Snort loopback

[everest]

<BR>Bonjour, <BR> <BR>Je viens d'obtenir plusieurs log avec Snort 2.0.1 du style : <BR> <BR>bad-traffic loopback traffic 127.0.0.1:80 -> 62.147.188.48:1436 <IMG SRC="images/smiles/icon_confused.gif"> <BR>bad-traffic loopback traffic 127.0.0.1:80 -> 62.147.188.48:1008 <BR>... <BR> <BR>Est ce que quelqu'un sait ce que c'est, d'ou ca vient et comment y remedier ? <BR> <BR>NEMESIS y a deja fait allusion sur le forum mais il n'a pas donné de réponse <IMG SRC="images/smiles/icon_bawling.gif"> <BR> <BR>Merci pour votre aide.

[nemesis]

bh apparement dixit tomtom c'est du ipspoofing (y en a un qui essaye de faire croire à ipcop que c'est lui même) or ceci est normalement bloqué par les règles d'antispoof (la 1.2 le fait en tout cas je crois!). <BR> <BR> <BR>pour y remédier (ie retire ce logs de snort) je dois avouer que je me suis pas posé encore la question par contre je me suis farcis un mail a <!-- BBcode auto-mailto start --><a href="mailto:abuse@free.fr">abuse@free.fr</a><!-- BBCode auto-mailto end --> car dans mes logs j'ai un paquet d'ip fixe de chez free et dc je leur ai demandé de bien vouloir signaler à leur utilisateurs le problème.

[tomtom]

Ca c'est clairement un spoofing d'adresse source, avec une ipée reservée au loopback et en plus un port souvent ouvert sur des firewall non statefulls.... <BR> <BR>Bref, du boudin.... <BR> <BR>Par contre, il faudrait verifier que IPCop bloque ceci, en ajoutant les règles d'antispoofing d'antolien (Je ne sais pas si la 127.0.0.0) <BR> <BR> <BR>T.

[everest]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-08-29 11:36, nemesis a écrit: <BR>bh apparement dixit tomtom c'est du ipspoofing (y en a un qui essaye de faire croire à ipcop que c'est lui même) or ceci est normalement bloqué par les règles d'antispoof (la 1.2 le fait en tout cas je crois!). <BR> <BR> <BR>pour y remédier (ie retire ce logs de snort) je dois avouer que je me suis pas posé encore la question par contre je me suis farcis un mail a <!-- BBcode auto-mailto start --><a href="mailto:abuse@free.fr">abuse@free.fr</a><!-- BBCode auto-mailto end --> car dans mes logs j'ai un paquet d'ip fixe de chez free et dc je leur ai demandé de bien vouloir signaler à leur utilisateurs le problème. <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Etant un petit nouveau dans le domaine, je vais peut etre poser une question bete mais....c'est quoi exactement du ipspoofing....c'est dangereux ? <BR> <BR>PS : Je n'ai pas ipcop mais shorewall ! Que dois je faire avec mon shorewall pour ne plus avoir d'ipspoofing ? Quelles sont les regles d'antispoofing ? <BR> <BR>Merci d'avance.

[tomtom]

ALors dans l'ordre.. Du IP Spoofing, c'est toute operation qui consiste à modifier dans les paquets ip les adresses sources et/ou destination. Cela peut avoir plusieurs objectif, franchir un firewall en est un. <BR> <BR>Sous shorewall je ne sais pas bien faire les règles. Attention, Snort detecte l'attaque, il est tout à fait possible que le firewall ait bloqué les paquets quand même, cela ne veut pas dire du tout que les paquets soient passés ! <BR> <BR>Les règles consistent à rejeter les paquets arrivant sur l'interface externe et utilisant une ip interdite comme ip source et/ou destination (ip privée, ip de loopback, ip mlticast/broadcast (surtout comme source !) ... ) <BR> <BR>Voila, encore une fois, même s'il n'y a pas de règle exeplicite pour bloquer ça, il y a de grandes chances que tu ne sois pas vulnerable, car souvent les règles netfilter sont basées sur des interfaces plutot que des ip, donc ces paquets seraient surement rejetés de toutes façon. Tu dois pouvoir voir ça si tes règles sont correctes dans les logs (/var/log/messages.log ou kernel.log) <BR> <BR> <BR>T.

[everest]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-08-29 11:55, tomtom a écrit: <BR>ALors dans l'ordre.. Du IP Spoofing, c'est toute operation qui consiste à modifier dans les paquets ip les adresses sources et/ou destination. Cela peut avoir plusieurs objectif, franchir un firewall en est un. <BR> <BR>Sous shorewall je ne sais pas bien faire les règles. Attention, Snort detecte l'attaque, il est tout à fait possible que le firewall ait bloqué les paquets quand même, cela ne veut pas dire du tout que les paquets soient passés ! <BR> <BR>Les règles consistent à rejeter les paquets arrivant sur l'interface externe et utilisant une ip interdite comme ip source et/ou destination (ip privée, ip de loopback, ip mlticast/broadcast (surtout comme source !) ... ) <BR> <BR>Voila, encore une fois, même s'il n'y a pas de règle exeplicite pour bloquer ça, il y a de grandes chances que tu ne sois pas vulnerable, car souvent les règles netfilter sont basées sur des interfaces plutot que des ip, donc ces paquets seraient surement rejetés de toutes façon. Tu dois pouvoir voir ça si tes règles sont correctes dans les logs (/var/log/messages.log ou kernel.log) <BR> <BR> <BR>T. <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Merci pour les infos....je vais me pencher sur la chose <IMG SRC="images/smiles/icon_smile.gif">

