Alerte: "Protocole 139" ???

Discussion in 'LnS French Forum' started by chafouin, Nov 6, 2007.

Thread Status:
Not open for further replies.
  1. chafouin

    chafouin Registered Member

    Joined:
    Nov 6, 2007
    Posts:
    3
    Bonjour,

    J'ai récemment installé LnS sur 2 pc, et j'ai un "problème" assez surprenant. Si quelqu'un pouvait m'expliquer, ce serait sympa.

    Les 2 PC sont en LAN (plage 192.168.30.*). Le jeu de règles évolué LnS est activé sur les deux.

    Quand le PC1 démarre, il me donne immédiatement une alerte de blocage de cette forme:

    Règle: Tout le reste
    Direction: PC>>Internet
    MAC source: MAC PC1
    MAC dest: FF:FF:FF:FF:FF:FF
    Type: IP
    IP source: 192.168.30.255
    IP dest: 255.255.255.255
    Protocole: 139

    Quand le PC2 démarre, aucune alerte sur PC2. Par contre PC1 me donne une alerte de blocage de PC2, de la même forme:

    Règle: Tout le reste
    Direction: Internet>>PC
    MAC source: MAC PC2
    MAC dest: FF:FF:FF:FF:FF:FF
    Type: IP
    IP source: 192.168.30.255
    IP dest: 255.255.255.255
    Protocole: 139

    L'alerte dit bien "protocole 139" (pas port 139) dans les deux cas. Je ne crois pas que ce protocole existe, alors je me demande bien ce qui se passe ?
    D'autant plus que ce traffic n'est détecté que par un des 2 PC, alors qu'ils ont le même jeu de règles.
     
  2. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Bonjour,

    Oui, c'est assez curieux, il devrait s'agir plutôt de port et non de protocole.

    C'est dans quelle fenêtre exactement ? Pourriez-vous faire une copie d'écran ?

    Sinon, dans la fenêtre "Contenu du paquet" (quand on double-clique sur une ligne du journal), cliquez sur le bouton "Paquet Brut", ce qui va créer un fichier RawPacket.log dans le répertoire des logs (il y a un bouton dans la page des options pour ouvrir l'explorateur sur ce répertoire).
    Ouvrez le fichier puis faites un copier/coller du dernier paquet inscrit dans le fichier (il n'y en a qu'un si vous n'avez jamais utilisé cette fonction).

    Merci,

    Frédéric
     
  3. chafouin

    chafouin Registered Member

    Joined:
    Nov 6, 2007
    Posts:
    3
    Bonsoir,

    Merci pour la réponse.

    Je voulais parler de la fenêtre d'alerte classique qui apparait en pop up quand un paquet est bloqué par le filtrage internet (c'est aussi consigné dans le journal).

    J'ai pensé au début qu'il s'agissait du port 139 et qu'il y avait une erreur de formulation, mais je ne crois pas que ce soit le cas, en effet le paquet est bloqué par la règle "tout le reste", pas par une règle tcp ou udp.

    Je ne peux pas accéder aux pc ce soir mais j'essaierai l'option "paquet brut" dès demain.

    Merci.
     
  4. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    C'est peut être quand même une erreur d'affichage de la popup d'alerte.
    C'est pour cela que je voudrais savoir aussi ce que dit la fenêtre "Contenu du message" qui est plus fiable.

    Frédéric
     
  5. chafouin

    chafouin Registered Member

    Joined:
    Nov 6, 2007
    Posts:
    3
    Je me suis trompé hier soir: je parlais bien de cette fenêtre "contenu", en fait. La popup d'alerte ne dit pas grand chose.

    Voilà la capture :
    (dans le doute j'ai enlevé l'adresse MAC, je sais pas si je m'en fais pas pour rien?)

    Lns_139_2.JPG

    Et le paquet brut:

    08/11/07,11:11:40 Addition, Uplink packet:
    0000:FF FF FF FF FF FF 00 20 ÿÿÿÿÿÿ.

    0008:XX XX XX XX 08 00 45 00 í3…..E. (même remarque?)

    0010:00 32 00 03 00 00 FF 8B .2....ÿ‹

    0018:20 58 C0 A8 1E FF FF FF XÀ¨ÿÿÿ

    0020:FF FF 01 00 02 00 00 00 ÿÿ......

    0028:00 00 00 00 00 00 00 00 ........

    0030:18 30 A1 37 87 50 DC E8 0¡7‡PÜè

    0038:38 BA F1 F1 7A 6E 2D B3 8ºññzn-³
     
    Last edited: Nov 8, 2007
  6. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Bonjour,

    Merci pour les infos.

    Il s'agit bien d'un paquet qui utilise le protocole 139.
    Ca pourrait être un problème dans le paquet remonté par le driver, mais il semble quand même assez cohérent par ailleurs: il s'agit d'un broadcast avec les champs d'adresse à FF à la fois dans la partie ethernet et la partie IP.
    Et cette adresse IP se trouve après le champ qui vaut 139.

    Sinon, l'adresse IP source est curieuse aussi, le dernier chiffre étant à 255.

    En cherchant sur google on trouve d'autres occurrences de "protocol 139", mais sans trop d'explication non plus.

    Frédéric
     
  7. Climenole

    Climenole Look 'n' Stop Expert

    Joined:
    Jun 3, 2005
    Posts:
    1,640
    Bonjour chafouin et Frédéric :)

    Juste une idée comme ça: ce ne serait pas une bizarrerie d'un routeur ou d'un équipement du genre? Quels équipement avez-vous au fait? Marque et modèle.

    Suggestion: autoriser ces paquets et examiner ce qui se passe avec un "packet sniffer" pour voir si d'autres indices serait disponibles...

    Ceci par exemple: Packetyzer

    A+

    :)
     
Thread Status:
Not open for further replies.