On en veut à mon netbios !!!

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Messagepar antolien » 14 Oct 2002 23:15

Dans mes logs, j'ai un éventail d'ip qui attaquent sur le port netbios 137. Même lorsque je change d'ip, ça continue. <BR>j'ai une question qui me tracasse, peut-on trouver une ip en connaissant une adresse mac qui elle ne change pas ? <BR>Vous avez vous aussi ce genre de chose dans vos logs ? c byzare parce que ce n'est pas un scan, toutes ces ip vont direct sur le 137 et le firewall les bloquent.Et il y a bcp d'ip différentes <BR>si quelqu'un peut éclairer ma lanterne ...
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar laubean » 15 Oct 2002 00:26

Le port 137 sert a faire la résolution de nom, c'est a dire faire la correspondance entre ton adresse ip et le nom de ta machine.
Avatar de l’utilisateur
laubean
Major
Major
 
Messages: 77
Inscrit le: 22 Août 2002 00:00

Messagepar tomtom » 15 Oct 2002 10:55

En théorie, ton adresse mac est absolument invisible sur le web....... <BR>Par contre, si tu as un serveur web, il y a toujours des petits malins pour tenter les failles de base (par exemple voir si tu as un partage visible d'internet, port 137 <IMG SRC="images/smiles/icon_wink.gif"> ) <BR> <BR>Pas bien grave si ton FW bloque, pas de soucis, laisse-les donc se casser les dents dessus <IMG SRC="images/smiles/icon_razz.gif"> <BR> <BR><BR><BR><font size=-2></font>
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar loup » 15 Oct 2002 11:16

Salut <BR> <BR>j'ai tous les jours la même chose, moins en semaine, mais les week-end ça bat des records! <BR>IPcop veille au grain! <BR>donc pas de soucis <BR>@+ <BR>ciao <BR> <IMG SRC="images/smiles/icon_biggrin.gif">
"Moi, quand on m'en fait trop, j'correctionne plus, j'dynamite, j'disperse, j'ventile!"
Avatar de l’utilisateur
loup
Contre-Amiral
Contre-Amiral
 
Messages: 438
Inscrit le: 18 Avr 2002 00:00
Localisation: languedoc; Mireval, Pays du Muscat!

Messagepar xjlxx » 15 Oct 2002 12:26

Houla je croi que vous devez faire une erreur : <BR> <BR>En effet le Nebios un des protocoles de partage de fichier et d'imprimante il sert entre autre à la résolution des non netbios avec l'ip... <BR> <BR>Mais le port est le 139 et non le 137 <BR>De toute façon je pense qu'aucun forward est activé sur ton firewall pour ce port <IMG SRC="images/smiles/icon_lol.gif"> <BR> <BR>De toute facon même avec un port 139 d'ouvert sur ta passerelle et que tu n'as dérière aucun système de resolution de nom sur ton réseau (dns wins nis)pouf aucun risque ! <BR>De plus avec un partage de connection vu les adresses utilisé 192.x.x.x ou 10.x.x.x la t tranquille a moin de se faire changer ces régles iptables a son inssue <IMG SRC="images/smiles/icon_lol.gif"> <BR>Laisse les si ca les amuses de perdre leur temps <BR> <IMG SRC="images/smiles/icon_biggrin.gif">
Avatar de l’utilisateur
xjlxx
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 315
Inscrit le: 02 Oct 2002 00:00

Messagepar xjlxx » 15 Oct 2002 12:33

heu si même sans wins <BR>chui bete on peu attaquer directement sur IP une machine partagant des fichiers <BR> <BR>192.1.1.254nom_du_partage <BR> <BR>Voila vois pas comment il pourrai faire autrement !! <BR> <BR>Mais aucun risque a moins d'avoir un trou énorme chez toi <IMG SRC="images/smiles/icon_lol.gif"> <IMG SRC="images/smiles/icon_lol.gif"> <IMG SRC="images/smiles/icon_lol.gif">
Avatar de l’utilisateur
xjlxx
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 315
Inscrit le: 02 Oct 2002 00:00

Messagepar xjlxx » 15 Oct 2002 12:38

enfin <IMG SRC="images/smiles/icon_boxe2.gif"> <BR> <BR>antislachantislacheadresse_ipantislachenon_du_ partage <BR> <BR> <IMG SRC="images/smiles/icon_cussing.gif">
Avatar de l’utilisateur
xjlxx
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 315
Inscrit le: 02 Oct 2002 00:00

Messagepar antolien » 15 Oct 2002 15:41

merci pour les infos, mais xj je connais bien ce qui touche à windows, et pour info, j'ai un domaine windows 2000 derrière ipcop, donc dns wins et des partages(j'utilise à peu près tous les services que win2k serveur propose ce qui essouffle un peu le seul contrôleur de domaine à 500mhz <IMG SRC="images/smiles/icon_smile.gif">). Désolé pour les linuxiens mais cela me fait une belle cohabitation. je suis donc un peu inquiet quand je vois des attaques répétées sur ce type de ports, mais comme ipcop veille au grain, tant mieux ! Et puis rassuré aussi que vous ayez la même chose, mais je me posai la question de savoir si c'étais pas lié à une faille ou un backdoor.
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar xjlxx » 15 Oct 2002 15:49

Antolien: Moi aussi j'utilse Windows Xp derriere une clarkconnect et les réseau hétérogénes je trouve ca cool aussi ! <BR> <BR> <IMG SRC="images/smiles/icon_up.gif">
Avatar de l’utilisateur
xjlxx
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 315
Inscrit le: 02 Oct 2002 00:00

Messagepar tetack » 15 Oct 2002 21:00

ca date pas d'aujourd'hui mais chez moi aussi c le cas ! <BR> <BR>des que t'es connecté ya pas mal de pc qui le cherche une demande de nom de machine par netbios toutes les minutes en moyenne ! <BR> <BR>je sais pas qui demande mais ca va des sites ou t'est connecté et tu surfes a ton prividers en pasant pas des "petits cons "
L'univers et la $%#&! humaine sont infini ... quoique pour l'univers je ne suis pas sur ! " <br>Albert Einstein
Avatar de l’utilisateur
tetack
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 275
Inscrit le: 26 Fév 2002 01:00
Localisation: Paris

Messagepar antolien » 15 Oct 2002 21:27

lol tetack, oui j'imagine bien que ce sont de petits $%#&!. et d'ailleurs, ce sont bien eux qui polluents le net (malgré une pollution "virtuelle" ellle est bouene presente)
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar antolien » 15 Oct 2002 21:48

juste une idée vite fait lobean: nbtstat
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar antolien » 15 Oct 2002 22:03

$%#&!, c pas lobéan mais tfillaud (le message reste le même pour le destinataire) <BR>par contre le 137 libre te permet d'initier une connexion sur le 139 après ( évoqué en private xj) <BR>et sous un produit commercial, ce genre de log n'existe pas (et pourtant yen a des logs ! bcp même trop, j'en suis lassé)
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar tomtom » 16 Oct 2002 11:20

C'est pour moi ??? j'ai rien compris !!! <BR> <BR> <IMG SRC="images/smiles/icon_rolleyes.gif"> <IMG SRC="images/smiles/icon_rolleyes.gif"> <IMG SRC="images/smiles/icon_rolleyes.gif">
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar antolien » 16 Oct 2002 11:53

je voulais juste dire que la commande nbtstat permet de connaître une adresse mac.
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Suivant

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Google [Bot] et 1 invité