 |
||
| ||
| |||||
| Dernière réponse | ||
|---|---|---|
| Sujet : Question sur les firewalls et la securité | ||
| Groody |
|
|
| Aperçu |
|---|
| Vue Rapide de la discussion |
|---|
| Groody |
|
| kassdelire | le tracert de win utilise TCP ca compte ? |
| Groody | Oh bah finallement .. :D RP, à l'est
Et voilà, le 10e Hop de FTB, c'est chez moi. |
| Mjules | je sais pas, t'es ou ? moi je suis sur Besançon, (ça doit être le POP de Dijon que j'appelle) |
| ftb | C:\WINDOWS>tracert 62.147.141.80
Détermination de l'itinéraire vers nas-cbv-4-62-147-141-80.dial.proxad.net [62.147.141.80] avec un maximum de 30 sauts : 1 1 ms 2 ms 1 ms 192.168.0.1 2 49 ms 50 ms 48 ms ASte-Genev-Bois-103-1-3-1.abo.wanadoo.fr [xx.xx.xx.x] 3 52 ms 50 ms 50 ms 80.11.248.33 4 52 ms 53 ms 53 ms P4-0.nraub301.Aubervilliers.francetelecom.net [193.252.99.2] 5 54 ms 52 ms 53 ms P5-0.ntaub201.Aubervilliers.francetelecom.net [193.251.126.142] 6 53 ms 53 ms 52 ms P5-0.ntaub101.Aubervilliers.francetelecom.net [193.251.126.181] 7 54 ms 53 ms 51 ms P7-0.noprx101.Paris.francetelecom.net [193.251.126.18] 8 54 ms 55 ms 64 ms Proxad-12322.tlh.giga.parix.net [198.32.247.71] 9 77 ms 54 ms 53 ms nas-cbv-4.routers.proxad.net [212.27.32.213] 10 * * * Délai d'attente de la demande dépassé. 11 [jfdsdjhfuetppo]--Message édité par ftb91 le 16-05-2002 à 18:46:38--[/jfdsdjhfuetppo] |
| Groody | Je dis ptet des b^tises, il est ptet normal. On doit être proche c pour ça :o
y'a que 2 Hops entre nous deux. EDIT : Ftb va venir nous donner ses résultats. [jfdsdjhfuetppo]--Message édité par Groody le 16-05-2002 à 18:36:23--[/jfdsdjhfuetppo] |
| Mjules | pourquoi ? |
| Groody | Y'a un soucis avec ton trace route :heink: |
| Mjules | Résultat du traceroute:
traceroute to 62.147.141.80 (62.147.141.80), 30 hops max, 38 byte packets 1 192.168.254.254 (192.168.254.254) 29.228 ms 23.247 ms 24.758 ms 2 courbevoie-3-a7.routers.proxad.net (213.228.3.125) 53.164 ms 36.302 ms 35 .999 ms 3 nas-cbv-4.routers.proxad.net (212.27.32.213) 37.373 ms 36.135 ms 36.463 m s 4 * * * 5 * * * 6 * * * 7 * * * 8 * * * 9 * * * 10 * * * 11 * * * 12 * * * 13 * * * 14 * * * 15 * * * 16 * * * 17 * * * 18 * * * 19 * * * 20 * * * 21 * * * 22 * * * 23 * * * 24 * * * 25 * * * 26 * * * 27 * * * 28 * * * NB: c'est un traceroute de Linux Mandrake; peut-être que tracert de win donne + de résultats. [jfdsdjhfuetppo]--Message édité par Mjules le 16-05-2002 à 18:25:44--[/jfdsdjhfuetppo] |
| Groody | :p |
| Mjules | voilà déjà le résultat du ping:
PING 62.147.141.80 (62.147.141.80) from xx.xx.xx.XX : 56(84) bytes of data. --- 62.147.141.80 ping statistics --- 55 packets transmitted, 0 packets received, 100% packet loss Pour le tracert, j'en suis au saut numéro 15 et sortis des routers.proxad.net (3° saut, je suis sur Free telecom) je ne vois + rien. [jfdsdjhfuetppo]--Message édité par Mjules le 16-05-2002 à 18:21:22--[/jfdsdjhfuetppo] |
| Groody | Ah bah voilà, enfin quelqu'un qui essaye :D
Qui c'est ? Que vois tu ? [jfdsdjhfuetppo]--Message édité par Groody le 16-05-2002 à 18:19:35--[/jfdsdjhfuetppo] |
| Groody |
|
| kassdelire |
|
| sigma_me |
bah voila pareil et si l'ip s'arrete un ou plusieurs bon avant bah ca m'ennerve :fou: |
| Groody |
|
| CATALINA | Pour les DoS vous avez un bon résumé chez GRC.com.
