interpretation d'adresses IP & nom de domaine
Le
Aldo Larrabiata
La semaine dernière, plusieurs jours de suite, après m'être connecté sur
handango.com, j'ai fait l'objet de scans de ports presque immédiatement. ZA
les a bloqués.
Traceroute sur l'adresse IP 64.143.96.133 renvoie www.handango.com, de même
que Whois qui donne un range d'adresses IP attribuées au domaine. Ceci se
produit chaque fois que je me connecte chez eux. Mon adresse IP, toujours
différente est détectée et exploitée.
J'ai bien sûr envoyé un abuse mais quelque chose me tracassait.
J'ai alors tapé http://64.143.96.133 dans la barre d'adresse et quelle n'a
pas été ma surprise en ouvrant une page d'un autre site: Coyotte Point
System Inc., domaine auquel ne correspondent que deux adresses IP:
64.143.96.132 et 133. Ce domaine ne semble pas (?) être en relation avec
Handango.
Questions:
- 1 - ZA peut-il avoir renvoyé une adresse IP n'appartenant pas à
Handango.com ?
- 2 - La coïncidence est trop grande pour que ce ne soit pas handango mais
quelqu'un peut avoir détourné l'adresse. Est possible, où ? et comment ?
- 3 - Y a t-il une identité entre l'entrée http://adresse_IP et la
translation en adresse IP à partir d'un nom de domaine ?
En d'autres termes http://adresse_IP est-il équivalent à www.nom-de-domaine
?
- 4 - Que penser de ces scan répétés dont voici quelques extraits?
FWIN,2004/06/08,02:53:38 +2:00 GMT,64.143.96.133:80,xx.xxx.xxx.xxx:1082,TCP
(flags:R)
FWIN,2004/06/08,02:53:38 +2:00 GMT,64.143.96.133:80,xx.xxx.xxx.xxx:1083,TCP
(flags:R)
FWIN,2004/06/08,02:53:38 +2:00 GMT,64.143.96.133:80,xx.xxx.xxx.xxx:21024,TCP
(flags:R)
FWIN,2004/06/08,03:04:26 +2:00 GMT,64.143.96.133:80,xx.xxx.xxx.xxx:1075,TCP
(flags:R)
FWIN,2004/06/08,03:04:26 +2:00
GMT,64.143.96.133:37670,xx.xxx.xxx.xxx:1075,TCP (flags:A)
FWIN,2004/06/10,20:21:24 +2:00 GMT,64.143.96.133:0,zzz.zzz.zzz.zzz:0,ICMP
(type:0/subtype:0)
- 5 - De leur côté, c'est toujours le port 80 (http:// ?) qui est utilisé
sauf de rares fois (37670). Que cela signifie t-il ?
Une réponse technique ne pourra certainement pas être évitée, j'apprécierais
cependant qu'elle ne le soit pas trop en jargon de réseau.
Remerciements
handango.com, j'ai fait l'objet de scans de ports presque immédiatement. ZA
les a bloqués.
Traceroute sur l'adresse IP 64.143.96.133 renvoie www.handango.com, de même
que Whois qui donne un range d'adresses IP attribuées au domaine. Ceci se
produit chaque fois que je me connecte chez eux. Mon adresse IP, toujours
différente est détectée et exploitée.
J'ai bien sûr envoyé un abuse mais quelque chose me tracassait.
J'ai alors tapé http://64.143.96.133 dans la barre d'adresse et quelle n'a
pas été ma surprise en ouvrant une page d'un autre site: Coyotte Point
System Inc., domaine auquel ne correspondent que deux adresses IP:
64.143.96.132 et 133. Ce domaine ne semble pas (?) être en relation avec
Handango.
Questions:
- 1 - ZA peut-il avoir renvoyé une adresse IP n'appartenant pas à
Handango.com ?
- 2 - La coïncidence est trop grande pour que ce ne soit pas handango mais
quelqu'un peut avoir détourné l'adresse. Est possible, où ? et comment ?
- 3 - Y a t-il une identité entre l'entrée http://adresse_IP et la
translation en adresse IP à partir d'un nom de domaine ?
En d'autres termes http://adresse_IP est-il équivalent à www.nom-de-domaine
?
- 4 - Que penser de ces scan répétés dont voici quelques extraits?
FWIN,2004/06/08,02:53:38 +2:00 GMT,64.143.96.133:80,xx.xxx.xxx.xxx:1082,TCP
(flags:R)
FWIN,2004/06/08,02:53:38 +2:00 GMT,64.143.96.133:80,xx.xxx.xxx.xxx:1083,TCP
(flags:R)
FWIN,2004/06/08,02:53:38 +2:00 GMT,64.143.96.133:80,xx.xxx.xxx.xxx:21024,TCP
(flags:R)
FWIN,2004/06/08,03:04:26 +2:00 GMT,64.143.96.133:80,xx.xxx.xxx.xxx:1075,TCP
(flags:R)
FWIN,2004/06/08,03:04:26 +2:00
GMT,64.143.96.133:37670,xx.xxx.xxx.xxx:1075,TCP (flags:A)
FWIN,2004/06/10,20:21:24 +2:00 GMT,64.143.96.133:0,zzz.zzz.zzz.zzz:0,ICMP
(type:0/subtype:0)
- 5 - De leur côté, c'est toujours le port 80 (http:// ?) qui est utilisé
sauf de rares fois (37670). Que cela signifie t-il ?
