[Resolu] ICMP flooding

[TA-K-2-PT]

Salut,

 

(bon deja j'ai trop plein de questions a vous posez,c'est pour sa que je cre souvent des topics en ce moment,mais je vais y allé progressivement afin de pas inonder le forum).

 

Sur ce sujet la,j'ai vu dans les evenements de mon firewall une tentative d'attaque ICMP flooding (ou on s'est servit de mon pc pour essayer de lancer cette attaque,c'est plutot ça au vu des renseignements que j'ai eu.C'est a dire que ces attaques concernent plus les server que les utilisateurs.).

 

Bon apparement sa n'a pas marché car l'attaque a eu lieu 2 fois dans un intervalle de quelques minutes,et a chaque fois a été stoppé en 3 secondes.

 

Bref,le truc c'est que sa remonte a il y a plus d'une semaine,et que j'ai vu ça il n'y a que quelques jours.Donc je ne me souvient pas a ce moment precis quesque je fesait sur mon pc.

 

Apres reflexion,je me dit que sa peut venir de 2 choses :

 

-soit du P2P,puisque je voit desfois le host des gens avec qui je suis connecté,donc quelqu'un a put voir le mien et testé cette attaque.(je penche plus pour cette possibilité)

 

-soit d'un test de port sur http://www.pcflank.com/scanner1.htm ou sur http://check.sdv.fr/ car j'ai lu sur assiste que certain outils de securité en ligne,essayé d'installer des bestioles lors du scan.

 

[pour ceux qui saute au plafond en voyant que certain scan en ligne sont mal intentionner,je me permet humblement du haut de mes toutes petites connaissances de vous indiquer ce lien d'Assiste qui vous donne des scans en ligne sans danger] http://assiste.com.free.fr/p/boite_a_outil...l#scan_de_ports

 

Donc je voudrait savoir quelle faille a été utilisée pour entrer dans mon pc,j'ai une petite idée (mais j'en suis par sur) et je prefere pas le dire ici.

 

Le truc c'est que j'aimerais avoir plus de details sur cette attaque par exple d'ou elle provenait,enfin le maximum d'info possible.Or dans mon firewall il est juste ecrit ICMP flooding started,et ICMP flooding ended.

 

Donc voila est ce que quelqu'un pourrait m'aider sur le fait d'authentifier la faille,trouver l'origine de l'attaque,quelle type d'ICMP flooding s'etait et toutes autre informations qui pourrait m'aider.

 

Merci

 

@+++

 

PS: je suis en WI_Fi donc est ce que cette attaque a put etre testé sur un autre pc de la maison et rebalancé sur le mien ?

Modifié le 28 août 2007 par TA-K-2-PT

[Pang]

Bonjour.

 

Parano un peu ?

 

Plus bcp d'intérêt de faire de l'ICMP flooding aujourd'hui... Xp ne ce laisse plus perturber par ce genre de paquets, ou alors il faudrait que les attaquants soient nombreux pour que cela puisse avoir une incidence sur la pile.

 

Par contre, ton pare feu peut avoir fait une confusion.

Lorsque un logiciel de p2p est lancé sur ton PC et que tu décide de l'éteindre, les autres clients ne sont pas encore informé.

Si ton pare feu est "bien réglé", il rejetteras alors toutes ces demandes de connection entrantes (puisque l'application p2p n'est plus active). De même, tu recevra une quantité importante de ping (ICMP) que le pare feu peut assimiler à du flooding.

(cet etat peut durer plus de 10 heures après avoir coupé ton application).

En revanche si effectivement les requettes ICMP flooding sont sortantes, alors la oui c'est plus ennuyeux.

[TA-K-2-PT]

Ba parano oui et heuu oui

parce que quand j'ai regarder ce que s'etait sur google y te disent:" oué faut reagir tout de suite bla bla bla"

 

Sinon possible pour le P2P,par contre est ce que le fait de faire 2,3 ping peuvent etre consedere comme de l'ICMP flooding ?

 

@++++

[Falkra]

Bonsoir, 2-3 pings, même 4, ce n'est pas du flood. Pour du flood, ce serait en pings par seconde pendant une durée x.