[everest]

J'ai jeté un coup d'oeil dans mes log et malheureusement je n'ai aucune trace du trafic mentionné par Snort. <IMG SRC="images/smiles/icon_bawling.gif"> Je ne sais donc pas si ca passe ou non...ca reste un mystere pour moi. <BR> <BR>J'ai egalement regardé ce qu'on raconte a propos de cette alert sur le site de Snort et c'est pas beaucoup mieux.... <BR> <BR>J'aimerais bien pouvoir trouver une solution car je recois des alert environ toutes les 2 minutes <IMG SRC="images/smiles/icon_cussing.gif"> et c'est pas cool... <BR> <BR>Si vous avez une solution au probleme....je suis preneur <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>Merci <BR> <BR>E. <IMG SRC="images/smiles/icon_bawling.gif"> <BR>

[nemesis]

je suis dans le même cas j'essayerai une analyse poussée ce soir là je suis au boulot.

[archi]

Mmmh... <BR>Etes vous sûr que vous n'etes pas la source de ces alertes? <BR>Ca m'etonne fortement que votre fai ne bloque pas ces adresses sources.. c le b.a ba. sauf si... <BR>Ca me rappele les alertes de spoof sortant sur un fw alors qu'en fait c'etait ce c** de NT qui prenait l'adresse IP de l'interface 1 alors qu'il parlait sur l'interface 2. c'est tjrs le cas pour ce NT d'ailleurs... <BR> <BR> <BR>

[nemesis]

j'ai pas de nt. <BR> <BR>j'ai pas changé de config réseau. <BR> <BR>et c tt nouveau (une semain eenviron).

[Argenlos]

Pareil, cela ne fait que 4 jours que ça à debuter, avant rien, et ma configuration reseau est toujours la même.

[nemesis]

juse par curiosité tu es chez quel provider, sur kel type d'abonnement et d'ou vienne tes allertes? (fai d'origine) <BR> <BR>moi c free <BR>degroupe et les sources sont chez free

[mOuNs044]

BJ, <BR>g moi aussi un soucis du même type : <BR> <BR>Date: 08/30 12:46:57 Nom: BAD TRAFFIC loopback traffic <BR>Priorité: 2 Type: Potentially Bad Traffic <BR>Informations sur l'adresse IP: 127.0.0.1:80 -> 62.147.xxx.xxx:1353 <BR>Références: aucune entrée trouvée SID: 528 <BR> <BR>accés FREE adsl 512k <BR>cela pourrait-il venir de chez eux ou y'a pb dans notre propre config ? <BR>parce que jusqu'a maintenant j'avais pas eu de pb ( je ne m'étais pas trop penché sur la question non plus.... <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>pour la provenance g pas pigé la question <IMG SRC="images/smiles/icon_confused.gif">

[nemesis]

ipcop permet de faire du reverse dns sur les adresses et en fait je remarque que ces loopback apparaissent en général apres un ping avec icmp ping rootkit2 et ces ping viennent majoritairement d'adsl et po mal st chez free

[Argenlos]

Je suis chez free 512k <BR>Bon j'ai placer l'antispoofing que nous propose Antolien ( ds le fichier rc.firewall)sur sont site, apres reboot, c'est toujours pareil grrrr <BR> <BR>Il faut bien placer les lignes de la doc d'Antolien juste avant "exit 0", ou ailleur? <BR> <BR> <BR>J'ai encore des logs qui s'ajouter dans le journal de detection d'intrusion, c'est normal? <BR> <BR> <BR>Le c.. qui m'envoie ces Mer... <BR>vient de là: <BR> <BR> <BR>********************************************* <BR>OrgName: Internet Assigned Numbers Authority <BR>OrgID: IANA <BR>Address: 4676 Admiralty Way, Suite 330 <BR>City: Marina del Rey <BR>StateProv: CA <BR>PostalCode: 90292-6695 <BR>Country: US <BR> <BR>NetRange: 127.0.0.0 - 127.255.255.255 <BR>CIDR: 127.0.0.0/8 <BR>NetName: LOOPBACK <BR>NetHandle: NET-127-0-0-0-1 <BR>Parent: <BR>NetType: IANA Special Use <BR>Comment: Please see RFC 3330 for additional information. <BR>RegDate: <BR>Updated: 2002-10-14 <BR> <BR>OrgAbuseHandle: IANA-IP-ARIN <BR>OrgAbuseName: Internet Corporation for Assigned Names and Number <BR>OrgAbusePhone: +1-310-301-5820 <BR>OrgAbuseEmail: <!-- BBcode auto-mailto start --><a href="mailto:abuse@iana.org">abuse@iana.org</a><!-- BBCode auto-mailto end --> <BR> <BR>OrgTechHandle: IANA-IP-ARIN <BR>OrgTechName: Internet Corporation for Assigned Names and Number <BR>OrgTechPhone: +1-310-301-5820 <BR>OrgTechEmail: <!-- BBcode auto-mailto start --><a href="mailto:abuse@iana.org">abuse@iana.org</a><!-- BBCode auto-mailto end --> <BR> <BR># ARIN WHOIS database, last updated 2003-08-29 19:15 <BR># Enter ? for additional hints <BR>******************************************* <BR> <BR>Pour info, mon ipcop a son interface rouge sur un modem ethernet. <BR> <BR>_________________ <BR>Petit deviendra grand...peut être<BR><BR><font size=-2></font>