Une réponse technique ne pourra certainement pas être évitée, j'apprécierais
cependant qu'elle ne le soit pas trop en jargon de réseau.
Remerciements
Poser une question
Pour répondre à quelques-unes de tes questions : il n'y a pas
forcément identité entre adresse IP et nom.
Exemple 1 :
nslookup www.microsoft.com
Addresses: 207.46.144.188, 207.46.156.188, 207.46.249.252,
207.46.250.222, 207.46.156.252, 207.46.250.252, 207.46.144.222,
207.46.134.221
Bon, là c'est logique, ce site connaît un fort traffic, donc la charge
est répartie.
Exemple 2 : à l'inverse, des petits sites peuvent cohabiter sur un
même serveur. Du coup, bien que www.gramster.com ait l'adresse IP
80.65.238.155, http://www.gramster.com et http://80.65.238.155 te
donneront des résultats totalement différents.
Exemple 3 : www.streamload.com et www5.streamload.com ont deux
adresses IP différentes, 209.245.58.70 et 209.245.58.75. Et, pour le
coup, c'est bien deux machines différentes, y'a pas de souci.
Mais à partir de l'adresse 209.245.58.70 (ou n'importe quelle adresse
209.245.58.x), on obtient systématiquement "unknown.Level3.net", qui
ne semble avoir qu'une seule entrée "A", 209.245.19.42.
--
schtroumpf schtroumpf
La page sur laquelle tu tombes lorsque tu va sur
http://64.143.96.133 n'appartient pas à "Coyotte Point System" mais
bel et bien à Handango, en fait cette page fait partie d'une interface
d'administration du produit "Equalizer Traffic Managment" qui est
utilisé par Handango pour gérer sa bande passante (probablement).
Donc il n'y a pas d'usurpation d'identité et tu te trouves bien sur
le site d'Handango. En se qui concerne le scanne de port: certaines
personnes, chez Handago ou non (peut etre l'admin du serveur, le
webmaster, ou une personne qui a "hacké" le serveur), ont l'intention
de se constituer une base contenant des machines potentiellement
vulnérable pour un usage futur... Le port source à 80 c'est une ruse
pour essayer de flouer les firewalls personnels : tu t'es connecté au
port 80 du serveur, il est donc possible que ce soit ce port qui te
réponde, donc certains firewalls perso (pas les meilleurs ;-) )
laissent passer le traffic en provenance d'un port distant sur lequel
tu est déjà connecté.
Conclusion : pas beaucoup plus d'indice sur qui est l'auteur de
cette mesquinerie :-( désolé
Que des TCP reset, le site te demande de fermer un certain nombre de
connexions. Peut-être tes connexions web...
Là c'est un ACK mais sur une connexion entre 1075 et 37670, bizarre...
ICMP echo reply, tu as fait un ping vers cette adresse ? c'est la
réponse.
Que tu t'es connecté chez eux en HTTP ?
Arf, malheureusement, pour lire des logs de firewalls, mieux vaut avoir
quelques notions de TCP/IP si on veut comprendre ce qui se passe.
Disons qu'on ne peut pas vraiment savoir si les logs présentés sont
bizarres si on ne sait pas ce que tu as fait en parallèle avec ce
site...
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Effectivement, je me suis connecté evec IE pour browser et télécharger des
friandises gratuites.
Depuis, je les ai appâtés mais aucun scan sinon quelques coups isolés sur
les ports 1063, 1078, 21026, 21060, 21061 et 21090, tous en TCP, flag R.
Je pense que l'abuse était bien placé.
Dans quel but ?
En bon élève consciencieux, j'ai fait les manips de cet exemple et ça marche
dans chaque cas. 209.245.58.70 et 209.245.58.75 renvoient bien la même page,
celle de www.streamload.com. Je ne comprends donc pas la remarque concernant
"level3" qui correspond bien à l'adresse indiquée.
Bien compris pour les deux autres.
Pour revenir à handango, je vais continuer à surveiller mes logs. Wait and
see.
Peut-être mon exemple était-il mal choisi, car bien que ce soient des
machines différentes, elles sont miroir l'une de l'autre. Rajoute donc
209.245.59.150 dans ta liste.
En fait, le problème est que 209.245.58.x, 209.245.59.x et quelques
autres me donnent du "unknown.level3.net", alors que
unknown.level3.net a pour seule adresse IP 209.245.19.42.
--
schtroumpf schtroumpf