attaques quotidiennes

par **steph2002** » 11 Août 2002 21:03

bonjour, il ne se passe pas un jour sans que mon firewall m'alerte de tentatives d'intrusion. chacun de ces messages correspond il véritablement à une attaque? une fois que grâce à whois sur ip j'ai identifier l'auteur que puis-je faire? quelle est le meilleur paramétrage de norton internet security? y a-t-il un meilleur firewall? ces questions vous paraîtront peut être simplistes mais je débute. merci

par **bradium** » 12 Août 2002 21:51

Es-tu sur que ce sont des intrusions malveillantes et pas ton provideur? Sinon c'est le lot de tout a chacun, surtout de ceux qui ont une connection ADSL. Tu n'as rien de particulier a faire, si tu as un bon firewall, ils se casseront les dents dessus, pas la peine de perdre son temps à les debusquer.

par **drlin** » 12 Août 2002 23:12

peux-tu poster une part de tes logs içi??

par **steph2002** » 13 Août 2002 10:48

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2002-08-12 23:12, drlin a écrit: peux-tu poster une part de tes logs içi?? </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE>ca veut dire quoi?

par **bradium** » 13 Août 2002 16:34

Chaque firewall tient un journal (un fichier log) ou il repertorie toutes les tentatives d'intrusion sur ton ordi. Par contre je ne connais pas ton firewall donc quelqu'un d'autre devrait te dire ou trouver ce fichier log. <IMG SRC="images/smiles/icon_biggrin.gif">

par **didier** » 14 Août 2002 10:26

Si ton firewall te dit qu'il y a des attaques c'est déjà bien! Le mieux c'est qu'il te les affiches toutes! Si effectivementtu es sur ADSL, tu devrait avoir 40 à 50 portscan/jour et autant de tentatives sur services...donc pas de panique. En général ce ne sont que des script kiddies qui essaie des soft de hack mais qui n'y comprennent rien..

par **SpyAgent01** » 18 Août 2002 03:31

Bonsoir, Laisse tomber. Il y a en effet de quoi avoir un oeil suspicieux mais la moitié des alertes proviennent probablement de tests divers sur le réseau (ping ...). En Adsl, j'ai environ 30 à 150 alertes/jours. Aucune chance de remonter à la source de toute manière : la première chose que fait un hacker est de se rendre anonyme, même un script-kiddy (les IP sont fausses, correspondent à des proxy etc...) Enfin, ce qu'ils cherchent à faire c'est surtout de scanner les ports des IP pour trouver leur trojan à l'écoute, alors avec un bon firewall installé APRES APRES APRES avoir scanné sa bécanne avec un anti trojan, on est tranquille. Et ensuite un scan anti-trojan de temps en temps. Un bon ou un meilleur FireWall. Il n'y a pas meilleur, dans le monde des firewall "domestiques", que ZoneAlarm dixit Steve Gibson (et bien d'autres, peut-être tous les autres). Trouve la 2.6.362 (pas la 3). A titre d'information, depuis 6 jours maintenant je suis passé à 500 attaques (limite du log de ZoneAlarm 2.6) par tranche d'1/2 heure !!! Bof... Ca leur passera. __________ SpyAgent01

par **Nikolo** » 22 Août 2002 11:17

hmmm il me semble que ya que les quiches qui scannent tout les ports, pourquoi en scanner 4000 alors qu'il suffit d'en scanner 2-3 pour vérifier la présence d'un trojan ou d'un autre petit trou dont je ne parlerai pas ici mais qui est cependant très rigolo. Bref c'est un secret de polichinel, quand on sait un temps soi peu à quoi correspondent les ports et comment ils fonctionnent, on ne scanne pas à l'aveuglette pour $%#&! le monde. <IMG SRC="images/smiles/icon_biggrin.gif">

par **maroux** » 22 Août 2002 15:07

Scanner tous les ports d'une machine peut mener à un DOS pour ta machine, d'ou plantage, puis reboot. Voir saturation de bande passante d'ou nécessité de réinitialisation de ta connexion. C vrai qu'il n'y a pas mal de quiches qui le font sans savoir à quoi ça pourrait servir mais cerains hackers le font dans un but bien précis (ils sont rares ceux là par contre <IMG SRC="images/smiles/icon_biggrin.gif"> )

par **maroux** » 22 Août 2002 15:08

Scanner tous les ports d'une machine peut mener à un DOS pour ta machine, d'ou plantage, puis reboot. Voir saturation de bande passante d'ou nécessité de réinitialisation de ta connexion. C vrai qu'il n'y a pas mal de quiches qui le font sans savoir à quoi ça pourrait servir mais cerains hackers le font dans un but bien précis (ils sont rares ceux là par contre <IMG SRC="images/smiles/icon_biggrin.gif"> )

par **Tof** » 25 Août 2002 12:44

moi j'utilise ipcop (pre4) et voila le type de log ids que j'ai: Date: 08/25 12:05:35 Name: spp_stream4: possible EVASIVE RST detection Priority: n/a Type: n/a IP info: 213.44.179.78:4662 -> 212.195.134.230:64088 References: none found SID: n/a et ca, c'est des centaines et des centaines par jours ca veut dire quoi au juste <IMG SRC="images/smiles/icon_confused.gif">

par **Nikolo** » 26 Août 2002 15:05

bah déjà ce sont deux ip différentes donc c'est pas la même personne, sinon, bah c'est pas grave de scanner des ports hauts (au dessus de 1024) sauf si t'as pas de firewall ni antivirus, note les plages de ports et va sur des sites qui en décrive la liste, tu sauras, par exemple que 12345, 12346 c'est netbus, souvent des ports à Trojan en fait. mais bon c'est assez vite lassant de détruire des pc à distance <IMG SRC="images/smiles/icon_biggrin.gif">

par **Nikolo** » 26 Août 2002 15:07

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2002-08-22 15:08, maroux a écrit: Scanner tous les ports d'une machine peut mener à un DOS pour ta machine, d'ou plantage, puis reboot. Voir saturation de bande passante d'ou nécessité de réinitialisation de ta connexion. C vrai qu'il n'y a pas mal de quiches qui le font sans savoir à quoi ça pourrait servir mais cerains hackers le font dans un but bien précis (ils sont rares ceux là par contre <IMG SRC="images/smiles/icon_biggrin.gif"> ) </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> je confirme que c'est plus ça qui m'ennuie, ayant un server ftp, j'aime pas qu'on pourisse ma bande passante, tout ça pour sacnner mes ports qui sont fermés <IMG SRC="images/smiles/icon_rolleyes.gif">

par **arapaho** » 26 Août 2002 15:26

une solution simple existe: arreter d'utiliser IPCop ou consort et leur interfaces graphiques qui ne permettent pas de vraiment affiner certaines regles pourtant essentielles contre une majorité de scanner: la protection contre les paquets répétitifs SYN. En effet, il suffit de faire 2 à 3 regles qui check les SYN arrivant sur 2 a 3 ports consécutifs, de comparer les IPs sources e tde bloquer alors a ce moment tous les paquets en provenance de cette ip. Mais je rajouterai qu'il ne sert a rien d'etre parano du point de vue de la secu. Il suffit de construire des regles simples et claires. A partir du moment ou les regles se complexifient, l'admin a tendance a oublier des choses elementaires. Enfin, plus un firewall est blinder, plus il attirera les convoitises. <IMG SRC="images/smiles/icon_smile.gif">

par **arapaho** » 26 Août 2002 15:28

je parle bien sur ds le cas d'un firewall perso, et ou le lan ne contient aucune donnée vitale pour l'utilisateur

attaques quotidiennes

Qui est en ligne ?