explication log firewall

par **carbone** » 27 Mars 2003 10:17

Quelqu un peut il m expliquer ce log firewall? Heure Chaîne Interface Protocole Source Port Source Destination Port de destination 09:13:07 input eth1 IGMP 10.95.4.20 65535 224.0.0.1 65535 si je fais un whois sur l ip 10.95... j ai Internet Assigned Numbers Authority et de meme pour la 224.0... qui n est pas une de mes adresse Qui peux me dire a quoi correspond ce log et si il est possible de l eviter, car j ai cet evenement toute les 2 min et ca remplis mon log de ca!! c est $%#&! <IMG SRC="images/smiles/icon_boxe2.gif">

par **SNORK** » 27 Mars 2003 11:01

Oui il me semble que bon nombre d'IP ne sont pas attribuées ... IPCOP fais un reverse DNS sur l'ip et un WHOIS vers le RIPE qui gère l'allocation d'IP. Est-ce à dire que des "gens" sont capable de se faire passer pour des IP qui ne sont pas attibuées ? Et pourquoi tant de port 137 ? 445 je comprend mais 137 ! il rêves ou quoi ? <IMG SRC="images/smiles/icon_rolleyes.gif">

par **dbomber** » 27 Mars 2003 11:21

justement, cela correspond à quoi le port 445, surtout que c'est marqué MICROSOFT-DS entre paranthéses? <IMG SRC="images/smiles/icon_confused.gif">

par **carbone** » 27 Mars 2003 11:29

bon ok pour une signification éventuelle mais est il possible d empecher ce log? car je l ai toutes les 2 minutes et ca me fait ...

par **SNORK** » 27 Mars 2003 11:45

Oui, on en est tous là... 445 : C'est souvent une trame UDP de connexion à un serveur W2000. Pour nous c'est donc une "simple tentative" Je ne sais pas si c'est une tentative volontaire ou si c'est une machine infectée qui les fait toute seule. Si ce n'est pas UDP, c'est plus vicelard... En HTTPS, donc en TCP c'est une tentative de prendre la main sur IPCOP mais là encore je pense que c'est le hazard. D'une manière générale, il est possible de ne plus afficher les 137 et 445 mais c'est dommage à mon avis de ne pas voir l'ampleur que sa prends. C'est une bonne météo du NET. Vous avez également remarqué que SNORT bloque en ce moment 30 à 50 attaques par jour alors qu'avant le début de la guerre, seulement 1 à deux par jour. Bref rien de grave pour nos machines mais un vrais traffic inutile sur le net, des cosomation de bande passante en augmentation donc des vitesse dégradé et des transporteurs de données qui perde de l'argent et qui devront augmenter leur prix. <IMG SRC="images/smiles/icon_rolleyes.gif">

par **carbone** » 28 Mars 2003 11:10

Bon ok mais moi ca a rien a voir avec le 445 ou 137 CA arrive toutes les 2min!!!! sans arret, et a chaque fois un log! donc ma question, d ou ca viens, et puis je empecher le log de cet evenement si oui comment 10:02:56 input eth1 IGMP 10.95.4.20 65535 224.0.0.1 65535 10:04:56 input eth1 IGMP 10.95.4.20 65535 224.0.0.1 65535 10:06:56 input eth1 IGMP 10.95.4.20 65535 224.0.0.1 65535

par **dbomber** » 28 Mars 2003 19:33

j'ai regardé pour le port 445 et il n'y a que du TCP. Donc d'aprés SNORK, ce serait une tentative de prise de controle d'IPCOP? <IMG SRC="images/smiles/icon_mad.gif"> Sinon j'ai un truc bizarre dans les logs (toujours un rapport avec le port 445): 14:43:23 input ppp0 TCP 217.128.157.37 1645 217.128.xxx.xxx 445(MICROSOFT-DS) 14:43:23 input ppp0 TCP 217.128.157.37 1646 217.128.xxx.xxx 139(NETBIOS-SSN) 14:43:27 input ppp0 TCP 217.128.157.37 1646 217.128.xxx.xxx 139(NETBIOS-SSN) 14:43:27 input ppp0 TCP 217.128.157.37 1645 217.128.xxx.xxx 445(MICROSOFT-DS) 14:43:33 input ppp0 TCP 217.128.157.37 1646 217.128.xxx.xxx 139(NETBIOS-SSN) 14:43:33 input ppp0 TCP 217.128.157.37 1645 217.128.xxx.xxx 445(MICROSOFT-DS) est ce que c'est aussi une tentative de controle? <IMG SRC="images/smiles/icon_confused.gif"> Heureusement, IPCOP c'est trop top (surtout son firewall et snort)

par **Gesp** » 28 Mars 2003 22:05

10:06:56 input eth1 IGMP 10.95.4.20 65535 224.0.0.1 65535 je parierais que 10.95.4.20 est un routeur interne qui diffuse une requète en multicast pour trouver des routes Fait un ping -a pour trouver son nom Sinon la réponse à vos questions est dans la FAQ (pour la V1.2, pour la V1.3, il faut adapter à iptable) <a href="http://www.ipcop.org/cgi-bin/twiki/view/IPCop/IPCopAddons#My_log_is_filling_with_Net_BIOS_" target="_blank">http://www.ipcop.org/cgi-bin/twiki/view/IPCop/IPCopAddons#My_log_is_filling_with_Net_BIOS_</a>

par **carbone** » 29 Mars 2003 10:20

C est possible mais alors c est un routeur de mon FAI <IMG SRC="images/smiles/icon_frown.gif"> Enfin avec les liens que tu m as donné, j ai pu bloquer ces logs merci beaucoup <IMG SRC="images/smiles/icon_bise.gif">

par **tomtom** » 29 Mars 2003 16:14

224 = adresse de multicast (plusieurs IP en fait, à destination de routeurs qui ecoutent sur ces addresses particulères). IGMP = protocole de routage pour mise à jour dynamique des routes sur les routeurs d'internet.... En fait un routeur de ton FAI probablement fait des advertisements de routes. Si tu ne veux plus voir ca dans tes logs, tu cherches dans les fichiers de conf (rc.firewall.up et quelques autres, je n'ai pas IPCop pour te confirmer) les cibles vers LOG (règles du genre -j LOG), qui correspondent à un blocage du multicast et tu remplaces le -j LOG par un -j DROP. Roulez ! Tom

par **tomtom** » 29 Mars 2003 16:20

Qui plus est une addresse en 10.x.x.x est une addresse privée, qui ne devrait pas trainer sur internet, donc un routeur très mal configuré chez Wanadoo qui advertise des routes là ou il ne devrait pas..... Thomas P.S remarque ca pourrait etre interressant de sniffer les paquets pour voir ce qu'il raconte ce routeur.... _________________ "Ce n'est pas parce qu'un problème n'a pas été résolu qu'il est impossible à résoudre" A. Christie

par **Mensoif** » 31 Jan 2004 19:24

Voila un début de réponse. <a href="http://www.cert.uhp-nancy.fr/avis.cfm?an=2002&type=ALER&file=8" target="_blank">www.cert.uhp-nancy.fr/avis.cfm?an=2002&type=ALER&file=8</a>

explication log firewall

Qui est en ligne ?