Attaques internet

**toc** · 21/08/2003, 19h57

rien que le fait de se connecter à internet et ouvrir Google et ça y est : une attaque en provenance de l'Allemagne, de l'Angleterre, de la Belgique et même Uruguay !
Et ça n'arrête pas ! j'utilise NIS qui détecte et arrete tout ça , je lance Visual Traking qui trouve les origines des attaques mais ce n'est pas facile d'interpreter toutes les infos qui apparaissent sur les attaquants .
Qq'un a t il déjà remarqué cela ? Et à quoi ils jouent tous ? Quoi faire ?

**Doc TB** · 21/08/2003, 21h33

:rofl: :rofl:

Je me souvient d'un client qui hurlait à l'attaque de HaCkErZzz parceque le site de club-internet essayait de lui envoyer des requettes. C'est vrai, quoi de plus anormale que des requettes quand on demande un truc

**apossium** · 21/08/2003, 22h19

en mode parano??

**toc** · 22/08/2003, 09h52

Ooooh très drôle :sarcastic:

Je me suis connecté ce matin, sans ouvrir l'explorateur, juste connecté via mon FAI. J'ai ouvert le journal de NIS et j'ai effacé tout ce qui s'y trouvait. A partir de ce moment, je n'ai plus touché à rien et je me suis préparé un bon Koua. Lorsque je suis revenu sur mon PC, oh la la !
Je ne parle pas des messages comme :

Paquet TCP non-syn/non-ack reçu sur une connexion non valide. Le paquet a été abandonné.
ou
La règle "Bloquer par défaut EPMAP" a détecté masqué

non non, je parle de ce genre de messages :

inetnum: 217.11.39.224 - 217.11.39.231
netname: CLINIQUE_DE_MONTCHOISI-NET
descr: Clinique de Montchoisi
descr: Schweiz
country: CH
admin-c: JH17865-RIPE
tech-c: CHCN1-RIPE
status: ASSIGNED PA
notify: noc@cybernet.ch
mnt-by: SUNWEB-MNT
changed: stephan.koch@riodata.ch 20020306
source: RIPE

ou

inetnum: 213.189.160.0 - 213.189.183.255
netname: NETWORKIP5BRUTELE
descr: Brutele SC
descr: Rue de Naples, 29-31
descr: 1050 Bruxelles
country: BE
admin-c: JMA50-RIPE
tech-c: LD2581-RIPE
status: ASSIGNED PA
notify: dnsmaster@brutele.be
mnt-by: TAC-BRUTELE
changed: dnsmaster@brutele.be 20020606
source: RIPE

ou

OrgName: Royal Signals and Radar Establishment
OrgID: RSRE
Address: St. Andrews Road Great Malvern
Address: Worchestire, WR14 3PS
City:
StateProv:
PostalCode:
Country: GB

NetRange: 25.0.0.0 - 25.255.255.255
CIDR: 25.0.0.0/8
NetName: RSRE-EXP
NetHandle: NET-25-0-0-0-1
Parent:
NetType: Direct Assignment
NameServer: NS1.CS.UCL.AC.UK
NameServer: RELAY.MOD.UK
Comment:
RegDate: 1985-01-28
Updated: 2001-06-26

TechHandle: TG542-ARIN
TechName: Gale, Tony
TechPhone: +44 1684 894000
TechEmail: gale@dera.gov.uk

Et il y en a des tas qui proviennent de partout.

Je me répète, mais je n'avais pas ouvert IE.

Dans tous les cas, no pb puisque tout est bloqué, mais j'aime bien comprendre ...

**Doc TB** · 22/08/2003, 11h01

Quel genre de requettes ? Quel ports ? Quel IP ?

C'est pas avec des requettes whois sur des plages d'IP gigantesques qu'on va arriver a quelque chose

**fun__key** · 22/08/2003, 12h27

Mouarf la clinique de mont choisis c'est pres de chez... SI tu veu pas aller leur causer :-D

**fennec** · 22/08/2003, 14h45

"TCP non-syn/non-ack" c'est pas des attaques c'est du stealth scan, c'est probable que leur machine ai été hackée et serve a faire du scan.

