Bonjour,
dans le but de sécuriser mon réseau et le rendre plus performant j'ai fait quelques tests. Mon réseau utilise un serveur de domaine sous Kwartz. J'ai testé quelques applis, dont une qui fait planter mon serveur. Je ne vais pas vous citer cette appli (en accès libre sur le net et sur un site sérieux pour des raisons de tests et d'apprentissage) de peut qu'elle soit utilisée à mauvais escient par quelqu'un.
Il s'agit d'une appli sous dos qui lance des sessions sur un port choisit en option.
Le soucis est le suivant:
je lance top sur mon serveur en console, je visualise donc mes process'.
Je lance l'appli avec comme option le port 139.
Il faut à peine 1 minute pour planter le serveur; des processus smbd se lancent en boucle....la suite on la connaît.
J'analyse mes trames réseau. Je constate que cette appli envoie une trame comprenant un en-tête TCP avec les flags ACK=1 et RST=1. Ce qui ne correspond à rien dans les communications Tcp. Mais ça fait planter le serveur.
Alors bien sûr, je pourrais omettre ce problème qui ne s'est jamais produit réellement....mais il suffit qu'un jour un petit malin tombe sur ce genre d'appli et finisse par s'amuser pour faire planter le serveur. Et là, tout l'établissement sera bloqué !
Mais je préfère jouer la prévention et protéger mon serveur en bloquant ce type de communication. Alors comment faire ?
- dois-je me tourner vers un script qui décode les flags et bloque ce type de com' ?
- dois-je faire une appli en C qui analyse la trame et empêche le lancement de proces' smbd ?
- ou autre chose ?
merci de votre aide.
Partager