On en veut à mon netbios !!!

[antolien]

Dans mes logs, j'ai un éventail d'ip qui attaquent sur le port netbios 137. Même lorsque je change d'ip, ça continue. <BR>j'ai une question qui me tracasse, peut-on trouver une ip en connaissant une adresse mac qui elle ne change pas ? <BR>Vous avez vous aussi ce genre de chose dans vos logs ? c byzare parce que ce n'est pas un scan, toutes ces ip vont direct sur le 137 et le firewall les bloquent.Et il y a bcp d'ip différentes <BR>si quelqu'un peut éclairer ma lanterne ...

[laubean]

Le port 137 sert a faire la résolution de nom, c'est a dire faire la correspondance entre ton adresse ip et le nom de ta machine.

[tomtom]

En théorie, ton adresse mac est absolument invisible sur le web....... <BR>Par contre, si tu as un serveur web, il y a toujours des petits malins pour tenter les failles de base (par exemple voir si tu as un partage visible d'internet, port 137 <IMG SRC="images/smiles/icon_wink.gif"> ) <BR> <BR>Pas bien grave si ton FW bloque, pas de soucis, laisse-les donc se casser les dents dessus <IMG SRC="images/smiles/icon_razz.gif"> <BR> <BR><BR><BR><font size=-2></font>

[loup]

Salut <BR> <BR>j'ai tous les jours la même chose, moins en semaine, mais les week-end ça bat des records! <BR>IPcop veille au grain! <BR>donc pas de soucis <BR>@+ <BR>ciao <BR> <IMG SRC="images/smiles/icon_biggrin.gif">

[xjlxx]

Houla je croi que vous devez faire une erreur : <BR> <BR>En effet le Nebios un des protocoles de partage de fichier et d'imprimante il sert entre autre à la résolution des non netbios avec l'ip... <BR> <BR>Mais le port est le 139 et non le 137 <BR>De toute façon je pense qu'aucun forward est activé sur ton firewall pour ce port <IMG SRC="images/smiles/icon_lol.gif"> <BR> <BR>De toute facon même avec un port 139 d'ouvert sur ta passerelle et que tu n'as dérière aucun système de resolution de nom sur ton réseau (dns wins nis)pouf aucun risque ! <BR>De plus avec un partage de connection vu les adresses utilisé 192.x.x.x ou 10.x.x.x la t tranquille a moin de se faire changer ces régles iptables a son inssue <IMG SRC="images/smiles/icon_lol.gif"> <BR>Laisse les si ca les amuses de perdre leur temps <BR> <IMG SRC="images/smiles/icon_biggrin.gif">

[xjlxx]

heu si même sans wins <BR>chui bete on peu attaquer directement sur IP une machine partagant des fichiers <BR> <BR>192.1.1.254nom_du_partage <BR> <BR>Voila vois pas comment il pourrai faire autrement !! <BR> <BR>Mais aucun risque a moins d'avoir un trou énorme chez toi <IMG SRC="images/smiles/icon_lol.gif"> <IMG SRC="images/smiles/icon_lol.gif"> <IMG SRC="images/smiles/icon_lol.gif">

[xjlxx]

enfin <IMG SRC="images/smiles/icon_boxe2.gif"> <BR> <BR>antislachantislacheadresse_ipantislachenon_du_ partage <BR> <BR> <IMG SRC="images/smiles/icon_cussing.gif">

[antolien]

merci pour les infos, mais xj je connais bien ce qui touche à windows, et pour info, j'ai un domaine windows 2000 derrière ipcop, donc dns wins et des partages(j'utilise à peu près tous les services que win2k serveur propose ce qui essouffle un peu le seul contrôleur de domaine à 500mhz <IMG SRC="images/smiles/icon_smile.gif">). Désolé pour les linuxiens mais cela me fait une belle cohabitation. je suis donc un peu inquiet quand je vois des attaques répétées sur ce type de ports, mais comme ipcop veille au grain, tant mieux ! Et puis rassuré aussi que vous ayez la même chose, mais je me posai la question de savoir si c'étais pas lié à une faille ou un backdoor.

[xjlxx]

Antolien: Moi aussi j'utilse Windows Xp derriere une clarkconnect et les réseau hétérogénes je trouve ca cool aussi ! <BR> <BR> <IMG SRC="images/smiles/icon_up.gif">

[tetack]

ca date pas d'aujourd'hui mais chez moi aussi c le cas ! <BR> <BR>des que t'es connecté ya pas mal de pc qui le cherche une demande de nom de machine par netbios toutes les minutes en moyenne ! <BR> <BR>je sais pas qui demande mais ca va des sites ou t'est connecté et tu surfes a ton prividers en pasant pas des "petits cons "

[antolien]

lol tetack, oui j'imagine bien que ce sont de petits $%#&!. et d'ailleurs, ce sont bien eux qui polluents le net (malgré une pollution "virtuelle" ellle est bouene presente)

[antolien]

juste une idée vite fait lobean: nbtstat

[antolien]

$%#&!, c pas lobéan mais tfillaud (le message reste le même pour le destinataire) <BR>par contre le 137 libre te permet d'initier une connexion sur le 139 après ( évoqué en private xj) <BR>et sous un produit commercial, ce genre de log n'existe pas (et pourtant yen a des logs ! bcp même trop, j'en suis lassé)

[tomtom]

C'est pour moi ??? j'ai rien compris !!! <BR> <BR> <IMG SRC="images/smiles/icon_rolleyes.gif"> <IMG SRC="images/smiles/icon_rolleyes.gif"> <IMG SRC="images/smiles/icon_rolleyes.gif">

[antolien]

je voulais juste dire que la commande nbtstat permet de connaître une adresse mac.