J'ai une IP dynamique et toute les secondes je suis scanné (SYN) sur les port 445 et 135 , mais le truc bizarre c'est que c toujours sur la même plage LDCOM/9T (mon ISP) 80.119.0.0/16, ponctué de quelque scan SYN provenant genre des USA.
Sur un forum j'ai trouvé ca :
""
Re: Scan de plage IP wanadoo : ca fait peur !
Posté par Marc (page perso) le 23/10/2003 à 14:21. (lien). Évalué à 1.
je sais pas comment ca se passe sur les autre isp, mais là je suis abbo free degroupé, et j'ai des scan perpetuels (càd je recois un scan toute les 2 ou 3s). Et la plupart du temps ce sont d'autre freebox (ils scan juste si y'a netbios)... enfin bon... que peut on faire?
""
Je ne recois aucun TCP SYN sur 445/135 en provenance d'autres ISP (wanadoo, free,...), presque que de 9T !
Alors d'ou viennent tout ces paquets vide TCP SYN ?
De XP mal configuré ? d'un petit script nmap/smbclient
?
Oui mais alors, pourquoi ca vient toujours de la meme plage d'adresse IP???
.
exemple:
tcpdump -n -i ppp0
je laisse tourné un peu ...
10:47:46.435036 IP 80.119.99.25.2372 > 80.119.36.198.135: S 3885635856:3885635856(0) win 64800 <mss 1412,nop,nop,sackOK>
10:47:46.463383 IP 80.119.209.13.3737 > 80.119.36.198.1433: S 1899241506:1899241506(0) win 16384 <mss 1412,nop,nop,sackOK>
10:47:49.360027 IP 80.119.99.25.2372 > 80.119.36.198.135: S 3885635856:3885635856(0) win 64800 <mss 1412,nop,nop,sackOK>
10:48:20.979588 IP 80.119.175.227.4747 > 80.119.36.198.135: S 1666561658:1666561658(0) win 16384 <mss 1412,nop,nop,sackOK>
10:48:21.359478 IP 80.119.6.5.4221 > 80.119.36.198.445: S 1040580706:1040580706(0) win 64800 <mss 1412,nop,nop,sackOK>
10:48:21.801758 IP 80.119.114.223.1066 > 80.119.36.198.445: S 1585631768:1585631768(0) win 58944 <mss 1412,nop,wscale 2,nop,nop,sackOK>
10:48:23.645633 IP 80.119.113.57.1358 > 80.119.36.198.445: S 2472060057:2472060057(0) win 16384 <mss 1412,nop,nop,sackOK>
10:48:23.875279 IP 80.119.175.227.4747 > 80.119.36.198.135: S 1666561658:1666561658(0) win 16384 <mss 1412,nop,nop,sackOK>
10:48:24.359286 IP 80.119.6.5.4221 > 80.119.36.198.445: S 1040580706:1040580706(0) win 64800 <mss 1412,nop,nop,sackOK>
10:48:24.788108 IP 80.119.114.223.1066 > 80.119.36.198.445: S 1585631768:1585631768(0) win 58944 <mss 1412,nop,wscale 2,nop,nop,sackOK>
10:48:26.545259 IP 80.119.113.57.1358 > 80.119.36.198.445: S 2472060057:2472060057(0) win 16384 <mss 1412,nop,nop,sackOK>
STOP!!!!!!!
donc je recois 10trame de 1400 octet / min
soit a un debit de 23octet /sec
0,02Ko/S de perte de bande passante en réception
)
Pour un 2Mbit (256Ko) ca fait 0,01% de la BP (en arrondissant a l'extreme arrache)
Mais bon, c pour le principe
Je scan le dernier au hasard :
Interesting ports on 57.113.119-80.rev.gaoland.net (80.119.113.57):
(The 1654 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
21/tcp open ftp
23/tcp filtered telnet
80/tcp open http
254/tcp filtered unknown
255/tcp open unknown
""
inetnum: 80.119.110.0 - 80.119.125.255
netname: N9UF-DYN-DSL
descr: Dynamic pool
descr: strasbourg-1
country: FR
""
Hasbani Web Server Error Report:
Server Error: 403 Forbidden
Access denied
/doc/index.htm
"""
HTTP/1.1 400 Bad Request
Server: WindWeb/2.0
""
220 Tornado-vxWorks (VxWorks5.4.2) FTP server ready
"""
bon lui je sais pas si il est sous XP mais ca m'a l'air d'un ptit bidouilleur sans firewall...
Je m'eloigne juste un peu
mais ma question reste sur la provenance, pourquoi pratiquement toujours 80.119.0.0/16 (9T, mon ISP)?
Une idée ?
Merci
