Pourquoi jolt2 sur un noyau 2.2.x marche sans problèmes, alors qu'il ne fait rien sur un noyau 2.4.x ?    
 
Pourquoi ma mandrake 8.0 se le prend en plein tronche lorsque j'attaque depuis Win2000 depuis mon réseau local en icmp(cpu use 100%) ?    
(je croyais que jolt2 ne marchait que contre microsoft et certains routeurs cisco)

[edtdd]--Message édité par chr_79--[/edtdd]

1°/ c'est koi jolt2 ?
 
2°/ mdk 8 utilise un 2.4
 
3°/ as tu des serveurs lancés ( web, cups, swat, .. ) car ils peuvent recevoir les packets et essayer de les traiter.
ensuite faut mettre un firewall.
la bécane bloque ? si elle ne bloque pas alors elle ne fait que traiter.
je me souviens avoir tenté une attaque avec nessus sur ma bécane et à un moment c'est monté à 100% (un peu comme avec un plugin visuel xmms), mais sinon rien.

Jolt2, c'est une attaque DoS contre Windows, assez vieille ( http://www.securiteam.com/exploits/5RP090A1UE.html pour + d'infos)
 
J'ai compilé jolt2 sur un noyau 2.2 (Mandrake 7.2) et y a pas de problèmes, il marche.
Sur un noyau 2.4 (Mandrake 8.0) il se compile, mais n'envoi rien.
 
Pour l'attaque, il envoi des paquets icmp. Tout les packets icmp sont acceptés en local par le firewall (sauf les fragements, qui sont bloqués).
Le problème, c'est que dès que je lance jolt2 contre ma mandrake 8.0, l'utilisation cpu monte à 100%, et elle ne réponds plus aux ping, ni à rien d'autre.

[edtdd]--Message édité par chr_79--[/edtdd]

tu peux check ce que tu as comme services qui tournent ?

Configuration du firewall (pour le réseau interne):
accepte port tcp :27015,24347,24349,3128,21,25,110,23,995,22,443,10100,80,1863
accepte port udp 27015,24347,24349,1863
icmp : tous
 
confiration xinetd : accepte pop3, pop3s, telnet
 
services qui tournent : pppd, pppoed, syslogd, klogd, atd, sshd, xinetd, postfix, httpd-perl, httpd, squid, portsentry, proftpd

c'est pas un firewall c'est une gruyère.
en plus tu ne bloque même pas les icmp

 
ben oui, car je ne crains pas les attaques interne à mon réseau !
bien sur que je bloque les icmp DEPUIS INTERNET.
 
(j'avais quand même précisé que c'était pour le réseau interne et pas pour l'extérieur   )

[edtdd]--Message édité par chr_79--[/edtdd]

après un petit essai, il semble que c'est bastille-firewall, qui n'aime pas du tout les attaques de jolt2.
 
tcpdump me retourne 'IP-proto-0 29'
 
 
Si quelqu'un pouvait essayer sur son firewall ce serait sympa.
 
(lien pour le prog jolt2 pour Win2000 : http://chr79.free.fr/jolt2.exe
lien pour la dll qui va avec : http://chr79.free.fr/cygwin1.dll
)

j'ai bastille et une mdk 8, mais avec un autre noyau.
si tu veux je te donne mon IP et tu peux essayer sur mon ordi.

je peux pas, car c'est mon proxy linux qui est relié sur le net, et ça le bloque si je lui demande de faire le forwarding des frangments jolt2 vers une machine sur internet.
 
 
Par contre, si tu veux, le code source de jolt2 : http://chr79.free.fr/jolt2.c
(marche chez moi avec le noyau 2.2 seulement)

[edtdd]--Message édité par chr_79--[/edtdd]

j'ai un 2.4 donc c'est dead.

y'a un kernel upgrade pour le noyau mdk qui corrige notamment un pb avec netfilter

Bon, je suis passé au 2.4.7-12.3mdk, avec iptables 1.2.2 mais le problème est toujours la.
d'autres suggestions pour résoudre ce problème ?

bloquer les icmp ?
essayer sans bastille puis avec un autre firewall
désactiver le loging de bastille

J'ai résolu mon problème. Les paquets étaient bien 'dropés' par iptables, mais il avait beaucoup trop de mal a suivre la cadence du réseau 100Mbit a cause du nombre trop importants de règles que j'avais défini. Depuis que j'ai fermé tout les ports inutiles, je n'ai plus de problèmes.