Pb de trafic tres important sur le loopback
Pb de trafic tres important sur le loopback - réseaux et sécurité - Linux et OS Alternatifs
![[:mad_overclocker]](https://forum-images.hardware.fr/images/perso/mad_overclocker.gif "[:mad_overclocker]")
Marsh Posté le 15-11-2003 à 21:42:30
netstat est ton ami ... tcpdump et ethereal se joindront à la fête par la suite ... 
---------------
« Ce qui ne vous tue pas vous rend plus fort » F. Nietzsche | « Vise_ la Lune. Si tu rates, au pire, t'es dans la merde » Un poète disparu dans le cercle
Marsh Posté le 15-11-2003 à 21:44:59
« tcpdump -Xx -s 0 -i lo » pour voir les paquets qui passent par le loopback.
Marsh Posté le 15-11-2003 à 21:46:02
| Zzozo a écrit : netstat est ton ami ... tcpdump et ethereal se joindront à la fête par la suite ... |
pas de champagne, seulement beaucoup de café 
Marsh Posté le 15-11-2003 à 21:50:11
| Zzozo a écrit : netstat est ton ami ... tcpdump et ethereal se joindront à la fête par la suite ... |
j ai regarde avec netstat, mais j ai rien vu de particulier a part apache sur le port 80 
en plus c super car depuis klk heures il n y a plus de trafic dessus ![[:joce]](https://forum-images.hardware.fr/images/perso/joce.gif "[:joce]")
---------------
:: Light is Right ::
Marsh Posté le 15-11-2003 à 21:51:16
| tomate77 a écrit : j ai regarde avec netstat, mais j ai rien vu de particulier a part apache sur le port 80 |
bah ayant vu le post j'ai arreté de faire mumuse ![[:cupra]](https://forum-images.hardware.fr/images/perso/cupra.gif "[:cupra]")
---------------
Intermittent du GNU
Marsh Posté le 15-11-2003 à 21:54:38
des nouvelles 
voila un tcpdump tres bizarre :
root@tomate:/home/tomate$ tcpdump -Xx -s 0 -i lo |
la je capte rien
---------------
:: Light is Right ::
Marsh Posté le 15-11-2003 à 21:55:20
| Mikala a écrit : |
en fait c est pas apache mais bind !!
---------------
:: Light is Right ::
Marsh Posté le 18-05-2004 à 23:36:23
au fait c tjs pas resolu 
---------------
:: Light is Right ::
Marsh Posté le 19-05-2004 à 02:53:06
t'as tous les pb de la terre toi en faite ![[:rofl]](https://forum-images.hardware.fr/images/perso/rofl.gif "[:rofl]")
---------------
Non au projet de loi DADVSI ! (droits d'auteurs)
Marsh Posté le 19-05-2004 à 09:12:27
| udok a écrit : t'as tous les pb de la terre toi en faite |
moi j ai une gate 24/24 ![[:mrbrelle]](https://forum-images.hardware.fr/images/perso/mrbrelle.gif "[:mrbrelle]")
mais je ne suis pas le seul a avoir ce pb je te rassure
---------------
:: Light is Right ::
Marsh Posté le 19-05-2004 à 09:33:22
c'est ptet apache qui interroge le dns pour résoudre les ip qu'il fout dans les logs ?
Marsh Posté le 19-05-2004 à 09:34:39
| void_ppc a écrit : c'est ptet apache qui interroge le dns pour résoudre les ip qu'il fout dans les logs ? |
bah je crois me souvenir que meme avec apache non lancé j en avais kan meme
---------------
:: Light is Right ::
Marsh Posté le 19-05-2004 à 09:49:48
et t'as aussi un serveur de mail ? t'as essayé de le couper en même temps que bind pour voir ?
---------------
Pingouins dans les champs, hiver méchant.
Marsh Posté le 19-05-2004 à 09:52:59
| phoenix-dark a écrit : et t'as aussi un serveur de mail ? t'as essayé de le couper en même temps que bind pour voir ? |
faudrai que je re teste, mais je crois que j avais tout coupé
---------------
:: Light is Right ::
Marsh Posté le 19-05-2004 à 09:53:36
tu as quoi dans ton /etc/resolv.conf ? si tu as localhost alors c'est des progs/daemon qui interrogent le dns en local
Marsh Posté le 19-05-2004 à 09:57:31
tomate@gate:~$ cat /etc/resolv.conf
search tomate.homelinux.org
nameserver 192.168.0.254
---------------
:: Light is Right ::
Marsh Posté le 19-05-2004 à 10:09:56
Selon mes souvenirs :
BAD-TRAFFIC est une regle qui detecte les paquets ayant a la fois le bit MF (more fragment) de set et le bit DF (don't fragment) de set, ce qui est interdit par la RFC du protocole IP.
