Pb de trafic tres important sur le loopback

Recherche :

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : Pb de trafic tres important sur le loopback

Tomate

salut,

j ai un pb de trafic sur le loopback
et pour cause :

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:279005 errors:0 dropped:0 overruns:0 frame:0
TX packets:279005 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:65830807 (62.7 MiB) TX bytes:65830807 (62.7 MiB)

:ouch:

d apres snort :

#0-(1-483) [url] BAD-TRAFFIC loopback traffic 2003-11-15 18:39:13 127.0.0.1:80 213.103.0.243:1188 TCP
#1-(1-482) [url] BAD-TRAFFIC loopback traffic 2003-11-15 18:39:04 127.0.0.1:80 213.103.0.243:1671 TCP
#2-(1-481) [url] BAD-TRAFFIC loopback traffic 2003-11-15 18:39:02 127.0.0.1:80 213.103.0.243:1232 TCP
#3-(1-480) [url] BAD-TRAFFIC loopback traffic 2003-11-15 18:38:57 127.0.0.1:80 213.103.0.243:1303 TCP
#4-(1-479) [url] BAD-TRAFFIC loopback traffic 2003-11-15 18:38:53 127.0.0.1:80 213.103.0.243:1362 TCP
#5-(1-478) [url] BAD-TRAFFIC loopback traffic 2003-11-15 18:38:48 127.0.0.1:80 213.103.0.243:1287 TCP
#6-(1-477) [url] BAD-TRAFFIC loopback traffic 2003-11-15 18:38:47 127.0.0.1:80 213.103.0.243:1407 TCP
#7-(1-476) [url] BAD-TRAFFIC loopback traffic 2003-11-15 18:38:41 127.0.0.1:80 213.103.0.243:1355 TCP
#8-(1-475) [url] BAD-TRAFFIC loopback traffic 2003-11-15 18:38:27 127.0.0.1:80 213.103.0.243:1616 TCP
#9-(1-474) [url] BAD-TRAFFIC loopback traffic 2003-11-15 18:38:12 127.0.0.1:80 213.103.0.243:1488 TCP

et j en ai des km !!

j ai l impression ke ca vient de apache, mais je vois pas du tout pourquoi

help

Message édité par Tomate le 15-11-2003 à 18:42:16

---------------
:: Light is Right ::

Publicité

Tomate

up [:mad_overclocker]

---------------
:: Light is Right ::

Zzozo

Modérateur
Un peu, passionément, à la fol

netstat est ton ami ... tcpdump et ethereal se joindront à la fête par la suite ...

---------------
« Ce qui ne vous tue pas vous rend plus fort » F. Nietzsche | « Vise_ la Lune. Si tu rates, au pire, t'es dans la merde » Un poète disparu dans le cercle

Taz

bisounours-codeur

ne pas oublier iptraf pour monitorer tout ça

matafan

« tcpdump -Xx -s 0 -i lo » pour voir les paquets qui passent par le loopback.

phosphorus68

Pseudo à n°

Zzozo a écrit :

netstat est ton ami ... tcpdump et ethereal se joindront à la fête par la suite ...

pas de champagne, seulement beaucoup de café

Tomate

Zzozo a écrit :

netstat est ton ami ... tcpdump et ethereal se joindront à la fête par la suite ...

j ai regarde avec netstat, mais j ai rien vu de particulier a part apache sur le port 80

en plus c super car depuis klk heures il n y a plus de trafic dessus [:joce]

---------------
:: Light is Right ::

mikala

Souviens toi du 5 Novembre...

tomate77 a écrit :

j ai regarde avec netstat, mais j ai rien vu de particulier a part apache sur le port 80

en plus c super car depuis klk heures il n y a plus de trafic dessus [:joce]

bah ayant vu le post j'ai arreté de faire mumuse [:cupra]

:hello:

