attaque TCP ?????

Discussion in 'LnS French Forum' started by buli, Jun 15, 2003.

Thread Status:
Not open for further replies.
  1. buli

    buli Guest

    bonjour à tous,

    Des que je me connecte sur internet, et que je vais voir mon journal sur LNS, j'ai à peu pres 100 bloquages de connexions entrantes de type TCP en l'espace de 4 à 5 minutes de surf.

    Ma question est de savoir si cela correspond a des attaques ? ou est-ce normal d'avoir un multitude de blocage en provenant du net.

    Les IP ("attaquantes"?) sont nombreuses et identiques, et le blocage est à intervalle régulier.

    merci a+
     
  2. gkweb

    gkweb Guest

    pour te repondre il nous faudrai plus de détails, par exemple le port cible.
    Il y a souvent du traffic des logiciels de partage de fichiers qui génère beaucoup d'alertes.

    gkweb.
     
  3. buli

    buli Guest

    salut,

    c'est assez varié, mais j'ai tout de même les ports 1214, 4662, et 137 qio sont bloqués sans arrets par LNS.

    sur le 1214 je me dit TCP entrantes bloquées
    sur le 4662 il me dit TCP entrantes bloquées
    sur le 137 il me dit UDP entrantes bloquées.

    voila
    a+buli
     
  4. gkweb

    gkweb Guest

    1214 : TCP => Client de partage de fichiers Kaaza, qd tu te connecte tu doit prendre l'ip de quelqu'un qui faisait tourner Kazaa et ses anciens clients te demande toujours des sources meme si toi tu n'a rien a voir avec eux...

    4662 : TCP => Client de partage de fichier eDonkey, meme remarque que ci dessus

    137 : UDP => là par contre, traffic beaucoup mons innocent : virus/worm ou scripts kiddies a la recherche de NetBIOS ouvert sur des machines afin de rentrer dedans... à bloquer absolument.

    (normalement tu doit avoir une regle qui bloque en TCP et UDP les ports 137 à 139)

    gkweb.
     
  5. buli

    buli Guest

    salut,

    merci pour les infos, par contre j'ai pas tout saisit sur les ports de kazaa et emule.
    Cela doit faire au moins 2 mois que je n'y suis pas allé. et emule n'est meme plus installé sur ma machine. Peux tu reexpliquer s'il te plait ?

    Pour le port 137, oui c'est pas innocent. par ontre j'ai aucun virus ni troyen sur mon système. j'ai un AV à jour et j'ai fais un test en ligne.

    merci
    a+buli
     
  6. gkweb

    gkweb Guest

    A propos des clients de partage de fichiers, l'explication est simple.

    Imagines que moi "A" je suis un client du réseau kaaza, et que je partage des fichiers avec qq d'autre "B". Il se trouve que plusieurs personnes communiquent en meme temps avec "B".

    Mais arrive a un moment où "B" se deconnecte, mais tous les autres ne sont pas au courant.

    Toi, tu te connecte, et par hasard tu prend l'ancienne adresse IP de "B" (qu'il n'a plus puisque déconnecté) et donc les autres essais de communiquer avec "B" (une adresse IP) sans savoir que ce n'est plus la meme personne, cette fois ci c'est toi.

    Pour le port 137, tu n'as pas besoin d'etre infecté, c'est un service windows de base auquel certaines personnes mal intentionnées essaient d'acceder... donc a bloquer ;)

    gkweb.
     
  7. buli

    buli Guest

    salut,

    merci de ton aide, c'est beaucoup plus claire maintenant.

    bye :D
     
Thread Status:
Not open for further replies.