Discussion :

[kenny_zkit]

Bonjour à tous,

J'ai un problème dans mon entreprise actuellement, nous avons des logs énormes de [HACK] SynFlooding Attack dont voici un extrait :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
2015-07-13, 07:54:49	[HACK] SynFlooding Attack	IN=eth1 OUT=eth0 SRC=115.212.60.219 DST=192.168.X.Y DMAC=xx:xx:x:ce:xx:31  SMAC=xx:xx:x:ce:xx:84 LEN=60 TOS=0x00 PREC=0x00 TTL=43 ID=594 PROTO=TCP SPT=59799 DPT=80 WINDOW=5808 RES=0x00 SYN URGP=0
2015-07-13, 08:25:42	[HACK] SynFlooding Attack	IN=eth1 OUT=eth0 SRC=141.212.122.86 DST=192.168.X.Y DMAC=xx:xx:x:ce:xx:31  SMAC=xx:xx:x:ce:xx:84 LEN=40 TOS=0x00 PREC=0x00 TTL=235 ID=54321 PROTO=TCP SPT=40479 DPT=443 WINDOW=65535 RES=0x00 SYN URGP=0
2015-07-13, 08:25:42	Connection Accepted	IN=eth1 OUT=eth0 SRC=141.212.122.86 DST=192.168.X.Y DMAC=xx:xx:x:ce:xx:31  SMAC=xx:xx:x:ce:xx:84 LEN=40 TOS=0x00 PREC=0x00 TTL=235 ID=54321 PROTO=TCP SPT=40479 DPT=443 WINDOW=65535 RES=0x00 SYN URGP=0
2015-07-13, 08:30:14	[HACK] SynFlooding Attack	IN=eth1 OUT=eth0 SRC=162.222.127.13 DST=192.168.X.Y DMAC=xx:xx:x:ce:xx:31  SMAC=xx:xx:x:ce:xx:84 LEN=48 TOS=0x00 PREC=0x00 TTL=108 ID=42462 PROTO=TCP SPT=29398 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0
2015-07-13, 10:41:46	[HACK] SynFlooding Attack	IN=eth1 OUT=eth0 SRC=115.239.248.46 DST=192.168.X.Y DMAC=xx:xx:x:ce:xx:31  SMAC=xx:xx:x:ce:xx:84 LEN=40 TOS=0x00 PREC=0x00 TTL=95 ID=256 PROTO=TCP SPT=6000 DPT=8080 WINDOW=16384 RES=0x00 SYN URGP=0
2015-07-13, 10:59:41	[HACK] SynFlooding Attack	IN=eth1 OUT=eth0 SRC=115.239.248.46 DST=192.168.X.Y DMAC=xx:xx:x:ce:xx:31  SMAC=xx:xx:x:ce:xx:84 LEN=48 TOS=0x00 PREC=0x00 TTL=39 ID=16968 PROTO=TCP SPT=1471 DPT=8080 WINDOW=65535 RES=0x00 SYN URGP=0
2015-07-13, 11:09:04	[HACK] SynFlooding Attack	IN=eth1 OUT=eth0 SRC=93.158.212.112 DST=192.168.X.Y DMAC=xx:xx:x:ce:xx:31  SMAC=xx:xx:x:ce:xx:84 LEN=40 TOS=0x00 PREC=0x00 TTL=242 ID=54274 PROTO=TCP SPT=46278 DPT=80 WINDOW=1024 RES=0x00 SYN URGP=0
2015-07-13, 11:54:03	[HACK] SynFlooding Attack	IN=eth1 OUT=eth0 SRC=162.222.127.13 DST=192.168.X.Y DMAC=xx:xx:x:ce:xx:31  SMAC=xx:xx:x:ce:xx:84 LEN=60 TOS=0x00 PREC=0x00 TTL=44 ID=50351 DF PROTO=TCP SPT=44215 DPT=80 WINDOW=14600 RES=0x00 SYN URGP=0
2015-07-13, 12:09:38	[HACK] SynFlooding Attack	IN=eth1 OUT=eth0 SRC=178.216.200.80 DST=192.168.X.Y DMAC=xx:xx:x:ce:xx:31  SMAC=xx:xx:x:ce:xx:84 LEN=60 TOS=0x00 PREC=0x00 TTL=44 ID=24561 PROTO=TCP SPT=43718 DPT=80 WINDOW=14600 RES=0x00 SYN URGP=0
2015-07-13, 12:31:08	[HACK] SynFlooding Attack	IN=eth1 OUT=eth0 SRC=61.183.128.6 DST=192.168.X.Y DMAC=xx:xx:x:ce:xx:31  SMAC=xx:xx:x:ce:xx:84 LEN=40 TOS=0x00 PREC=0x00 TTL=234 ID=62302 PROTO=TCP SPT=54649 DPT=8080 WINDOW=1024 RES=0x00 SYN URGP=0
2015-07-13, 12:56:37	[HACK] SynFlooding Attack	IN=eth1 OUT=eth0 SRC=61.160.221.207 DST=192.168.X.Y DMAC=xx:xx:x:ce:xx:31  SMAC=xx:xx:x:ce:xx:84 LEN=40 TOS=0x00 PREC=0x00 TTL=104 ID=256 PROTO=TCP SPT=19696 DPT=8080 WINDOW=16384 RES=0x00 SYN URGP=0
2015-07-13, 13:39:07	[HACK] SynFlooding Attack	IN=eth1 OUT=eth0 SRC=192.95.0.250 DST=192.168.X.Y DMAC=xx:xx:x:ce:xx:31  SMAC=xx:xx:x:ce:xx:84 LEN=48 TOS=0x00 PREC=0x00 TTL=114 ID=15910 DF PROTO=TCP SPT=3596 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0
2015-07-13, 13:43:32	[HACK] SynFlooding Attack	IN=eth1 OUT=eth0 SRC=209.132.178.69 DST=192.168.X.Y DMAC=xx:xx:x:ce:xx:31  SMAC=xx:xx:x:ce:xx:84 LEN=60 TOS=0x00 PREC=0x00 TTL=37 ID=63597 PROTO=TCP SPT=56952 DPT=443 WINDOW=14600 RES=0x00 SYN URGP=0
2015-07-13, 13:43:32	Connection Accepted	IN=eth1 OUT=eth0 SRC=209.132.178.69 DST=192.168.X.Y DMAC=xx:xx:x:ce:xx:31  SMAC=xx:xx:x:ce:xx:84 LEN=60 TOS=0x00 PREC=0x00 TTL=37 ID=63597 PROTO=TCP SPT=56952 DPT=443 WINDOW=14600 RES=0x00 SYN URGP=0
2015-07-13, 14:02:47	[HACK] SynFlooding Attack	IN=eth1 OUT=eth0 SRC=216.243.31.2 DST=192.168.X.Y DMAC=xx:xx:x:ce:xx:31  SMAC=xx:xx:x:ce:xx:84 LEN=40 TOS=0x00 PREC=0x00 TTL=230 ID=54321 PROTO=TCP SPT=44256 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0

