Depuis 2 à 3 semaines mon routeur SMC 7401 BRA se plantait. Plus moyen d'y accéder via la console par 192.168.1.1, le DHCP ne répondait plus, l'accès à INTERNET et au mail était impossible alors que la connexion était disponible à certaines applications.
 
Dans le même temps, le firewall Kerio 4.1.1 bloquait des tentatives d'intrusion du type suivant :
 
[08/Oct/2004 16:04:45] "Ids" action = 'deny' raddr = '82.64.xxx.xxx msg = 'BACKDOOR trojan active blah11'  
[08/Oct/2004 15:47:39] "Ids" action = 'deny' raddr = '82.66.xxx.xxx msg = 'BACKDOOR trojan active millenium'  
[08/Oct/2004 00:10:22] "Ids" action = 'deny' raddr = '83.64.xxx.xxx msg = 'BACKDOOR Trojan active Whackjob'  
 
Après recherche sur les différents forums j'ai appliqué le patch microsoft relatif à la limitation de connexion imposé par SP2.
 
Le patch Microsoft ne fonctionnait pas... le nombre de connexion max n'était pas modifié. J'ai donc utilisé un autre utilitaire permettant de modifier tcpip.sys et de vérifier que la modif était faite.  
 
Cette modif m'a permis de garder la main sur le routeur et d'accéder au fichier log après plantage.  
 
J'ai ainsi pu constater que dans le paramétrage du routeur, l'authentication PPP était sur Auto. En cas de reboot cela marchait, le mode PAP était utilisé. En cas de déconnexion / reconnexion sans reboot, le mode CHAP était utilisé et la reconnexion ne se faisait pas.  
 
Pour finir, le lancement du test "Exploits test" sur www.pcflank.com plante le routeur ! Le serveur DHCP ne répond pas à un renew et on perd l'accès internet... L'accès à la console du 7401 via 192.168.1.1 ne répond plus.
 

Et donc ?

Et donc,  
 
régulièrement, plus moyen d'accéder au web ni aux emails, ni à la console du SMC par 192.168.1.1 alors que la connexion est disponible à certaines applications.  
 
Une seule solution, couper l'alim du SMC et la rallumer...  
 
Je viens de repasser en Firmware Version: SMC7401BRA1.11 et de mettre la DMZ sur 192.168.1.1 pour voir :
1/ si les tentatives d'intrusion continuent
2/ si je perd encore le contrôle de la connexion
 
Comme j'avais un peu de temps, j'ai lancé les tests de PCFLANK un par un.
 
Un seul provoque le plantage du routeur tout en laissant la connexion opérationnelle pour certaines applications : TARGA3
 
"Targa3 is a denial-of-service attack aimed at systems with IP stack vulnerabilities. Targa3 sends random malformed IP packets that cause some IP stacks to crash or act unexpectedly. Malformed IP packets consist of invalid fragmentation, protocol, packet size, header values, options, offsets, tcp segments, and routing flags. Once the TCP stack received the invalid packet, the kernel had to allocate resources to handle the packet. If enough malformed packets were received, the system would crash because of exhausted resources. Targa3 can be used to test firewalls and routers for stability and reactions to unexpected packets.
Affected systems: Win 95,98,Me,NT,2000"
 
Y-a-t-il moyen de protéger le SMC 7401 BRA contre ce type d'attaque ?