---------------
Intermittent du GNU

Tomate

des nouvelles

voila un tcpdump tres bizarre :

root@tomate:/home/tomate$ tcpdump -Xx -s 0 -i lo
tcpdump: listening on lo
21:48:53.093776 mail.tomate.homelinux.org.33322 > mail.tomate.homelinux.org.domain: 43878+ A? imap.laposte.net. (34) (DF) [tos 0x8]
0x0000 4508 003e 2809 4000 4011 8f51 c0a8 00fe E..>(.@.@..Q....
0x0010 c0a8 00fe 822a 0035 002a d403 ab66 0100 .....*.5.*...f..
0x0020 0001 0000 0000 0000 0469 6d61 7007 6c61 .........imap.la
0x0030 706f 7374 6503 6e65 7400 0001 0001 poste.net.....
21:48:53.094676 mail.tomate.homelinux.org.domain > mail.tomate.homelinux.org.33322: 43878 1/2/2 A mx.laposte.net (118) (DF)
0x0000 4500 0092 3a47 4000 4011 7cc7 c0a8 00fe E...:G@.@.|.....
0x0010 c0a8 00fe 0035 822a 007e 73b1 ab66 8180 .....5.*.~s..f..
0x0020 0001 0001 0002 0002 0469 6d61 7007 6c61 .........imap.la
0x0030 706f 7374 6503 6e65 7400 0001 0001 c00c poste.net.......
0x0040 0001 0001 0000 006c 0004 51ff 3607 c00c .......l..Q.6...
0x0050 0002 0001 0000 0052 0006 036c 7032 c011 .......R...lp2..
0x0060 c00c 0002 0001 0000 0052 0006 036c 7031 .........R...lp1
0x0070 c011 c050 0001 0001 0000 0198 0004 51ff ...P..........Q.
0x0080 36fc c03e 0001 0001 0000 0198 0004 d9a7 6..>............
0x0090 c801 ..
21:48:53.097387 mail.tomate.homelinux.org.33322 > mail.tomate.homelinux.org.domain: 61657+ PTR? 254.0.168.192.in-addr.arpa. (44) (DF) [tos 0x8]
0x0000 4508 0048 4263 4000 4011 74ed c0a8 00fe E..HBc@.@.t.....
0x0010 c0a8 00fe 822a 0035 0034 4550 f0d9 0100 .....*.5.4EP....
0x0020 0001 0000 0000 0000 0332 3534 0130 0331 .........254.0.1
0x0030 3638 0331 3932 0769 6e2d 6164 6472 0461 68.192.in-addr.a
0x0040 7270 6100 000c 0001 rpa.....

la je capte rien

---------------
:: Light is Right ::

Tomate

Mikala a écrit :

bah ayant vu le post j'ai arreté de faire mumuse [:cupra]

:hello:

en fait c est pas apache mais bind !!

---------------
:: Light is Right ::

Publicité

Tomate

au fait c tjs pas resolu :whistle:

---------------
:: Light is Right ::

udok

La racaille des barbus ©clémen

t'as tous les pb de la terre toi en faite [:rofl]

---------------
Non au projet de loi DADVSI ! (droits d'auteurs)

Tomate

udok a écrit :

t'as tous les pb de la terre toi en faite [:rofl]

moi j ai une gate 24/24 [:mrbrelle]

mais je ne suis pas le seul a avoir ce pb je te rassure

---------------
:: Light is Right ::

void_ppc

c'est ptet apache qui interroge le dns pour résoudre les ip qu'il fout dans les logs ?

Tomate

void_ppc a écrit :

c'est ptet apache qui interroge le dns pour résoudre les ip qu'il fout dans les logs ?

bah je crois me souvenir que meme avec apache non lancé j en avais kan meme

---------------
:: Light is Right ::

phoenix-dark

SyStEm Of A dOwN

et t'as aussi un serveur de mail ? t'as essayé de le couper en même temps que bind pour voir ?

---------------
Pingouins dans les champs, hiver méchant.

Tomate

phoenix-dark a écrit :

et t'as aussi un serveur de mail ? t'as essayé de le couper en même temps que bind pour voir ?

faudrai que je re teste, mais je crois que j avais tout coupé

---------------
:: Light is Right ::

void_ppc

tu as quoi dans ton /etc/resolv.conf ? si tu as localhost alors c'est des progs/daemon qui interrogent le dns en local

Tomate

tomate@gate:~$ cat /etc/resolv.conf
search tomate.homelinux.org
nameserver 192.168.0.254

---------------
:: Light is Right ::

Kahyman

Selon mes souvenirs :

BAD-TRAFFIC est une regle qui detecte les paquets ayant a la fois le bit MF (more fragment) de set et le bit DF (don't fragment) de set, ce qui est interdit par la RFC du protocole IP.