De toute manière, un bon firewall qu'il soit soft ou hard ne pourra rien contre un DoS s'il se trouve sur le poste (ou juste avant ;) ) visé. Il faut qu'il se trouve entre l attaquant et ton Fai :ange: dans tout les cas, si la personne veut vraiment t'emmerder elle faut qu'elle y aille!! car elle doit s occuper premièrement de ton FAI (pour peux que ton Firewall se trouve chez lui ) Pour les particulier... ben tu peux marqué dommage :( Ch'tit exemple pratique: quelqu'un qui te connais bien et te veux du mal (toujours bien connaître sa victime :P , l adage est connu) vois que tu es connecté (icq par exemple) choppe ton IP, et attends que tu aies ton match à CS pour te lancer une grosse DoS et gacher ta soirée :ouch: :o :cry: et la victime ne peux rein faire (enfin.. je ne sais pas encore si il y a une solution ) Tested wis succes avec un ex pote qui cheatait comme un porc... avec un ping de 2000 parfois (adsl 512 :D ) je le plantais facilemetn au :love: COUTÔ :love: |
| sigma_me |
Dans mon esprit le tracert n'est pas complet si je n'obtiens pas tout le cheminement de mon ip de départ à celle d'arrivée demandée ... donc pour moi les time out je les considère comme un echec de tracert mais bon tu as pas tort ... tu as meme raison tout est question de vision de la chose ...
|
| Groody |
|
| papangue | un firewall de type ZA empeche t il vraiment le deni de service puisque qu'il ne filtre pas réellement les paquets IP à proprement dit (comme un firewall matériel)?? |
| Groody |
|
| sigma_me | pour un pc personnel l'avantage d'un FW a la con genre ZA quand tu le mets au nivo maximum ...
quand le gamin veut s'amuser il va commencer par faire un ping ou tracert ... si tu bloques le ping et le tracert le gars va vite oublier le reste des scans et compagnie puisqu'il n'obtiendra aucune info... :lol: je suis pas hyper douée en connaissance info mais par contre nivo connerie je suis douée [:olimou] |
| papangue |
|
| Groody |
|
| xilebo |
|
| Groody |
[jfdsdjhfuetppo]--Message édité par Groody le 16-05-2002 à 16:14:18--[/jfdsdjhfuetppo] |
| papangue |
|
| xilebo | non c clair vaut mieux faire un reject plutot qu'un refuse (la ca renvoie kekchose alors que le premier non)
Mais moi ce qui me souciait , c est le traffic ascendant et pas montant, et la on peut rien faire de chez soi ( ca parait logique) |
| Groody | Parfait :D
Très clair (pour moi :p). Exact. Je n'avais pas abordé le fait que la capacité de la ligne (débit) était aussi tronquée puisque réponse, trafic généré en retour. J'ai plus abordé le côté "surcharge" de la machine. :jap: |
| papangue | oui mais faut pas oublier que en général celui qui veut te poourrir ta ligne faut qu'il aie ton IP... alors si tu as bien config ton firewall... il ne verra rien de son coté et pensera que l'Ip n'est pas attribué... c'est comme ca que fonctionne les analyseur de ports |
| sigma_me |
c'est la fin de journée j'ai un peu de mal a m'exprimer comme je veux ...
