Fikltrage des paquets TCP anormaux et masque

Discussion in 'LnS French Forum' started by Climenole, Jul 29, 2005.

Thread Status:
Not open for further replies.
  1. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Bonjour à tous :)

    J'aimerais comprendre comment marchent les masques dans les règles de filtrage TCP.

    Dans les règles avancées il y a le blocage des paquets TCP anormaux avec
    les flags SYN-FIN. Les Flags Tcp de la règle sont:

    URG x
    ACK x
    PSH x
    RST x
    SYN x x
    FIN x x

    Ce qui bloque les paquets avec les flags syn-fin...

    Si je change le masque pour:

    URG x
    ACK x
    PSH x
    RST x
    SYN x x
    FIN x x

    est-ce que cela aura pour effet de filtrer les paquets avec SYN-FIN ET
    toutes les autres combinaisons de SYN-FIN ? Ou ça ne tiendra pas compte
    des autres flags actifs ou non Ou... o_O

    J'ai l'impression de me planter le doigt dans l'oeil jusque là...

    Quelqu'un pourrait-il éclairer ma lanterne ?

    Merci.

    :)
     
  2. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Bonjour,

    Les 2 exemples que vous donnez sont identiques:
    URG x
    ACK x
    PSH x
    RST x
    SYN x x
    FIN x x

    du coup pas sûr de comprendre la question.

    En tout cas ce qui est sûr, c'est que la première colonne indique si le flag doit être vérifé ou non, et la deuxième sa valeur s'il doit être testé.
    Donc quand il y a x partout dans la première colonne, tous les flags sont vérifiés.
    Pour ne vérifier que le flag SYN à 1 (et les autres quelconques) on trouverait uniquement:
    URG
    ACK
    PSH
    RST
    SYN x x
    FIN

    Frédéric
     
  3. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Bonjour Frédéric :)

    Oups ...!

    J'avais mal présenté l'exemple ( 2 x le même...). !!??

    Mais vous avez tout à fait répondu à ma question.

    Beaucoup plus clair maintenant.

    Merci :)
     
Thread Status:
Not open for further replies.