Activités suspectes dans le journal...

Discussion in 'LnS French Forum' started by fbparis, Mar 2, 2004.

Thread Status:
Not open for further replies.
  1. fbparis

    fbparis Registered Member

    Joined:
    Mar 2, 2004
    Posts:
    4
    Bonjour,

    Après avoir utilisé Conseal Firewall pendant longtemps j'ai décidé de changer un peu, et Look n Stop semble vraiment bien.

    Je suis sur de ma machine, pas de virus, pas de trojan, pas de spyware (je l'ai scannée dans tous les sens avec spybot s&d...) et je garde toujours un oeil sur la liste des process avec Process Viewer...

    A part MSN (mais j'ai installe toutes les règles relatives a MSN dans le filtrage internet) je n'utilise rien de special (pas de jeu en reseau, pas de p2p).

    Pourtant le journal se remplit assez rapidement, j'ai du desactivier les sons pour que ce soit supportable, et je serais curieux de savoir exactement pourquoi.

    Je suis sous win98se, avec l'adsl extense (wanadoo, mais j'ai viré tous les assistants et autres boites a outil wanadoo du demarrage), et a titre d'exemple, voici un extrait de mon journal pour ces dernieres minutes :

    02/03/04 20:50:58 D 0 'TCP : Bloque tous les au' 80.14.222.235 TCP Ports Dest:445 Src:2971
    02/03/04 20:51:01 D 1 'TCP : Bloque tous les au' ALyon-108-1-3-235.w80-14.abo.wa=80.14.222.235TCP Ports Dest:445 Src:2971
    02/03/04 20:51:07 D 2 'TCP : Bloque tous les au' ALyon-108-1-3-235.w80-14.abo.wa=80.14.222.235TCP Ports Dest:445 Src:2971
    02/03/04 20:54:31 D 3 'TCP : Bloque tous les au' 80.14.163.225 TCP Ports Dest:445 Src:3857
    02/03/04 20:54:34 D 4 'TCP : Bloque tous les au' AMontsouris-107-2-1-225.w80-14.=80.14.163.225TCP Ports Dest:445 Src:3857
    02/03/04 20:54:40 D 5 'TCP : Bloque tous les au' AMontsouris-107-2-1-225.w80-14.=80.14.163.225TCP Ports Dest:445 Src:3857
    02/03/04 21:05:41 U 6 'ICMP : Bloque le reste. ' 210.52.66.51 ICMP Type:3 Code:3
    02/03/04 21:05:41 U 7 'UDP : Bloque le reste. ' 210.52.66.51 UDP Ports Dest:137 Src:137
    02/03/04 21:05:43 U 8 'UDP : Bloque le reste. ' 210.52.66.51 UDP Ports Dest:137 Src:137
    02/03/04 21:05:44 U 9 'UDP : Bloque le reste. ' 210.52.66.51 UDP Ports Dest:137 Src:137
    02/03/04 21:10:31 U 10 'ICMP : Bloque le reste. ' 80.10.246.132 ICMP Type:3 Code:3
    02/03/04 21:11:07 U 11 'ICMP : Bloque le reste. ' dns-adsl-gpe1-b.wanadoo.fr=80.10.246.132ICMP Type:3 Code:3

    Voila, si qqn peut m'eclairer un peu...

    Merci d'avance :)

    FB
     
  2. Cortex83

    Cortex83 Registered Member

    Joined:
    Mar 4, 2004
    Posts:
    1
    L'onglet 'Journal' fournit en temps réel des indications sur les paquets filtrés par Look 'n' Stop.

    Un paquet peut être filtré soit pour être bloqué (Stop !), soit pour être observé (Look !) en fonction des paramètres des règles de filtrage.

    A chaque paquet filtré correspond une ligne dans le journal.

    Une ligne du journal est composée de plusieurs champs à raison d'un champ par colonne.

    La colonne 'U/D#' fournit 2 informations :
    'U' indique un paquet dans le sens 'Upload' c'est à dire de votre PC vers l'Internet et 'D' indique un paquet dans le sens 'Download' c'est à dire de l'Internet vers votre PC.
    Le nombre associé à la lettre 'U' ou 'D' permet de numéroter les lignes du journal.
    La colonne 'Date' fournit la date et l'heure à laquelle le paquet a été filtré.
    La colonne 'Règle' fournit le nom de la règle qui a permis de filtrer le paquet. Dans le cas d'un filtrage logiciel c'est 'APP: Bloquée' qui apparaît.
    La colonne 'Type' fournit le type de protocole Internet du paquet filtré, dans le cas d'un filtrage logiciel c'est EXE (pour Exécutable) ou RUN (pour une application qui en lance une autre) qui apparaît. En cas de Flood (voir les options avancées), le type est précédé de 'F:'.
    La colonne 'Adresse / Application' fournit l'adresse IP ou l'adresse Ethernet en cause dans le paquet filtré (il s'agit de l'adresse de l'émetteur pour les paquets reçus et l'adresse du destinataire pour les paquets émis) lorsqu'il s'agit d'un filtrage Internet, ou fournit le nom de l'application qui a tenté de se connecter pour un filtrage logiciel.
    La colonne 'Complément' fournit des informations complémentaires sur le paquet filtré. Ces informations dépendent du type de paquet filtré. Il peut s'agir par exemple des ports source et destination du paquet filtré pour le protocoles TCP et UDP. Pour les paquets ICMP, il s'agit des champs type et code. Dans le cas d'un filtrage logiciel, la colonne complément fournit le chemin complet de l'application qui a tenté de se connecter.
     
Thread Status:
Not open for further replies.