Upload vers origin2.microsoft.com ?

Discussion in 'LnS French Forum' started by Croco, Jun 15, 2004.

Thread Status:
Not open for further replies.
  1. Croco

    Croco Registered Member

    Joined:
    Apr 23, 2003
    Posts:
    43
    Location:
    France
    Bonjour à tous,

    En examinant les log de LnS, j'ai constaté à nombreuse reprise que le TCP Stateful Packet Inspection me bloquait des envoies TCP destination port 80 sur 207.46.250.252 (origin2.microsoft.com).

    Après avoir constaté cet upload inexpliquer, j'ai aussitôt créer une règle pour bloquer cette adresse IP et surveiller quand cela se manifestait pour éventuellement la liée à une application.

    Après quelques jours de surveillance, impossible de savoir l'origine de ces upload, cela se fait de façon aléatoire, ce matin j'ai même constaté un lq tentative d'envoi de packet en UDP en destination du port 137.

    L'un d'entre vous avez déjà constaté ces packet mystérieux ? o_O

    Merci d'avance ;)

    Ma configuration :
    LnS 2.05
    Windows 2000 SP4
    IE 6.0
    Direct X 9.0b
     
  2. gkweb

    gkweb Expert Firewall Tester

    Joined:
    Aug 29, 2003
    Posts:
    1,932
    Location:
    FRANCE, Rouen (76)
    Bonjour,

    il est possible que le responsable soit un service windowsn essais de désactiver le plus de services possible, ca résoudra peut être ton problème.

    gkweb.
     
  3. Croco

    Croco Registered Member

    Joined:
    Apr 23, 2003
    Posts:
    43
    Location:
    France
    Bonjour,

    J'ai déjà essayé de couper plusieurs services, mais certains sont indispensable étant donné que la machine en question sert de passerelle internet ICS pour mon réseau local.

    Après avoir poussé l'enquête plus loin, il s'avère que ce n'est pas que la seul IP en cause, mais l'intégralité du segment alloué à Microsoft soit 207.46.0.0-207.46.255.255. En bloquant toute cette plage, c'est de nombreuses alerte d'upload vers le port 80 et 137 qui sont bloqués.

    J'aimerai bien identifié ce qui est a l'origine de ces remontés.

    A bientôt, je continue l'enquête...
     
  4. gkweb

    gkweb Expert Firewall Tester

    Joined:
    Aug 29, 2003
    Posts:
    1,932
    Location:
    FRANCE, Rouen (76)
    Bonjour,

    ne serait pas le service de mise à jour automatique Windows Update ?
    Le service s'apelle "mise à jour automatique" dans le gestionnaire de services.

    gkweb.
     
  5. Frederic

    Frederic LnS Developer

    Joined:
    Jan 9, 2003
    Posts:
    4,354
    Location:
    France
    Bonjour,

    Je n'ai pas bien compris pourquoi c'était le TCP SPI qui détectait ces paquets.
    Y a t-il une raison ?

    En ce qui concerne les envois sur le port 137, je constate aussi parfois ce genres de paquets Uplink bloqués, juste après une première alerte dont l'adresse IP n'a pas pu être résolue.
    C'est comme ci la résolution DNS ayant échouée Windows essayait de trouver le nom de l'IP via le Netbios en contactant directement la machine, mais je n'en suis pas sûr du tout.

    J'ai un PC qui présente ce symptôme mais pas un autre, et je ne vois pas de différence de configuration flagrante entre les 2...

    Pour les accès sur le port 80, j'aimerais donc juste mieux comprendre déjà pourquoi c'est le TCP SPI qui bloque.

    Frédéric
     
Thread Status:
Not open for further replies.