Jump to content
Dark_Shadow

Attaque ICMP et TCP chez fawri

Recommended Posts

Salut tout le monde, tout d'abord je voudrais signaler que je ne suis pas un professionnel dans le domaine que je vais aborder donc j'attends vos commentaire :) .

 

Voila je suis abonné chez Fawri et c'est dernier temps j'ai remarqué que mon firewall me signalait des attaque sur le réseau de Fawri que je n'avais jamais eu auparavant la première attaque est sous protocole TCP et l'attaquant en question essaye toujours d'entrer par le port 5000 mais les ports sources changent à chaque fois avec une même adresse ip, sa doit être un Trojan, j'ai fais une petite recherche sur le net et j'ai trouvé une liste de trojans qui utilisent ce port, les trojans en question sont : " Back Door Setup, Blazer5, Bubbel, ICKiller, Sockets des Troie ".

 

La deuxième attaque est sous protocole ICMP j'avoue que c'est un protocole que je ne connaissais pas avant et que j'ai decouvert en même temps que cette attaque, le truc avec cette deuxième attaque c'est que mon firewall la bloque et affiche juste l'adresse ip d'où elle vient mais il n'affiche ni port source ni port de destination.

 

Voila je pense avoir tout dit j'attends vos réactions, n'oublier pas de mètre a jour votre anti-virus et compagnie, si vous avez des informations sur tout sa ou que vous avez remarquer la même chose chez vous partager avec nous et merci :) .

Share this post


Link to post
Share on other sites

Salut,

Je ne connais pas ICMP par contre je connais le proxy IGMP qui est le protocole utilisé pour diffuser la télé sur les formules multiples play. Sur mon routeur linksys par exemple, il faut activer l'option 'proxy IGMP' pour que la télé par ADSL fonctionne. Alors, cela présage peut être le lancement imminent de la TV par Algérie télécom / Fawri :-)

Share this post


Link to post
Share on other sites

Salut,

 

Le 1er peut-être Blazer, il y a surement un pc infecté qui a la même plage IP que toi.

La 2eme est une fausse alerte.

Share this post


Link to post
Share on other sites

Merci pour la réponse rapide :)

 

Salut,

 

Le 1er peut-être Blazer, il y a surement un pc infecté qui a la même plage IP que toi.

La 2eme est une fausse alerte.

 

Golden-boy pour la première attaque il n'y a pas un mais plusieurs pc qui sont infectés sur la même plage ip que moi loll et j'espère qu'il y aura des gens qui vont faire attention a ne pas se faire infecter ou bien qu'ils désinfecteront leurs machines en lisant mon post :).

 

sinon pour la deuxième je préfère rester sur mes gardes même si d'après ce que j'ai lu les attaques ICMP vise surtout les routeurs et les serveurs.

 

merci pour vos réponses et si d'autres personnes ont d'autres idées la discutions est ouverte :D

Share this post


Link to post
Share on other sites

ICMP (Internet Control Message Protocol - Protocole de message de contrôle sur Internet) est un protocole qui permet le contrôle des erreurs de transmission. En effet, comme le protocole IP ne gère que le transport des paquets et ne permet pas l'envoi de messages d'erreur, c'est grâce à ce protocole qu'une machine émettrice peut savoir qu'il y a eu un incident de réseau ;)

Share this post


Link to post
Share on other sites

J'ai quasiment le même problème depuis plus d'1 mois déjà, des attaques répétitives avec le message suivant: "Attaque de réseau intrusion.Win.DCOM.exploit: TCP de 10.10.xx.xx sur le port local 135", mais pour moi c'est toujours sur le port 135, par une adresses qui est toujours fixe pour les deux premiers chiffres 10.10.xx.xx, j'ai une connexion Fawri 1mo, et j'arrive pas à arrêter cette attaque mon antivirus c'est Kasperky Internet Security, j'enregistre pour 100 à 160 attaques par jour!!

Edited by mfa12

Share this post


Link to post
Share on other sites

Le Port 135 est, en réalité, un véritable dispatcher ou plutôt "port-mapper". Lorsqu'une machine cherche à atteindre un service sur une machine distante elle se connecte d'abord via le port 135 pour localiser le port réel sur lequel tourne le service qui l'intéresse. Ensuite elle dialoguera via le numéro de port qui lui aura été communiqué pour le service concerné. D'où le nom de ce port (localisation de service, en français).