Selon le protocole IP, la fragmentation de paquets a lieu lorsque le reseau local n'accepte que des paquets de plus petite taille que le reseau d'ou viennent les paquets. Le paquet est alors coupe en fragments adequats bit MF est mis sur tous les fragments sauf le dernier.

Le host envoyant le paquet peut de son cote mettre le bit DF pour eviter la fragmentation. Si collision MF/DF il y a un paquet ICMP est envoye indiquant le probleme (etc...)

Enfin bref si je me souviens bien ce genre de trucs peut entre autre arriver lors de spoofing ou on fausse l'adresse IP dans l'entête des paquets TCP en pariant sur le fait que ton firewall les laissera entrer en pensant que c'est du local.

Pour le port 80 : si ca ne marche pas, les paquets sont envoyes du port 80, la encore esperant que ton firewall les prendra pour du trafic provenant d'un serveur web legitime.

Edit: Une parade que je viens de retrouver :

Citation :

Tout ce qui provient des adresses suivantes doit être bloqué car ces adresses IP *SONT* faussées (car non-routables hors LAN ou réservées par l'IANA):

10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
224.0.0.0/4
240.0.0.0/5
127.0.0.0/8

De plus, il faut rejeter tous les paquets TCP de type SYN provenant de numéros de port de services connus. Donc :

20,21 (ftp), 22 (ssh), 23 (telnet), 25 (smtp), 37 (ntp), 43 (whois), 53 (dns), 80 (http), 110 (pop3), 119 (nntp), 123 (time), 443 (https), 1080,3128,8000,8080 (socks4/5).

Il y en a sûrement d'autres mais ceux-là sont les plus courants.

A+

Message édité par Kahyman le 19-05-2004 à 10:10:31

Kahyman

"you're beeing h4x0r3D" comme on dit...

Tomate

bah j aimerai savoir de kelle interface proviennent ces paquets deja

---------------
:: Light is Right ::

Kahyman

:??:

void_ppc

:lol: :sweat:

Tomate

bah oui je suis pas sur k ils viennent de lo
si ca vient de ppp0 c est plus embettant

---------------
:: Light is Right ::

mikala

Souviens toi du 5 Novembre...

hu ?

Citation :

ifconfig lo
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:782061 errors:0 dropped:0 overruns:0 frame:0
TX packets:782061 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:214789086 (204.8 MiB) TX bytes:214789086 (204.8 MiB)

Message édité par mikala le 19-05-2004 à 10:35:08

---------------
Intermittent du GNU

Tomate

c est chez toi ca

---------------
:: Light is Right ::

mikala

Souviens toi du 5 Novembre...

bah oui mais je peux t'en montrer d'autre (pas chez moi ) hein
d'un autre coté j'ai mon résolv.conf avec un ::1 [:cupra]

---------------
Intermittent du GNU

Tomate

lol

bon faudrai ke je refasse des tests pour voir sur kelle interface ces paquets proviennent

---------------
:: Light is Right ::

Publicité

FORUM HardWare.fr

Linux et OS Alternatifs

réseaux et sécurité

Pb de trafic tres important sur le loopback

Sujets relatifs
Drivers Nvidia très lents à booter	[HACK]me suis fait spoofer sur loopback!
[HELP]Install Debian debutant tres motivé MAJ -> compilation noyau	[Gentoo] un probleme tres chiant
Mozilla problème important...	config très user friendly ?
[important] --== LES LOGICIELS ESSENTIELS SOUS GNU/LINUX ==--	[nux] iptables / forward - question surement tres conne.
xfree et très vieil écran	Pourquoi Red Hat est très souvent associé aux entreprises ?
Plus de sujets relatifs à : Pb de trafic tres important sur le loopback

Page générée en 0.080 secondes