Bonjour, Voila je voulais signaler que je filtrais des paquets assez bizares dont je ne comprends pas la significations et dont j'aimerais avoir plus ample informations,je vous montre ca sur ce screenshot: http://xfaktor.free.fr/chelou.JPG Je trouve ca assez inhabituel que le loopack envoie de paquet vers internet qui plus ici il est dit que je recois des paquet d'internet en provenance du loopback ce qui est illogique... Merci. Bye
Ca ne me semble pas anormal, je parie que tu utilises un produit norton genre antivirus ou internet security, ou bien un programme pour bloquer les popups ou tout autre utilitaires de ce genre. En effet la plupart de ceux ci pour faire leur boulot, se mettent en intermediaires entre ton modem et ton navigateur sur le loopback 127.0.0.1. Par ex chez moi norton antivirus qui scanne les pieces jointes des emails configure sur mon pc mes serveurs de mails "pop" et "smtp" comme etant 127.0.0.1, quel interet ? et bien qd mon client de messagerie veut envoyer ou receptioner des mails, il contacte 127.0.0.1 (norton) et non les serveurs de mon fournisseurs d'acces, et c'est ensuite norton qui le fait, verifiant ainsi toujours les pieces jointes avant qu'elles n'arrivent a mon client de mails. Le principe est identique pour les programmes reliés au naviguateur web.
Salut gkweb Je possède en effet Norton Antivirus comme on le vois dans ma barre des taches mais je ne connaissais pas son mode de fonctionnement pour scanner les mail entrants et sortant. Merci pour ta réponse qui me satisfait! Bye
C'est juste le principe de pls logiciels, là je viens de regarder pour NAV 2004 et je n'arrive pas a voir comment il fait, mais au moins pour NAV 2002 de mémoire ds Outlook il remplacait le "pop.wanadoo.fr" (ds mon cas) par "localhost". Là je n'utilise plus ni NAV 2002 ni Outlook, mais l'idée au moins est bonne De plus sur ton image comme on voit le port "80 http" je parierai sur la fonctionalité "Script Blocking" de NAV mais là je suis pas sur
Bonjour, Ceci dit pour en revenir à la copie d'écran initiale, ce n'est pas normal que le TCP SPI bloque ce paquet. Il s'agit d'un paquet avec le flag SYN donc il devrait être autorisé. Bizarre. Frédéric
Oui Frederic c bizare parfois je trouve la gestion Statefull de l&s.Je suis parfois deconcerté par le nombre de paquet refusé avec cette fonction.J'ai aussi constaté que cela posait problème lorsque l'on activait l&s une fois des applis comme emule deja lancée car cela provoquait des cascades de rejet par le statefull... Bye
Ah oui, Ok, dans ces conditions, c'est normal, enfin ça s'explique Le TCP SPI ne sait gérer qu'un nombre max de connexions TCP simultanément. Au delà de ce nombre les connexions ne sont pas acceptées, et ça génère une alerte pour signaler que le paquet a été jeté. Les applications p2p ouvrent un grand nombre de connexions TCP simultanément et, de ce fait, l'activation du TCP SPI pose des problèmes lors de l'utilisation de ces applications. Le nombre max est pour l'instant de 64, il passera à 128 avec la 2.05, mais ça restera a priori insuffisant pour les applications p2p. Pour l'instant, on ne souhaite pas mettre ce nombre max à une valeur élevée pour des questions de performance. Frédéric
J'ai le même problème mais je n'utilise pas Emule ou tout autre logiciel P2P car je suis connecté en RTC (pb de vitesse). Le pb est apparu depuis qques temps environ 1 semaine et cela semblerait correspondre à la mise en service de l'adsl dans ma commune. J'ai constate également la disparition des tentatives d'intrusions par le port 135 (ver mblaster) et ce dans les mêmes délais et pratiquement du jour au lendemain. Afin de m'assurer de de la bonne santé de mon micro, j'ai remonté une sauvegarde datant du mois de juillet puis une autre datant de mai et j'ai tjs ces paquets bizarre .. J'ai également changé de conection RTC wanadoo puis free puis lybertysurf et la aussi rien ne change. Please HELP !
Quand vous dites "même problème" pouvez-vous préciser ? S'il s'agit d'une alerte TCP Stateful Packet Inspection, pourriez-vous joindre le paquet ? Frédéric
Bonjour, N'ayant pas l'habitude des forums, je n'ai pas trouvé l'astuce pour joindre des PJ au Post. Je vous fais donc parvenir une Hard-copie d'écran et 2 log de paquet par mail @+
Jai également obtenu ces fameux paquets bizarres venant de 127.0.0.1 avec le port 80 et qui déclenchent le TCP SPI. Il s'agit d'une bonne détection de Look 'n' Stop, apparemment certaines machines (des PC infectés ?) envoient ces paquets en spoofant leur adresse IP. Pour éviter d'être trop embêté avec beaucoup d'alertes de ce type, j'ai créé une règle qui bloque ces paquets de manière silencieuse et sans faire intervenir le TCP SPI: http://looknstop.soft4ever.com/Rules/LocalHost80.rie Frédéric.
Merci bien Frederic Sinon moi je suis certain de ne pas etre infecté alors ca doit etre autre chose mais je ne sais pas quoi... Bye
Les éventuels PC Infectés dont je parlais sont ceux qui seraient à l'origine de ces paquets et non ceux qui les reçoivent. Frédéric.
