Journal Traffic bizarre de mon localhost vers mon ip internet

Posté par udok le 24 avril 2004 à 14:36.

Étiquettes :

avr.

2004

Bonjour cher journal, un problème m'interpelle actuellement et je ne vois absolument pas ce qui pourrait causer ça, tu es mon dernier recours

je viens de faire un "tcpdump -ippp0 | grep "127.0.0.1.www"" et j'obtiens ça, et bien d'autres lignes encore (80.*** est mon ip sur le net, attaché à ppp0) :
14:26:17.583199 127.0.0.1.www > 80.***.1972: R 0:0(0) ack 576454657 win 0
14:26:18.663183 127.0.0.1.www > 80.***.1612: R 0:0(0) ack 1536294913 win 0

quand je regarde dans /var/log/snort/alert, j'ai ça :
[**] [1:528:4] BAD-TRAFFIC loopback traffic [**]
[Classification: Potentially Bad Traffic] [Priority: 2]
04/24-14:26:17.583199 127.0.0.1:80 -> 80.***:1972
TCP TTL:127 TOS:0x0 ID:41470 IpLen:20 DgmLen:40
***A*R** Seq: 0x0 Ack: 0x225C0001 Win: 0x0 TcpLen: 20
[Xref => http://rr.sans.org/firewall/egress.php(...)]

[**] [1:528:4] BAD-TRAFFIC loopback traffic [**]
[Classification: Potentially Bad Traffic] [Priority: 2]
04/24-14:26:18.663183 127.0.0.1:80 -> 80.***:1612
TCP TTL:127 TOS:0x0 ID:62574 IpLen:20 DgmLen:40
***A*R** Seq: 0x0 Ack: 0x5B920001 Win: 0x0 TcpLen: 20
[Xref => http://rr.sans.org/firewall/egress.php(...)]

quand je regarde l'url donnée dans les logs de snort, ils parlent de spoof
mais si j'étais spoofé, je verrais des paquets bizarre rentré avec "tcpdump -i ppp0", je pense non ? donc si qq'un a une idée de ce qui peut provoquer ça, ça m'interesse
je précise que j'ai plusieurs démons qui tournent, dont apache2 (ipv6) et mysql, tout ça sur une debian sid

# Re: Traffic bizarre de mon localhost vers mon ip internet

Posté par tuan kuranes (site web personnel) le 24 avril 2004 à 15:23. Évalué à 3.

tu peux toujours lancer un "rootkit detector" au cas ou :
http://www.rootkit.nl/(...)
- [^] # Re: Traffic bizarre de mon localhost vers mon ip internet
  
  Posté par udok le 24 avril 2004 à 15:34. Évalué à 2.
  
  merci, je vais voir ça
  
  je viens de trouver ça sur le net :
  http://lists.freebsd.org/pipermail/freebsd-stable/2003-September/00(...)
  
  j'ai, au détail près, le même probleme :
  une règle iptables censé bloqué ce traffic sur ppp0 ne fait rien
  tcpdump écoutant sur ppp0 montre ce traffic
  donc j'aurais finalement été tenté de penser que c'est du spoof, mais c'est bizarre que ma regle iptables ne le bloque pas :/
  
  enfin je vais voir du coté des rootkit, je verrais bien
  merci encore
  - [^] # Re: Traffic bizarre de mon localhost vers mon ip internet
    
    Posté par udok le 24 avril 2004 à 16:22. Évalué à 2.
    
    http://www.ixus.net/resume_messages.php?topic=9394(...)
    bon finalement je comptais faire ça en dernier recours, mais ça semble être la seule solution
- [^] # Re: Traffic bizarre de mon localhost vers mon ip internet
  
  Posté par udok le 24 avril 2004 à 16:09. Évalué à 2.
  
  chrootkit et rkhunter n'ont rien trouvé
  (à part chrootkit qui a trouvé qq lkm mais d'apres la doc c'est surement à cause du kernel)
# Re: Traffic bizarre de mon localhost vers mon ip internet

Posté par Barthelemy le 24 avril 2004 à 19:37. Évalué à 0.

Aucune idée. Par contre Traffic c'est de l'anglais et en bon français c'est trafic
# Re: Traffic bizarre de mon localhost vers mon ip internet

Posté par Tof le 26 avril 2004 à 12:04. Évalué à 1.

Ca me dit qqch, mais je ne sais pas du tout ce que c'est...
de mémoire:
- je l'avais vu sur un site où il y avait un routeur
- ce sont des paquets entrants (malgré que l'ip source soir 127.1)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.