Le P2P multiplie les connexions partout, en met partout, et même déconnecté d'un logiciel comme eMule, on reçoit encore des tas de demandes de connexions. Pour donner de quoi occuper une parano, je me pencherais plus sur le P2P et les x connexions par seconde qui vont plus ou moins n'importe où.

[TA-K-2-PT]

Oula tu me fait peur la

 

Alors j'ai testé,je me connecte a e mule je reste 1 min environ je deconnecte et je regarde dans mon firewall.

 

Effectivement la fenetre de connection,heu comment dire tremble.

Ce qui montre que oui j'ai des demande de connection apre etre deconnecté,mais elles echouent,car dans les evenement de mon firewall il n'y a pas ecrit qu'elle sont bloquées et elle n'apparaisse pas dans la fenetre des connections.

 

J'en conclu que je reçoit des demande de connection mais qu'elles n'arrivent pas a etre etablient.

 

J'ai essayé aussi juste apre etre deconnecté,de faire netstat et netstat -a (bon je decouvre juste ça,donc je suis loin de vraiment savoir ce que je fait avec ça).

 

Il y a des connection de emule,mais c'est la meme chose quand je quitte zebulon par exple,firefox est fermer mais si je fait netstat j'ai encore la connection qui s'affiche.Donc la connection est encore presente (enfin c'est ecrit TIME WAIT,sa veut dire quelle est en attente,je supose).

 

Donc la connection ne s'arrete pas dès que l'on quitte un site ou le navigateur,mais quelques seconde apre.C'est ce que j'en conclu.

 

Et pour finir ma question est comment voir concretement les connections de emule qui arrivent apre etre deconnecté?

 

Merci

 

@+++

 

PS: c'est peu etre un peu confut ce que je vous dit,mais je capte pas tout,donc j'essaye de m'exprimer le plus clairement possible ,mais c'est pas forcement facile.

 

ha désole je rallonge le truc mais une precision:

 

je me pencherais plus sur le P2P et les x connexions par seconde qui vont plus ou moins n'importe où.

 

C'est a dire?

En fait en telechargent n'importe quoi sur du P2P tu peu etre mit en connection avec quelqu'un de mal intentionné et boum y peu t'arriver des problemes.

 

Je veut dire avant meme d'avoir reçut le fichier

 

[si c'est la cas c'est un vrai danger ce truc]

Modifié le 27 août 2007 par TA-K-2-PT

[Sacles]

Bonjour,

 

[si c'est la cas c'est un vrai danger ce truc]

Ce n'est pas nouveau:

 

[Prévention] : le P2P et ses conséquences - Journal d'une infection attendue

 

Salut.

Modifié le 28 août 2007 par Sacles

[TA-K-2-PT]

lu,

oui effectivement j'avait deja lu ce topic,comme celui sur le crack.

Je sais donc que c'est dangereux.

 

Mais donc pour revenir au topic,effectivement c'est durant une connection P2P que quelqu'un a vu mon IP (apparement c'est tres simple) et c'est pour cela que mon firewall a detecté l'ICMP flooding,en resumant.

 

Bon donc en gros meme sans avoir rien reçut en P2P ,juste le fait d'etre connecté est deja dangereux.

 

Sa peu vous paraitre evident,mais moi j'avait pas vraiment realisé ça.

 

Donc bah merci bien.

 

@+++

[Falkra]

Bon, après la petite peur, quelques explications.

Quand on est connecté mettons via eMule, on est en relation avec des centaines de machines avec lesquelles on échange des données plus ou moins régulièrement, même sans échanger de morceaux de fichier, il y a de temps en temps une vérification type "bip tu es là ?". Quand on se déconnecte, on ne prévient pas les centaines de machines qu'on les quitte. Alors que font-elles ? Elles continuent à envoyer des données vers ton IP comme si tu étais encore là (tout est automatique) et seulement au bout d'un certain temps, une vérification automatique conclut "ha, mais il n'est plus là". Tout ça coordonné par les serveurs de connexion.

 

Pour répondre à l'autre question de TA-K-2-PT, techniquement, oui sans avoir commencé à télécharger un fichier, dès qu'on entre sur le réseau on se connecte à des tas de machines, sans aucun contrôle de choix autre que des filtres d'IP (fiabilité à revoir lol).