|
| xilebo | C est ce que je voulais savoir, si de tels services existaient!!
merci du renseignement ( ps : je me doute qu'en tant que particulier le FAI a autre chose a faire :D ) |
| Groody |
|
| xilebo |
|
| Groody | Sigma, kess tu racontes ?? Le débit par rapport au proto HTTP ?? :??: Le débit d'une ligne (DSL, RNIs, etC..) c'est sur TOUTE la ligne, pas que pour un protocole. Si le Firewall est configuré pour Droper ce qui est généré de telle source, si je ne dis pas de bêtise, la machine ne s'occupera pas de traiter les paquets. Non ? C'est en fonction de l'emplacement de la couche de Firewalling sur la pile TCP ? Là je sais pas [jfdsdjhfuetppo]--Message édité par Groody le 16-05-2002 à 16:03:59--[/jfdsdjhfuetppo] |
| sigma_me | En fait tu peux et dois configurer ton FW pour pas te faire embetter par certains paquets mais pas tous ..
en gros tes 50ko/s en DL du net sont par rapport au port 80 ou 8080 ou similaire enfin port HTTP ... si par contre l'uatre utilise une technique comme un ping pour saturer ta bande passante tu peux dire a ton FW de ne pas répondre aux requète ping ... en gros il recevra les paquets mais ne les renverra pas ce qui fait ramer certes mais pas entièrement ... :lol: |
| Groody | Rien à mon avis, ou alors faudrait intervenir plus haut, modifier la conf des routeur du FAI pour bloquer le trafic provenant de tel range d'IP, etc.. |
| xilebo | Je suis d'accord que tout soit drop avec un bon firewall , mais ca n'empeche qu'avant d'arriver au firewall , lestrames sont bien presentes dans ta connexion de ton FAI vers chez toi , ca genere donc une occupation de la bande passante que tu ne peux pas maitriser ? que faire dans ce cas , je ne vois pas de solution ... |
| Groody | Tu as raison, quelqu'un peut tjs générer du trafic jusqu'à ta ligne.
Le DoS, c'est envoyer des pings avec une taille de paquet plus qu'anormale, et à une vitesse soutenu. La machine a du mal à gérer tout ça car maquet invalide, hop, ça surcharge la machine, ça plante la pile TCP/IP et boum, la machine s'écroule. Alors qu'avec un FW, avec les rules adéquat, tout est dropé et le firewall ne se casse pas la gueule. Je ne suis pas encore expert dans le domaine, c'est par contre ce que j'ai compris. |
| xilebo | salut
Je me pose une question plutot technique, apres avoir lu plusieurs bouquin sur la securité ( windows et linux) et la mise en place d'un firewall , il y a quelques points sur lesquels j'ai du mal a comprendre .. peut etre les experts dans ce domaine m'expliqueront ? Voila : Il est possible de rendre inutilisable une connexion par deni de service : par exemple un gros ping mais il y en a d'autres ... Ce qui a pour but de ralentir considerablement la bande passante. Pour cela , "On" dit d'installer un firewall pour empecher ce genre de chose ... c est la que je comprends pas . Par exemple chez moi j'ai l'ADSL (pack ci) donc j'ai un download max de environ 50 ko /sec, bon cela signifie (arretez moi si je me trompe) que 50 ko /sec maximum peuvent rentrer dans le "tuyau". Or si une personne (ou machine) externe m'envoie sans arret des requetes quelconques afin de me pourrir la bande passante , rien de l'empeche de me les envoyer ? le firewall (ou autre element de securité) n'agit que sur la machine c est a dire empeche de rentrer dans la machine mais en aucun cas n'empeche aux trames d'arriver jusqu'a l'entree de la machine ... Je trouve donc "facile" de rendre une connexion inutilisable par deni de service ... ou alors il y a quelque chose que je n'ai pas compris. Peut on m'eclairer a ce sujet ? Merci. |
