qui est 127.0.0.1 ??

par hb » 01 Oct 2003 19:11

bon ben c'est de plus en plus frequent j'est bientot plus de bande passante pour moi !! 127.0.0.1:80 Potentially Bad Traffic ....bla bla bla bla ... bon on sait interdire ça on sait aussi arreter de logger ça quel outils utilisent ils pour générer ça ?? mais surtout : comment on trouve le /les coupables ?? dans les log standard : ICMP PING CyberKit 2.2 avec l'@IP du voyou c'est facile d'attraper son FAI et de se plaindre mais la le FAI de 127.0.0.1 c'est qui ? c'est moi peut etre qui m'amuse à me polluer y'aurais pas un moyen d'identifier les intrus ? PS: j'ai deja que 56K pour surfer j'accroche generalement à 46000 bds alors chaque octet compte ici une idée pour dissuader les lascards <IMG SRC="images/smiles/icon_confused.gif">

par **plissken** » 01 Oct 2003 19:37

<IMG SRC="images/smiles/icon_smile.gif"> 127.0.0.1 est l'adresse loopback de ta carte réseau. si tu fais ping 127.0.0.1, tu interroges ta carte mais sans qu'aucun paquet ne sorte. Si tu fais ping aaa.bbb.ccc.ddd qui correspond à l'adresse ip de ta carte réseau, le paquet "sort", donc est visible sur le cable, si j'ose dire. Dans le protocole ip, l'adresse 127.0.0.1 est l'adresse de ta carte réseau, cette adresse est spéciale et toute requête sur cette adresse ne sortira pas de la carte. Le range d'adresse 127.x.x.x ne sera JAMAIS routé car c'est un range spéciale prévu pour, entre autre, des test ou faire des connections en local sans que les requêtes soient visibles de l'extérieur. Donc, "127.0.0.1:80 Potentially Bad Traffic ....bla bla bla bla ... " c'est toi. Comment faire pour te dissuader?? <IMG SRC="images/smiles/icon_smile.gif">

par **TROM** » 01 Oct 2003 19:52

Salut, j'ai deja repondu avec anto et GESP a ce petit soucis de 127.0.0.1:80 la soluce est qu'il exciste (bizarrement on en revient tj la) dans windows un fichier appelé hosts chemin : c:windowshosts il suffit de l'editer avec notepad et de mettre çà : a la place de 127.0.0.1 tu met l'ip de ton ipcop a la place de localhost tu met le nom de ton ipcop voila, tu fait çà pour tout tes pc ! TROM <IMG SRC="images/smiles/icon_bise.gif">

par **plissken** » 01 Oct 2003 19:55

Un pc distant se fait identifier par 127.0.0.1 avec ipcop??? c'est quoi cette blague?

par **TROM** » 01 Oct 2003 19:58

la blague s'appelle du spoofing

par hb » 01 Oct 2003 20:23

je pige pas tout là ? dans un de ses posts, TomTom pretend que ce sont des residu de Blaster qui genere ce type de log .... alors quel(s) pc(s) sont à la base de ce traffic ? ce n'est pas IPCOP , on est d'accord. avant je n'avais pas ça,et j'ai un antivirus donc j'ai pas de virus sur mon lan qui genere ça ? donc ce sont des PCs sur Internet qui font du spoofing ! NON ? alors je ne vois pa ce que mon fichier host sur mon windows va changer pour mon IPCOP <IMG SRC="images/smiles/icon_eek.gif"> donc la vrai question est qui genre le pacquet 127.0.0.1 qui fini sur mon IPCOP ? et comment l'empecher de le generer, si c'est chez moi ? si c'est sur Internet ? mon FAI peut / doit il pallier à ça ?

par **TROM** » 01 Oct 2003 20:35

effectivement tu peut aussi avoir des attaques, il y a 2 soluces, un windows mal configurer, ou une attaque de type ip spooffing ! Je les repere comme çà : si c'est tout le temps la meme chose genre : 127.0.0.1:80 ----> 212.125.25.32:80 une bonne vingtaine de fois la meme ligne, c'est que prob de config winwin par contre si c'est 127.0.0.1:80 ----> 212.125.25.32:1061 127.0.0.1:80 ----> 212.125.25.32:1050 127.0.0.1:80 ----> 212.125.25.32:1042 etc... pour moi c'est une attaque, alors la ,I REBOOT <IMG SRC="images/smiles/icon_wink.gif"> TROM <IMG SRC="images/smiles/icon_bise.gif">

par **TROM** » 01 Oct 2003 20:38

pour empecher le spoofing, tu as les regles d'anto sur son site perso, la tu empechera le spoofing, donc plus de prob avec çà, mais si tu veux que SNORT ignore ce genre d'attaque, faut desactivé une regles, car il faut savoir que snort et le firewall sont deux trucs distinct ! Bref si tu cherche sur le forum tu trouvera comment faire pour que snort ne detecte plus ces attaques, mais fait le seulement si tu met l'anti spoofing d'anto, perso j'ai mis les regles d'anti-spoofing d'anto, mais j'ai laissé snort me les detecter, histoire de voir la mer** qui exciste sur internet de nos jours et de faire des stats sur les intrusions reseaux ! TROM <IMG SRC="images/smiles/icon_biggrin.gif">

par **plissken** » 01 Oct 2003 21:11

Dans le cas d'une requête externe, oui, mais d'après tes explications, tu dis quand changeant le fichier hosts des clients windows, y a plus de messages ........... il est nullement question de spoofing .... , windows est mauvais, on est bien d'accord là-dessus mais de là à générer du spoofing à l'insu de son plein gré, j'en doute très fort.... Mais si un virus s'en mêle, l'incohérence peut apparaître, d'accord mais à ce moment-là, autant laisser ses fichiers hosts tel quel afin de détecter les machines bouffées.