Essaye de mettre à jour ton système et sécurise tes ports ;)

Share this post


Link to post
Share on other sites
J'ai quasiment le même problème depuis plus d'1 mois déjà, des attaques répétitives avec le message suivant: "Attaque de réseau intrusion.Win.DCOM.exploit: TCP de 10.10.xx.xx sur le port local 135", mais pour moi c'est toujours sur le port 135, par une adresses qui est toujours fixe pour les deux premiers chiffres 10.10.xx.xx, j'ai une connexion Fawri 1mo, et j'arrive pas à arrêter cette attaque mon antivirus c'est Kasperky Internet Security, j'enregistre pour 100 à 160 attaques par jour!!

 

Merci pour ta réponse mfa12 je te rassure moi aussi j'ai des attaques sur le port 135 et sur beaucoup d'autre port d'ailleurs comme le port 1433,137...ect depuis que j'ai le net lol.

 

Tout ces port sont exploités par des trojans venant des ordinateurs infectés se trouvant sur le réseau de Fawri car les ip qui commencent par 10.10.xxx.xxx sont des plages d'ip appartenant au utilisateurs de fawri et ces trojans essayent de se propager via ce réseau.

 

La seule solution pour éviter d'être infecter est d'avoir un bon antivirus avec mise a jour quotidienne ainsi qu'un bon firewall pour fermer et controller le trafic des ports et ainsi bloquer tout type d'attaque connu ( le risque zéro n'existe pas mais on se protège du mieux qu'on peut ;) ) je t'invite à lire cet article si sa peut t'aider :)http://www.certa.ssi.gouv.fr/site/CERTA-2003-ALE-002/ .

Share this post


Link to post
Share on other sites

Merci dark_shadow pour l'infos, sa me rassure qu'il y'ait des gens dans le même cas que moi!!

 

(Problème j'ai windows vista)

Share this post


Link to post
Share on other sites
La deuxième attaque est sous protocole ICMP j'avoue que c'est un protocole que je ne connaissais pas avant et que j'ai decouvert en même temps que cette attaque, le truc avec cette deuxième attaque c'est que mon firewall la bloque et affiche juste l'adresse ip d'où elle vient mais il n'affiche ni port source ni port de destination.

Je n'ai jamais entendu parlé d'attaques ICMP! dailleurs comme l'as très bien défini Slown,ICMP est un protocole qui permet entre autres de verifier (détecter) que les messages s'acheminent sans erreurs.

 

Un exemple simple,lorsque vous demandez une page qui n'existe pas (ou plus),aprés un délai d'attente défini,un message ICMP sera retourné à votre machine indiquant qu'il y a eu erreur...Un autre exemple qui est susceptible d'etre l'origine du problème; lorsqu'une machine A tente de pinguer un machine B,un message ICMP est envoyé de A vers B.Je pense alors que votre antivirus (pare-feu) considére les messages ICMP comme étant des attaques...quoi qu'il en soit je n'en suis pas sur,dailleurs si le nombre d'attaques détectées est élevé,il est probable qu'une personne vous ping sans cesse (si c'est la même adresse qui est l'origine de l'attaque ICMP).Ce qui saturera votre connexion... alors si vous trouvez l'origine du problème,ça m'interresserai de la connaitre.

Votre parefeu,vous informe t il du code du message ICMP?

Share this post


Link to post
Share on other sites

Salut b_reda31 tout d'abord merci pour tes explications et pour toutes tes interrogations, comme je l'ai expliqué dans mon premier post je ne connaissais pas non plus les attaques ICMP et j'ai crée ce post car mon pare-feu détecte ces attaques depuis seulement une semaine et donc voir un truc nouveau se passer sur le réseau m'a fait réagir et effectivement ce sont des ping venant d'une même adresse ip 5 à 6 fois d'affiler après l'adresse ip change lors d'un autre ping ( mais l'intervalle de temps entre le ping de différentes adresses est assez grand sinon sa sera un vrai bombardement loll ) et c'est ce qui m'a laisser supposer que sa venait de pc infecter ce trouvant sur le réseau de fawri, voila un site ou il y a un exemple sur une attaque utilisant le protocole ICMP : http://www.frameip.com/smurf/ .

 

Pour la définition du protocole ICMP faite par Slown elle est exacte mais c'est la définition de la fonction première de ce protocole et donc sa ne parle pas d'une faille pouvant être exploiter par des personnes mal intentionnées.