Selon le protocole IP, la fragmentation de paquets a lieu lorsque le reseau local n'accepte que des paquets de plus petite taille que le reseau d'ou viennent les paquets. Le paquet est alors coupe en fragments adequats bit MF est mis sur tous les fragments sauf le dernier.
Le host envoyant le paquet peut de son cote mettre le bit DF pour eviter la fragmentation. Si collision MF/DF il y a un paquet ICMP est envoye indiquant le probleme (etc...)
Enfin bref si je me souviens bien ce genre de trucs peut entre autre arriver lors de spoofing ou on fausse l'adresse IP dans l'entête des paquets TCP en pariant sur le fait que ton firewall les laissera entrer en pensant que c'est du local.
Pour le port 80 : si ca ne marche pas, les paquets sont envoyes du port 80, la encore esperant que ton firewall les prendra pour du trafic provenant d'un serveur web legitime.
Edit: Une parade que je viens de retrouver :
| Citation : |
A+
Message édité par Kahyman le 19-05-2004 à 10:10:31
Marsh Posté le 19-05-2004 à 10:20:03
bah j aimerai savoir de kelle interface proviennent ces paquets deja
---------------
:: Light is Right ::
Marsh Posté le 19-05-2004 à 10:30:42
bah oui je suis pas sur k ils viennent de lo
si ca vient de ppp0 c est plus embettant
---------------
:: Light is Right ::
Marsh Posté le 19-05-2004 à 10:33:53
hu ?
| Citation : ifconfig lo |
Message édité par mikala le 19-05-2004 à 10:35:08
---------------
Intermittent du GNU
Marsh Posté le 19-05-2004 à 10:45:28
bah oui mais je peux t'en montrer d'autre (pas chez moi ) hein
d'un autre coté j'ai mon résolv.conf avec un ::1
---------------
Intermittent du GNU
Marsh Posté le 19-05-2004 à 10:46:14
lol
bon faudrai ke je refasse des tests pour voir sur kelle interface ces paquets proviennent 
---------------
:: Light is Right ::
Sujets relatifs:
- Drivers Nvidia très lents à booter
- [HACK]me suis fait spoofer sur loopback!
- [HELP]Install Debian debutant tres motivé MAJ -> compilation noyau
- [Gentoo] un probleme tres chiant
- Mozilla problème important...
- config très user friendly ?
- [important] --== LES LOGICIELS ESSENTIELS SOUS GNU/LINUX ==--
- [nux] iptables / forward - question surement tres conne.
- xfree et très vieil écran
- Pourquoi Red Hat est très souvent associé aux entreprises ?
Marsh Posté le 15-11-2003 à 18:41:18
salut,
j ai un pb de trafic sur le loopback
et pour cause :
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:279005 errors:0 dropped:0 overruns:0 frame:0
TX packets:279005 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:65830807 (62.7 MiB) TX bytes:65830807 (62.7 MiB)
d apres snort :
#0-(1-483) [url] BAD-TRAFFIC loopback traffic 2003-11-15 18:39:13 127.0.0.1:80 213.103.0.243:1188 TCP
#1-(1-482) [url] BAD-TRAFFIC loopback traffic 2003-11-15 18:39:04 127.0.0.1:80 213.103.0.243:1671 TCP
#2-(1-481) [url] BAD-TRAFFIC loopback traffic 2003-11-15 18:39:02 127.0.0.1:80 213.103.0.243:1232 TCP
#3-(1-480) [url] BAD-TRAFFIC loopback traffic 2003-11-15 18:38:57 127.0.0.1:80 213.103.0.243:1303 TCP
#4-(1-479) [url] BAD-TRAFFIC loopback traffic 2003-11-15 18:38:53 127.0.0.1:80 213.103.0.243:1362 TCP
#5-(1-478) [url] BAD-TRAFFIC loopback traffic 2003-11-15 18:38:48 127.0.0.1:80 213.103.0.243:1287 TCP
#6-(1-477) [url] BAD-TRAFFIC loopback traffic 2003-11-15 18:38:47 127.0.0.1:80 213.103.0.243:1407 TCP
#7-(1-476) [url] BAD-TRAFFIC loopback traffic 2003-11-15 18:38:41 127.0.0.1:80 213.103.0.243:1355 TCP
#8-(1-475) [url] BAD-TRAFFIC loopback traffic 2003-11-15 18:38:27 127.0.0.1:80 213.103.0.243:1616 TCP
#9-(1-474) [url] BAD-TRAFFIC loopback traffic 2003-11-15 18:38:12 127.0.0.1:80 213.103.0.243:1488 TCP
et j en ai des km !!
j ai l impression ke ca vient de apache, mais je vois pas du tout pourquoi
help
Message édité par Tomate le 15-11-2003 à 18:42:16
---------------
:: Light is Right ::