par hb » 01 Oct 2003 21:23

je suis tout a fait en phase avec toi ce coup ci Trom j'avais remarqué que c'était mon adresse public avec plusieurs ports au hazard. donc mon intuition me disait attaque depuis le web. j'ai fais le meme choix strategique: regle de protection anti spoofing mais je continue de logger, histoire d'etre vigilent. et c'est de plus en plus important comme log donc mon post n'était pas touné dans ce sens là. mais plutot, quel est la vrai IP de l'emetteur ? y a t il un moyen, un outil pour remonter à la source peut etre en utilisant la mac adresse, elle est bien dans la trame non ? ensuite un truc qui remonte jusqu'au materielle emetteur et nous retrouve son IP officielle ... je delire peut etre un peu là, mais ... ou bien, puisque ça vient du Net, comment une adresse 127.0.0.1 arrive t elle jusqu'à moi ? mon FAI n'a t il pas un role à jouer la dedans je vais quand meme pas prendre une LS avec FW dédié chez le FAI pour garantir que le seul traffic sur ma ligne c'est moi qui le genere mer... alors

par **TROM** » 01 Oct 2003 21:32

Y'a pas de soluce pour remonter a la source, si ce n'est que de remonter dans les logs <IMG SRC="images/smiles/icon_wink.gif"> jusqu'a l'ip qui est venu s'ecraser sur le firewall juste avant les pron de 127.0.0.1:80 Voila, moi je remonte jusqu'a cette premiere ip concrete avant le porb, et je ma kill, non disons plutot que je lui claque une regles temporaires dans mon Rc.firewall, et je redemarre l'interface RED, et le lendemain, c'est repartie, remise a zero, des ip pourrie qui font chi**, et je restart la journée lol TROM

par **TROM** » 01 Oct 2003 21:35

ben pour le $%#&! alors, des fois sans blague, je pense qu'il y a des failles qui spoof bizarrement lol TROM

par **tomtom** » 01 Oct 2003 22:16

Bon,on explique encore une fois... Ce ne sont pas des attaques "directes", donc il y a peu de chances que tu trouves l'ip dans les logs.... Comment ça arrive : Certains pc sont ateints par le virus (blaster ou autres). Ce virus tente d'acceder à des sites microsoft (windows update...). Il se trouve que durant les attaques une des protections mises en place pour eviter le dos sur ces sites a été pour certains de falsifier les dns correspondant. Ex : windowsupdate.microsoft.com=127.0.0.1 (je dis un truc au pif...) Bon, le pc en question envoie (en toute meconnaissance) des paquets sur windowsupdate.microsoft.com:80. Le dns lui donne une ip : 127.0.0.1 -> le paquet attaque 127.0.0.1:80. Oui mais voila, il n'y a pas de serveur web sur cette machine. En toute logique, la pile ip renvoie un paquet vers l'ip emmetrice, avec port source 80, @source = l'ip demandée=127.0.0.1.... Mais voila, l'ip source de départ a été falsifiée.... et par hasard, il se trouve que c'est la votre.... donc le paquet part, par le routage classique, jusqu'à vos pc's.... avec l'ip source 127.0.0.1 OK ? Bon, il se peut qu'il y ait aussi des attaquants qui attque en spoofant l'adresse, mais c'est une technique difficile, on n'attend pas de paquets retour, etc.... Donc rien à voir avec le phénomène assez massif que 'on rencontre.... Il est quasi impossible de trouver la vraie origine des paquets (et donc le pc infecté) car le paquet peut traverser de nombreux routeurs, et le seul moyen serait de remonter un à un les routeurs pour trouver l'@ physyique d'origine des paquets et retracer le chemin. Impensable. Au niveau du firewall, le meilleur moyen (et le plus econome pour le proc) etst de dropper ces paquets, le plus tot possible dans ma pile de règles netfilter. Evidemment, on peut eviter aussi de les logguer sur l'IDS, ce qui est une demarche INDEPENDANTE. Les FAI ont parfaitement la possibilité de bloquer ce traffic, il leur suffit de bloquer sur les routeurs d'entrée dans leur AS les paquets ayant pour source l'adresse de loopback. Certains l'ont fait, mais evidemment ça a un coût. Et en plus, ca ne protège que des attaue provenant d'autres réseaux. Sinon, il faut bloquer ces paquets sur l'ensemble des routeurs de leur backbone, mais evidemment le cout est encore plus élevé..... T.

par hb » 01 Oct 2003 22:31

Houlà ... j'avoue que j'ai un peu de fièvre mais j'ai du mal à décripter tout le cursus. mais l'important c'est que l'on constate une fois de plus que les FAI sont plus pressé de nous pomper notre fric qu'a essayer de trouver de vrais solutions pour amélioré let Net ! Et reste à espérer que tous les PCs connecté au Net vont etre net (propre) bientot OOh elle est belle celle là non ?

par **TROM** » 01 Oct 2003 22:37

Ouah dis donc TOMTOM c'est la classe la ! Tu nous a sortie le costar cravatte ? non je rigole ! neammoins je considere çà comme une attaque blaster ou pas crosoft ou pas, pour moi çà reste du bor*** sur mon reseau, et j'aime pas !! Car on c'est pas fait chiez un soir tout les deux a mettre çà en place, pour que crosoft ou n'importe quel dobe, vienne $%#&! le bazard, alors pour moi c'est une intusion. Merci a toi au grand chef du forum linux pour tes lumieres qui nous eclairent chaque jour notre route, vers la quete de l'inconnu ( celle la elle est de moi lol) TROM TOMTOM <IMG SRC="images/smiles/icon_bise.gif">

qui est 127.0.0.1 ??

Qui est en ligne ?