Paquet bizare!

Discussion in 'LnS French Forum' started by X-FaKtOr, Sep 2, 2003.

Thread Status:
Not open for further replies.
  1. X-FaKtOr

    X-FaKtOr Registered Member

    Joined:
    Aug 29, 2003
    Posts:
    53
    Bonjour,
    Voila je voulais signaler que je filtrais des paquets assez bizares dont je ne comprends pas la significations et dont j'aimerais avoir plus ample informations,je vous montre ca sur ce screenshot:

    http://xfaktor.free.fr/chelou.JPG

    Je trouve ca assez inhabituel que le loopack envoie de paquet vers internet qui plus ici il est dit que je recois des paquet d'internet en provenance du loopback ce qui est illogique...
    Merci.
    Bye
     
  2. gkweb

    gkweb Expert Firewall Tester

    Joined:
    Aug 29, 2003
    Posts:
    1,932
    Location:
    FRANCE, Rouen (76)
    Ca ne me semble pas anormal, je parie que tu utilises un produit norton genre antivirus ou internet security, ou bien un programme pour bloquer les popups ou tout autre utilitaires de ce genre.
    En effet la plupart de ceux ci pour faire leur boulot, se mettent en intermediaires entre ton modem et ton navigateur sur le loopback 127.0.0.1.
    Par ex chez moi norton antivirus qui scanne les pieces jointes des emails configure sur mon pc mes serveurs de mails "pop" et "smtp" comme etant 127.0.0.1, quel interet ? et bien qd mon client de messagerie veut envoyer ou receptioner des mails, il contacte 127.0.0.1 (norton) et non les serveurs de mon fournisseurs d'acces, et c'est ensuite norton qui le fait, verifiant ainsi toujours les pieces jointes avant qu'elles n'arrivent a mon client de mails.
    Le principe est identique pour les programmes reliés au naviguateur web.
     
  3. X-FaKtOr

    X-FaKtOr Registered Member

    Joined:
    Aug 29, 2003
    Posts:
    53
    Salut gkweb
    Je possède en effet Norton Antivirus comme on le vois dans ma barre des taches mais je ne connaissais pas son mode de fonctionnement pour scanner les mail entrants et sortant.
    Merci pour ta réponse qui me satisfait! ;)
    Bye
     
  4. gkweb

    gkweb Expert Firewall Tester

    Joined:
    Aug 29, 2003
    Posts:
    1,932
    Location:
    FRANCE, Rouen (76)
    C'est juste le principe de pls logiciels, là je viens de regarder pour NAV 2004 et je n'arrive pas a voir comment il fait, mais au moins pour NAV 2002 de mémoire ds Outlook il remplacait le "pop.wanadoo.fr" (ds mon cas) par "localhost".
    Là je n'utilise plus ni NAV 2002 ni Outlook, mais l'idée au moins est bonne ;)

    De plus sur ton image comme on voit le port "80 http" je parierai sur la fonctionalité "Script Blocking" de NAV mais là je suis pas sur :)
     
  5. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Bonjour,

    Ceci dit pour en revenir à la copie d'écran initiale, ce n'est pas normal que le TCP SPI bloque ce paquet. Il s'agit d'un paquet avec le flag SYN donc il devrait être autorisé.

    Bizarre.

    Frédéric
     
  6. X-FaKtOr

    X-FaKtOr Registered Member

    Joined:
    Aug 29, 2003
    Posts:
    53
    Oui Frederic c bizare parfois je trouve la gestion Statefull de l&s.Je suis parfois deconcerté par le nombre de paquet refusé avec cette fonction.J'ai aussi constaté que cela posait problème lorsque l'on activait l&s une fois des applis comme emule deja lancée car cela provoquait des cascades de rejet par le statefull...
    Bye
     
  7. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Ah oui, Ok, dans ces conditions, c'est normal, enfin ça s'explique ;)

    Le TCP SPI ne sait gérer qu'un nombre max de connexions TCP simultanément.
    Au delà de ce nombre les connexions ne sont pas acceptées, et ça génère une alerte pour signaler que le paquet a été jeté.

    Les applications p2p ouvrent un grand nombre de connexions TCP simultanément et, de ce fait, l'activation du TCP SPI pose des problèmes lors de l'utilisation de ces applications.

    Le nombre max est pour l'instant de 64, il passera à 128 avec la 2.05, mais ça restera a priori insuffisant pour les applications p2p.
    Pour l'instant, on ne souhaite pas mettre ce nombre max à une valeur élevée pour des questions de performance.

    Frédéric
     
  8. X-FaKtOr

    X-FaKtOr Registered Member

    Joined:
    Aug 29, 2003
    Posts:
    53
    Ok chef ! :)
    Bye
     
  9. Doud

    Doud Guest

    o_O
    J'ai le même problème mais je n'utilise pas Emule ou tout autre logiciel P2P car je suis connecté en RTC (pb de vitesse).
    Le pb est apparu depuis qques temps environ 1 semaine et cela semblerait correspondre à la mise en service de l'adsl dans ma commune. J'ai constate également la disparition des tentatives d'intrusions par le port 135 (ver mblaster) et ce dans les mêmes délais et pratiquement du jour au lendemain.
    Afin de m'assurer de de la bonne santé de mon micro, j'ai remonté une sauvegarde datant du mois de juillet puis une autre datant de mai et j'ai tjs ces paquets bizarre ..
    J'ai également changé de conection RTC wanadoo puis free puis lybertysurf et la aussi rien ne change.

    Please HELP !
     
  10. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Quand vous dites "même problème" pouvez-vous préciser ?

    S'il s'agit d'une alerte TCP Stateful Packet Inspection, pourriez-vous joindre le paquet ?

    Frédéric
     
  11. Doud

    Doud Guest

    Bonjour,

    N'ayant pas l'habitude des forums, je n'ai pas trouvé l'astuce pour joindre des PJ au Post.
    Je vous fais donc parvenir une Hard-copie d'écran et 2 log de paquet par mail
    @+
     
  12. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Jai également obtenu ces fameux paquets bizarres venant de 127.0.0.1 avec le port 80 et qui déclenchent le TCP SPI.
    Il s'agit d'une bonne détection de Look 'n' Stop, apparemment certaines machines (des PC infectés ?) envoient ces paquets en spoofant leur adresse IP.
    Pour éviter d'être trop embêté avec beaucoup d'alertes de ce type, j'ai créé une règle qui bloque ces paquets de manière silencieuse et sans faire intervenir le TCP SPI:
    http://looknstop.soft4ever.com/Rules/LocalHost80.rie

    Frédéric.
     
  13. X-FaKtOr

    X-FaKtOr Registered Member

    Joined:
    Aug 29, 2003
    Posts:
    53
    Merci bien Frederic ;)
    Sinon moi je suis certain de ne pas etre infecté alors ca doit etre autre chose mais je ne sais pas quoi...
    Bye
     
  14. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Les éventuels PC Infectés dont je parlais sont ceux qui seraient à l'origine de ces paquets et non ceux qui les reçoivent.

    Frédéric.
     
  15. X-FaKtOr

    X-FaKtOr Registered Member

    Joined:
    Aug 29, 2003
    Posts:
    53
Thread Status:
Not open for further replies.