Scan sur port 137 par IP privé

[exaedwen]

Bonjour,

depuis qqs semaines mon firewall solicité à intervalles réguliers sur le port 137 par une adresse ip privée depuis l'internet.
Lorsque j'effectue un traceroute vers cette machine, chose étrange, je remonte jusqu'à une adresse publique d'un célèbre fournisseur de connexion internet pour entreprise...

Mon traceroute dans ce cas est il fiable ?

merci d'avance pour vos réponses

[Zeno]

Bin une IP Privé depuis internet c'est incoherent..

Donc je voudrait bien que tu m'explique comment tu fait ton trace route ..

C'est qui ton fournisseur ? C'est qui celui qui te scan ?

Le port 137 est par défault celui attribué à NetBIOS SMB.. Tu as quoi comme distribution ?

[exaedwen]

Tout à fait daccord sur l'incohérence de l'adresse IP privée qui provient d'internet ... sauf si le paquet est construit avec une fausse IP source mais cela m'étonnerait bcp que celle ci soit routée.

Mon fournisseur est le même que celui de la personne qui me scanne. Ce qui expliquerait peut être cette adresse ip privée, mais ça me parait très très gros.

la listrib est une RedHat

[Zeno]

Tu ne veu pas donner le nom de ton fournisseur ?

Tu peu m'expliquer comment avec l'adresse privé tu arrive à l'adresse public en Traceroute ?

[Wizard_Spike]

Ouais en effet, ça me parait plus qu'étrange d'arriver sur internet en faisant un traceroute sur uine ip privée...
Totu ce que je sais, c'est qu'il est normal de voir du traffic local sur le port 137, puisque les partages de dossiers sous windws l'utilisent.
Quelle est l'adresse ip privée que tu soupçonnes? (si c'est pas indiscret)

[Zeno]

Mais il utilise RedHat.. Donc pas de partage Windows.. A moin que il y est Samba.. Mais un scan sur un port ne signifi pas introduction..

Personnelement je detecte un scan du port 445, (sasser) toute les 5 secondes sur une machine OpenBSD.

Mais oui ca serait bien de savoir qu'elle adresse.. Quel fournisseur..

[exaedwen]

Pour l'adresse pas de souci je la donne, il s'agit du range 192.168.114.x 255.255.255.0
En ce qui concerne le FAI je préfère ne pas en parler pour l'instant, si une plainte doit être déposée à un moment ou un autre, ce genre de communication n'est pas très appréciée..

Sinon je pense de plus en plus à un vers / virus + un problème de routage sur le réseau du FAI. Imaginons qu'à l'autre bout un petit malin s'amuse à scanner des @IP privée ne sachant pas que par un étrange hasard il se retrouve à sortir du réseau de sa boîte ?

Sinon il s'agit bien d'une RedHat qui sert de Firewall

[jdh]

Quelques rappels :

- La RFC 1918 précise les adresses à utiliser pour les réseaux privées (les autres étant pour les réseaux publics).
- un bon fournisseur ne doit pas router de traffic privé (cad avec adresse ip privée).

La seule explication à un paquet avec ip source privée et ip destination publique signifie que celui qui fabrique un tel paquet est dans le même réseau du fournisseur ET que les routeurs ne sont pas bien paramétrés.

Quelle réponse à donner à un tel paquet ? un "DROP" et c'est tout ! Au mieux un mail à abuse@fai, mais ne te fais aucune illusion : il est plus que problable qu'il n'y aura aucune réponse.

Pourquoi dépenser de l'énergie à réflechir à de tels paquets ? De tels paquets sont destinés à débusquer ou à planter des serveurs (PC) Windows en direct sur Internet, du fait des faiblesses au traitement post pile tcp des Windows 2000, XP ou autres. Cela n'a aucun intéret : on filtre (par DROP) et c'est tout.

Pour info, je reçois depuis 1 mois et demi, des mails (avec virus) venant de la même adresse ip (publique). Un ping ou un nmap n'aboutisse à rien. J'ai écris 2 fois à abuse@ sans la moindre réponse.
Il n'y a aucune solution à attendre.

[Zeno]

Je reste à te demander comment tu as fait ton Traceroute pour arriver à une adresse public.. Et quelle adresse public ??

Et ca te le fait encore ? Ou c'etait juste une fois.. ??