose existe qu'elle ne peut pas exister
Avatar de l’utilisateur
nemesis
Amiral
Amiral
 
Messages: 1954
Inscrit le: 01 Jan 2003 01:00
Localisation: 75

Messagepar archi » 29 Août 2003 17:45

Mmmh... <BR>Etes vous sûr que vous n'etes pas la source de ces alertes? <BR>Ca m'etonne fortement que votre fai ne bloque pas ces adresses sources.. c le b.a ba. sauf si... <BR>Ca me rappele les alertes de spoof sortant sur un fw alors qu'en fait c'etait ce c** de NT qui prenait l'adresse IP de l'interface 1 alors qu'il parlait sur l'interface 2. c'est tjrs le cas pour ce NT d'ailleurs... <BR> <BR> <BR>
Avatar de l’utilisateur
archi
Premier-Maître
Premier-Maître
 
Messages: 46
Inscrit le: 21 Mai 2003 00:00

Messagepar nemesis » 29 Août 2003 17:56

j'ai pas de nt. <BR> <BR>j'ai pas changé de config réseau. <BR> <BR>et c tt nouveau (une semain eenviron).
ce n'est pas parce qu'il n'y a pas de preuve qu'une chose existe qu'elle ne peut pas exister
Avatar de l’utilisateur
nemesis
Amiral
Amiral
 
Messages: 1954
Inscrit le: 01 Jan 2003 01:00
Localisation: 75

Messagepar Argenlos » 30 Août 2003 08:50

Pareil, cela ne fait que 4 jours que ça à debuter, avant rien, et ma configuration reseau est toujours la même.
Petit deviendra grand...
Avatar de l’utilisateur
Argenlos
Amiral
Amiral
 
Messages: 1120
Inscrit le: 31 Juil 2002 00:00
Localisation: Montagu vendée

Messagepar nemesis » 30 Août 2003 11:55

juse par curiosité tu es chez quel provider, sur kel type d'abonnement et d'ou vienne tes allertes? (fai d'origine) <BR> <BR>moi c free <BR>degroupe et les sources sont chez free
ce n'est pas parce qu'il n'y a pas de preuve qu'une chose existe qu'elle ne peut pas exister
Avatar de l’utilisateur
nemesis
Amiral
Amiral
 
Messages: 1954
Inscrit le: 01 Jan 2003 01:00
Localisation: 75

Messagepar mOuNs044 » 30 Août 2003 12:51

BJ, <BR>g moi aussi un soucis du même type : <BR> <BR>Date: 08/30 12:46:57 Nom: BAD TRAFFIC loopback traffic <BR>Priorité: 2 Type: Potentially Bad Traffic <BR>Informations sur l'adresse IP: 127.0.0.1:80 -> 62.147.xxx.xxx:1353 <BR>Références: aucune entrée trouvée SID: 528 <BR> <BR>accés FREE adsl 512k <BR>cela pourrait-il venir de chez eux ou y'a pb dans notre propre config ? <BR>parce que jusqu'a maintenant j'avais pas eu de pb ( je ne m'étais pas trop penché sur la question non plus.... <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>pour la provenance g pas pigé la question <IMG SRC="images/smiles/icon_confused.gif">
-La théorie c quand on sait tout mais que rien ne fonctionne.
-La pratique c quand tout fonctionne mais qu'on ne sait pas pourquoi...
-- AE
Avatar de l’utilisateur
mOuNs044
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 210
Inscrit le: 04 Août 2003 00:00
Localisation: Nantes

Messagepar nemesis » 30 Août 2003 13:05

ipcop permet de faire du reverse dns sur les adresses et en fait je remarque que ces loopback apparaissent en général apres un ping avec icmp ping rootkit2 et ces ping viennent majoritairement d'adsl et po mal st chez free
ce n'est pas parce qu'il n'y a pas de preuve qu'une chose existe qu'elle ne peut pas exister
Avatar de l’utilisateur
nemesis
Amiral
Amiral
 
Messages: 1954
Inscrit le: 01 Jan 2003 01:00
Localisation: 75

Messagepar Argenlos » 30 Août 2003 13:11

Je suis chez free 512k <BR>Bon j'ai placer l'antispoofing que nous propose Antolien ( ds le fichier rc.firewall)sur sont site, apres reboot, c'est toujours pareil grrrr <BR> <BR>Il faut bien placer les lignes de la doc d'Antolien juste avant "exit 0", ou ailleur? <BR> <BR> <BR>J'ai encore des logs qui s'ajouter dans le journal de detection d'intrusion, c'est normal? <BR> <BR> <BR>Le c.. qui m'envoie ces Mer... <BR>vient de là: <BR> <BR> <BR>********************************************* <BR>OrgName: Internet Assigned Numbers Authority <BR>OrgID: IANA <BR>Address: 4676 Admiralty Way, Suite 330 <BR>City: Marina del Rey <BR>StateProv: CA <BR>PostalCode: 90292-6695 <BR>Country: US <BR> <BR>NetRange: 127.0.0.0 - 127.255.255.255 <BR>CIDR: 127.0.0.0/8 <BR>NetName: LOOPBACK <BR>NetHandle: NET-127-0-0-0-1 <BR>Parent: <BR>NetType: IANA Special Use <BR>Comment: Please see RFC 3330 for additional information. <BR>RegDate: <BR>Updated: 2002-10-14 <BR> <BR>OrgAbuseHandle: IANA-IP-ARIN <BR>OrgAbuseName: Internet Corporation for Assigned Names and Number <BR>OrgAbusePhone: +1-310-301-5820 <BR>OrgAbuseEmail: <!-- BBcode auto-mailto start --><a href="mailto:abuse@iana.org">abuse@iana.org</a><!-- BBCode auto-mailto end --> <BR> <BR>OrgTechHandle: IANA-IP-ARIN <BR>OrgTechName: Internet Corporation for Assigned Names and Number <BR>OrgTechPhone: +1-310-301-5820 <BR>OrgTechEmail: <!-- BBcode auto-mailto start --><a href="mailto:abuse@iana.org">abuse@iana.org</a><!-- BBCode auto-mailto end --> <BR> <BR># ARIN WHOIS database, last updated 2003-08-29 19:15 <BR># Enter ? for additional hints <BR>******************************************* <BR> <BR>Pour info, mon ipcop a son interface rouge sur un modem ethernet. <BR> <BR>_________________ <BR>Petit deviendra grand...peut être<BR><BR><font size=-2></font>
Petit deviendra grand...
Avatar de l’utilisateur
Argenlos
Amiral
Amiral
 
Messages: 1120
Inscrit le: 31 Juil 2002 00:00
Localisation: Montagu vendée

Suivant

Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)