Si tu veux faire une bonne action tu leur envoie un mail ... sinon tu fait comme tout le monde ... t'arrète de regarder les logs et tu trouve autre chose de mieux a faire

**toc** · 22/08/2003, 16h01

Oui, je comprends, désolé de vous ennuyer

C'est la première fois que j'entre dans le journal et c'est loin d'être un passe temps : j'ai un problème d'accès avec un site. J'accède à sa page d'accueil, puis j'accède à son forum et là, apparaissent toutes les questions posées. A côté de chacune d'elles, se trouve un lien pour accéder aux éventuelles réponses. Lorsque je clique sur un de ces liens pour lire la réponse à une question, le navigateur mouline, longtemps, très longtemps et parfois, je dis bien parfois, la réponse arrive mais souvent, la page demandée n'est pas accessible. J'ai, tout à fait par hasard, désactivé NIS et là, j'accède aux réponses systématiquement et rapidement. Lorsque je l'active de nouveau, pouff plus d'accès ou rarement.

Voilà pourquoi je suis entré dans le journal, car n'ayant aucun message de NIS, je pensais pouvoir trouver un indice. Et c'est là que j'ai vu toute les "attaques" (désolé mais c'est le mot qui est écrit par NIS, avec le petit logo qui va bien).

Voici donc un nouvel exemple :

Détails : Le blocage de port inutilisé a bloqué les communications
Connexion TCP entrante
Adresse distante, service local est (62.65.99.200,17300)

Cliquez surl'adresse pour tracer l'attaquant

inetnum: 62.65.96.0 - 62.65.99.255
netname: HEMAB-SE
descr: Harnosand Energi & Miljo AB network
country: SE
admin-c: BM1783-RIPE
tech-c: IR321-RIPE
status: ASSIGNED PA
mnt-by: IR321-RIPE-MNT
changed: registry@internet5.net 20020916
source: RIPE

Héé, c'est juste pour savoir 8)

**fennec** · 22/08/2003, 17h52

NIS ça serait pas Norton Internet Security ou un truc comme ça ?
Lol ...Norton c'est de la M.... les soft Norton t'installent dans une sorte de parano pour que tu lache plus la suite de soft ....

Je me rappelle encore NAV qui me signalait que le programme "format.com" était dangereux et pouvait endomager mes données ... 't'es gentil je suis au courrant" :D

pour info le port 17300 c'est ça :
http://www.portsdb.org/bin/portsdb.c...ol=ANY&String=

un trojan, quelqu'un cherche a voir si tu as le trojan d'intallé, si tu as un bon anti-virus tu ne risuqe rien ...

tout ça pour dire qu'il faut pas être parano, un bon anti-virus (AVP ou panda par exemple), un bon firewall (j'ai entendu du bien de zone alarm) en mode silencieux et t'es tranquille. J'utilise un linux comme firewall c'est encore plus sur

**fun__key** · 22/08/2003, 18h05

Petit commentaire sur zone alarm quand meme.... L'ai utiliser un moment, me fiant aussi aux avis choper un peu n importe ou.... J'avais aussi entendu dire qu il etait gourmand... Tout allait bien, jusqu'au jour ou je voulu surfer sur le gateway... Ca ramait, j'ai alors matter avec le gestionnaire des taches qui fesait le pignoufle.... C'est avec effroi que je voi le processus de de cretin de zone alam user 260 meg et consommer 98% d'UC... Bon la machine en question n'est pas une bombe (500mhz 512 de ram)... Mais un firewall gourmand comme ca, moi j en veu pas...

Je suis aussi de l avis que norton firewall est peu customisable et legerement parano.... Moi perso j'utilise black ice, il me correspond parafaitement.... Il bloque ce qu'il faut et laisse passer le reste sans me peter les couilles... Son interface est perfectible, mais sinon niquel...

**Darkboz** · 22/08/2003, 18h23

Ouinnnnnnn tlm est P4 maitnenant j'ai trop perdu de temps en une semaine

**Doc TB** · 22/08/2003, 18h51

Envoyé par Darkboz

Ouinnnnnnn tlm est P4 maitnenant j'ai trop perdu de temps en une semaine

Ca etre temps de tout diviser par deux :D

**Darkboz** · 22/08/2003, 22h02

Toi yen a bien parlé la france :twisted: :twisted: :twisted:

**apossium** · 23/08/2003, 00h13

t'as raison diviser pour reigner :evil:

Discussion: Attaques internet

Outils de la discussion

Règles de messages