 

Votre parefeu,vous informe t il du code du message ICMP?

Je ne crois pas avoir bien compris la question mais tout ce que mon pare-feu m'informe c'est la taille du paquets reçu ainsi que l'adresse source et l'adresse de destination, les ports source et destination sont vides.

 

Je l'ai signalé au départ je ne suis pas un pro dans ce domaine et donc je remercie toutes les personnes qui réagissent a mon post et on finira par trouver le fin mot de l'histoire inchallah :) .

Share this post


Link to post
Share on other sites

Désoler cette réponse arrive un peu en retard :rolleyes:

 

mfa12 à dit:

Merci dark_shadow pour l'infos, sa me rassure qu'il y'ait des gens dans le même cas que moi!!

 

(Problème j'ai windows vista)

 

y a pas de quoi mon ami, pour windows vista je ne l'ai pratiquement jamais utiliser mon pc est devenu trop vieux pour ça loll mais je pense que du moment que tu t'assures d'avoir un bon firewall sa ira :).

 

faridv12 à dit:

moi aussi

regarde moi ça

http://www.forumdz.com/showthread.php?t=5279

 

Merci pour l'info mon ami je suis nouveau sur ce forum et je n'avais pas encore vu ton topic, je constate que t'as des attaque UDP et mon firewall n'a jamais détecter des attaques de ce genre chez moi je commence a me demander s'il est si bon que sa :confused: loll

Share this post


Link to post
Share on other sites

j'ai eu le meme prob aussi quand j'avais fawri kaspersky ( de l'epoque ) deviens fou dé que je me connecte sur le net

 

48abe366a7482.jpg

Share this post


Link to post
Share on other sites
télécharge peerguardian , et tu aura la paix, pour les attaques de sous reseau dont tu fait l'objet.

 

http://phoenixlabs.org/pg2/

 

si non , si tu a un ancien pc à sacrifier, monte toi un pare feu physique

http://www.ipcop.org

y a pas mieux.

 

Merci ktalgerie je vais tester avec Peerguardian et voir ce que sa donne, pour Ipcop je crois que sa marche que sous linux et moi je suis sous windows.

Share this post


Link to post
Share on other sites

Merci pour l'explication ktalgerie pour le moment j'ai plus de pc en plus mais j'aime bien l'idée d'ipcop et je l'appliquerai des que possible crois moi :) pour PeerGuardian il ne change rien mon firewall enregistre toujours les même attaques.

pour la fin je dirai jolis blog ;)

Share this post


Link to post
Share on other sites
bah, es que tu a mis a jour, et désactivé ton pare feu, au faites si c'est celui de windows il est préférable que tu le désactive complètement, si non si c'est celui de kaspersky, il vaudrait mieux le désinstaller. surtout si c'est de ceux que tu as activé par un patch.

évite aussi zone alarme , il est piégé. même chose pour comodo et celui de mc fee.

Bon courage

 

Salut ktalgerie merci pour tes conseils, pour le moment j'utilise Jetico Firewall il est assez bien a mon avis, kaspersky j'aime pas j'utilise Avira Antivir qui ne m'a jamais déçu jusqu'à présent :)

Share this post


Link to post
Share on other sites

Ravi d'être ton ami :p sa fait toujours plaisir de voir qu'il y a des gens qui voient les choses avec leur cerveau et non qu'avec leur yeux, c'est comme pour toute chose en algérie les gens juges mal car " ya7agrou bel 3ine " et ils aiment bien les phénomène de mode donc tu trouves partout le même antivirus :D, je connais plein de monde qui me demande des clés pour kaspersky alors je leurs dis de changer pour avira et à 90% des cas ils ne m'écoutent pas lolll donc je ne me casse plus trop la tète.

Share this post


Link to post
Share on other sites

J'ai jamais eu de problème de clés avec kaspersky et encore sous vista j'utilise la version 2009!!

 

et je l'est pas changé depuis 6 mois.

 

J'ai tout essayé auparavant, le seul qui m'a plu vraiment c'était G-Data et Nod32, mais la clé n'est pas facile à avoir!

Share this post


Link to post
Share on other sites

Alors, personne pour me dire oui moi aussi mon firewall détecte beaucoup d'attaques visant le port 5000 et un autre truc venant d'un protocole ICMP ??

je vais finir par croire que sa ne m'arrive qu'à moi et qu'on me vise personnellement :D

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.




×
×
  • Create New...