Scan netbios SMB CIFS microsoft-ds 445 135

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Scan netbios SMB CIFS microsoft-ds 445 135

Messagepar MA1323 » 04 Avr 2005 11:59

Salut,

J'ai une IP dynamique et toute les secondes je suis scanné (SYN) sur les port 445 et 135 , mais le truc bizarre c'est que c toujours sur la même plage LDCOM/9T (mon ISP) 80.119.0.0/16, ponctué de quelque scan SYN provenant genre des USA.

Sur un forum j'ai trouvé ca :

""
Re: Scan de plage IP wanadoo : ca fait peur !
Posté par Marc (page perso) le 23/10/2003 à 14:21. (lien). Évalué à 1.

je sais pas comment ca se passe sur les autre isp, mais là je suis abbo free degroupé, et j'ai des scan perpetuels (càd je recois un scan toute les 2 ou 3s). Et la plupart du temps ce sont d'autre freebox (ils scan juste si y'a netbios)... enfin bon... que peut on faire?
""

Je ne recois aucun TCP SYN sur 445/135 en provenance d'autres ISP (wanadoo, free,...), presque que de 9T !

Alors d'ou viennent tout ces paquets vide TCP SYN ?
De XP mal configuré ? d'un petit script nmap/smbclient ;) ?
Oui mais alors, pourquoi ca vient toujours de la meme plage d'adresse IP???

.

exemple:
tcpdump -n -i ppp0

je laisse tourné un peu ... :)


10:47:46.435036 IP 80.119.99.25.2372 > 80.119.36.198.135: S 3885635856:3885635856(0) win 64800 <mss 1412,nop,nop,sackOK>
10:47:46.463383 IP 80.119.209.13.3737 > 80.119.36.198.1433: S 1899241506:1899241506(0) win 16384 <mss 1412,nop,nop,sackOK>
10:47:49.360027 IP 80.119.99.25.2372 > 80.119.36.198.135: S 3885635856:3885635856(0) win 64800 <mss 1412,nop,nop,sackOK>
10:48:20.979588 IP 80.119.175.227.4747 > 80.119.36.198.135: S 1666561658:1666561658(0) win 16384 <mss 1412,nop,nop,sackOK>
10:48:21.359478 IP 80.119.6.5.4221 > 80.119.36.198.445: S 1040580706:1040580706(0) win 64800 <mss 1412,nop,nop,sackOK>
10:48:21.801758 IP 80.119.114.223.1066 > 80.119.36.198.445: S 1585631768:1585631768(0) win 58944 <mss 1412,nop,wscale 2,nop,nop,sackOK>
10:48:23.645633 IP 80.119.113.57.1358 > 80.119.36.198.445: S 2472060057:2472060057(0) win 16384 <mss 1412,nop,nop,sackOK>
10:48:23.875279 IP 80.119.175.227.4747 > 80.119.36.198.135: S 1666561658:1666561658(0) win 16384 <mss 1412,nop,nop,sackOK>
10:48:24.359286 IP 80.119.6.5.4221 > 80.119.36.198.445: S 1040580706:1040580706(0) win 64800 <mss 1412,nop,nop,sackOK>
10:48:24.788108 IP 80.119.114.223.1066 > 80.119.36.198.445: S 1585631768:1585631768(0) win 58944 <mss 1412,nop,wscale 2,nop,nop,sackOK>
10:48:26.545259 IP 80.119.113.57.1358 > 80.119.36.198.445: S 2472060057:2472060057(0) win 16384 <mss 1412,nop,nop,sackOK>


STOP!!!!!!!
donc je recois 10trame de 1400 octet / min
soit a un debit de 23octet /sec

0,02Ko/S de perte de bande passante en réception :o)

Pour un 2Mbit (256Ko) ca fait 0,01% de la BP (en arrondissant a l'extreme arrache)

Mais bon, c pour le principe ;)

Je scan le dernier au hasard :

Interesting ports on 57.113.119-80.rev.gaoland.net (80.119.113.57):
(The 1654 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
21/tcp open ftp
23/tcp filtered telnet
80/tcp open http
254/tcp filtered unknown
255/tcp open unknown
""
inetnum: 80.119.110.0 - 80.119.125.255
netname: N9UF-DYN-DSL
descr: Dynamic pool
descr: strasbourg-1
country: FR
""
Hasbani Web Server Error Report:
Server Error: 403 Forbidden
Access denied
/doc/index.htm
"""
HTTP/1.1 400 Bad Request
Server: WindWeb/2.0

""
220 Tornado-vxWorks (VxWorks5.4.2) FTP server ready
"""

bon lui je sais pas si il est sous XP mais ca m'a l'air d'un ptit bidouilleur sans firewall...

Je m'eloigne juste un peu :) mais ma question reste sur la provenance, pourquoi pratiquement toujours 80.119.0.0/16 (9T, mon ISP)?

Une idée ?
Merci
MA1323
Matelot
Matelot
 
Messages: 3
Inscrit le: 04 Avr 2005 11:40
Localisation: fr

Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron