ne me scanne pas !

[antolien]

J'ai souvent ça dans snort : <BR> <BR>(spp_portscan2) Portscan detected from 216.127.84.32: 1 targets 21 ports in 29 seconds <BR> <BR>Informations sur l'adresse IP: 216.127.84.32:80 -> xxx.xxx.xxx.xxx:1830 <BR> <BR> <BR>sachant que c'est l'ip d'ixus, il y a quelque chose que je ne comprend pas. <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_redface.gif">

[bisol]

Si tu te connecte sur le CHAT les serveurs IRC scannent souvent les ports ocnnu des proxy (8080,1080....) car les accès sont interdis..

[tomtom]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-05-22 10:37, antolien a écrit: <BR>J'ai souvent ça dans snort : <BR> <BR>(spp_portscan2) Portscan detected from 216.127.84.32: 1 targets 21 ports in 29 seconds <BR> <BR>Informations sur l'adresse IP: 216.127.84.32:80 -> xxx.xxx.xxx.xxx:1830 <BR> <BR> <BR>sachant que c'est l'ip d'ixus, il y a quelque chose que je ne comprend pas. <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>Franchement, Snort remonte beaucoup de faus positifs quand même, non ? <BR> <BR>Je ne penses pas que cela soit un scan, d'autant que je ne comprends pas pourquoi il parle de 21 ports alors qu'il n'en affiche qu'un ?? <BR> <BR>Est-ce que tu utilises Active Prts pour voir un peu les connexions tcp depuis ton post Windows ? tu verras peut-etre pas mal de connexions... <BR> <BR> <BR> <BR>

[antolien]

oui en effet snort est un peu trop bavard des fois... <BR>en réponse à bisol => non pas de connexion au chat <BR> <BR>pour les connexions actives je fais juste un netstat -a et là : <IMG SRC="images/smiles/icon_eek.gif"> <BR> <BR>TCP fuji:2354 216.127.84.32:http TIME_WAIT <BR>TCP fuji:2355 216.127.84.32:http TIME_WAIT <BR>TCP fuji:2356 216.127.84.32:http TIME_WAIT <BR>TCP fuji:2360 216.127.84.32:http TIME_WAIT <BR>TCP fuji:2361 216.127.84.32:http TIME_WAIT <BR>TCP fuji:2362 216.127.84.32:http TIME_WAIT <BR>TCP fuji:2364 216.127.84.32:http TIME_WAIT <BR>TCP fuji:2365 216.127.84.32:http TIME_WAIT <BR>TCP fuji:2366 216.127.84.32:http TIME_WAIT <BR>TCP fuji:2369 216.127.84.32:http TIME_WAIT <BR>TCP fuji:2370 216.127.84.32:http TIME_WAIT <BR>TCP fuji:2379 216.127.84.32:http TIME_WAIT <BR>TCP fuji:2380 216.127.84.32:http TIME_WAIT <BR>TCP fuji:2381 216.127.84.32:http TIME_WAIT <BR>TCP fuji:2383 216.127.84.32:http TIME_WAIT <BR>TCP fuji:2386 216.127.84.32:http TIME_WAIT <BR>TCP fuji:2390 216.127.84.32:http TIME_WAIT <BR>TCP fuji:2391 216.127.84.32:http TIME_WAIT <BR>TCP fuji:2394 216.127.84.32:http TIME_WAIT <BR>TCP fuji:2396 216.127.84.32:http TIME_WAIT <BR>TCP fuji:2397 216.127.84.32:http TIME_WAIT <BR>TCP fuji:2402 216.127.84.32:http TIME_WAIT <BR>TCP fuji:2404 216.127.84.32:http TIME_WAIT <BR>TCP fuji:2408 216.127.84.32:http TIME_WAIT <BR> <IMG SRC="images/smiles/icon_lol.gif"> <BR>alors snort prendrai ça comme une intrusion ? mais alors pourquoi scan de port ? <BR> <BR>d'ailleurs autant de connexions sur ixus cela m'étonne car je n'ai qu'une seule page dessus. cela voudrait dire que j'ai rafraîchit 25 fois depuis ce matin ? <IMG SRC="images/smiles/icon_eek.gif"> <BR> <BR> <IMG SRC="images/smiles/icon_confused.gif">

[tomtom]

En fait, à chaque fois que l'on poste, une connexion se crée.... <BR>Ca doit dependre un peu du temps entre chaque post, de ce que l'on rafraichit etc... <BR> <BR>Mais comme les ports se suivent, et qu'il y a de nouvelles connexions, snort à l'impression d'un scan.. Je suis surpris qu'il ne se rende pas compte que les ocnnexions sont initiées depuis le lan.... <IMG SRC="images/smiles/icon_confused.gif"> <BR> <BR> <BR>Tom