Ce qui me dérange le plus c'est que c'est en direction directe de notre serveur interne (192.168.X.Y) et qu'il y ait des "connection accepted". Est-ce grave ? est-ce que le routeur fait bien son boulot ?

Merci,

[BufferBob]

salut,

Ce qui me dérange le plus c'est que c'est en direction directe de notre serveur interne (192.168.X.Y) et qu'il y ait des "connection accepted".

le fait que l'IP de destination soit en 192.168.x.y dépend surement de l'interface sur laquelle tu sniff, en gros ton tcpdump est réalisé une fois que le NAT est fait, ce qui a du sens finalement
quant aux connections accepted, tout dépend des ports concernés, si tu as un serveur web ce sera normal de voir un SYN sur tcp/80 passer en "connection accepted", faudrait voir la vitesse à laquelle arrivent les paquets mais basiquement ça fait pas plus mal qu'un scan classique

Est-ce grave ?

ça dépend la vitesse à laquelle arrivent les paquets, si ça défile vraiment très très vite ça peut éventuellement impacter ton réseau, mais là encore c'est à investiguer (mesurer) plus précisément
ça dépend aussi les "connection accepted", ils sont symptomatiques d'un port ouvert sur la machine finale, dans les lignes que tu montres les deux connexions acceptées sont des paquets tcp/443, j'en déduis donc que ta machine en 192.168.x.y est au minimum un serveur web avec HTTPS, sinon si c'est pas le cas alors oui il y a sans doute lieu de s'inquiéter

est-ce que le routeur fait bien son boulot ?

à priori oui, le propos d'un routeur est d'acheminer les paquets et de faire de la translation d'adresse, donc il fait son boulot.
si tu fais référence à un quelconque filtrage ou protection, c'est plus certainement la partie firewall qu'il faut considérer, au minimum

[kenny_zkit]

En effet je n'avais même pas vu les ports visés ... -_-' En fait rien d'anormal pour l'instant, jai juste eu le réseau qui est tombé un matin et j'ai du reboot le routeur, après je ne sais pas si c'est lié !

Merci pour ces réponses en tout cas !

[BufferBob]

en fait en étant un peu mieux réveillé (ou pas), j'avais pas tellement prêté attention à l'horodatage de ton log mais concrètement t'as un relevé de 15 lignes sur ~6h de temps, vraiment pas de quoi s'alerter

si tu dis que tu as des logs énormes, c'est pas les quelques lignes que tu as mis ici qui les reflètent le mieux, les logs en question sont devenus "énormes" en combien de temps, quelques jours ? quelques mois ?

la question qu'on pourrait se poser aussi c'est d'où vient ce tag [HACK] SynFlooding Attack, de quelle application, et quel est son seuil de détection ?