[gull] Web server and changing IPs

Wed Sep 1 07:40:52 CEST 2010

Bonjour,

Il y a plusieurs adresses qui font partie des botnets, ou ont été partie
des botnets dans le passé. Si on parle des fournisseurs de hosting, ou
des adresses partagés par plusieurs machines. Ça suffit une seule
machine infecté derrière le NAT.

Le mardi 31 août 2010 à 17:41 +0200, Daniel Cordey a écrit :
> On Tue, 31 Aug 2010 17:03:23 +0200 - Olivier Evalet <evaleto at gelux.ch>
> wrote:
> 
> > Je pose la question par curiosité, je me place en béotien . Si le
> > serveur reçoit ces requêtes avec des ip différentes c'est qu'il y a un
> > aiguillage? un truc comme ça:
> 
> Exactement.
> 
> Cala s'appelle "intercepting proxy". Ce type de "serveur" est
> techniquement possible mais est plus que fortement decourage. Ceci pour
> la simple et bonne raison qu'il est impossible de detecter un serveur
> "d'intrusion" d'un serveur "sain"... Le RFC 3022 precise donc qu'un
> proxy doit toujours monter une seule adresse IP au monde exterieur.
> Cela est surtout vrai dans le cas ou l'on a >1 serveur proxy (load
> balancing etc.). 
> 
> Donc, je j'envoie en page html contenant :
> 
> <html>
> ...
> <img...>
> <img...>
> ...
> </html>
> 
> Et que je recoive les requetes (GET) pour mes deux images depuis deux
> adresses IP differentes, je suis en droit de me poser des questions...
> 
> Depuis pres de 6 mois,nosu avons detecte la chose suivante :
> 
> Envoi de la page HTML xxx.xxx.xxx.xxx
> GET image1... from IP xxx.xxx.xxx.xxx
> GET image2... from IP aaa.aaa.aaa.aaa
> GET image2... from IP xxx.xxx.xxx.xxx
> 
> Je precise que le temps ecoule entre les deux dernier GET est de
> quelques centaines de millisecondes. De plus, l'adresse IP
> aaa.aaa.aaa.aaa fait partie d'un botnet identifie !!!
> 
> L'un des moyen de se premunir contre cette tentative d'interception et
> de verifie les adresses IP. Des reception d'une adresse IP differentes
> de celle recue lors de la procedure de login la session est invalidee !
> 
> Le probleme est qu'un de nos client a sous-traite le proxy a une
> societe qui fait du load-balancing avec deux proxy, et que nous
> recevons les requetes avec des addresses qui changent durant la
> session. 
> 
> > C'est étrange comme chemin mais si c'est ce que je comprend, les
> > proxya/proxb ont forcément des ip différentes. 
> 
> Oui, raison pour laquelle il est demande de faire du NAT/Masquerading.
> 
> dc
> _______________________________________________
> gull mailing list
> gull at forum.linux-gull.ch
> http://forum.linux-gull.ch/mailman/listinfo/gull

-- 
Be Happy :-)