Tentatives de connexion sur ports TCP 135 et 445 : simple pollution ou danger permanent ?

Xavier Roche

29/12/2004 à 20:20

Stephane Faure wrote:

Concernant les paquets sur les ports 135 et 445, de loin les plus
nombreux, sont-il nécessairement des attaques provenant de machines
infectées

A 99%, oui.

Comment mon adresse
est-elle trouvée aussi rapidement ? Tirage aléatoire ou broadcasts ?

Scan systématique de plages d'IP (ca va vite, avec l'ADSL).

Comment se fait-il que la plupart de ces paquets,
mais pas la totalité, me proviennent de clients Free ?

Beaucoup de trojans scannent en priorité leur propre plage d'adresse.
Après ils passent au reste (la priorité étant l'efficacité: la même
plage est souvent accessible plus rapidement (ping))

Quel intérêt
peut-il y avoir à utiliser ces ports sur Internet ?

Il n'y a pas d'interêt énorme, mais c'est le cas de beaucoup de ports <
1024.

Pourquoi les FAI,
au moins ceux pour particuliers, ne les bloquent-ils pas ?

C'est aux utilisateurs à se protéger, ou à choisir des systèmes
d'exploitation qui ne soient pas des bombes à retardement.

question, mais à part le fait que "ça ne rend pas un service full IP",

Ben c'est vrai. Si on commence à filtrer 137-139/445 pour les virus
Microsoft, le port 25 pour les machines trojanisées, le port 21 pour les
machines routées avec ftp installé, les pings pour éviter les DDOS,
les paquets non V4 parce que les autres protocoles sont peut être
dangereux, plus les ports P2P parce que le P2P c'est pas bien, eh bien
au final on aura un superbe réseau pour-faire-du-web-et-du-mail, c'est à
dire un minitel évolué.

Reste que beaucoup de FAI commencent à filtrer - pas pour protéger leurs
utilisateurs (les mêmes FAI ne préviennent pour ainsi dire jamais leurs
utilisateurs infectés), mais pour ne pas avoir de boulot supplémentaire
pour traiter les plaintes des autres FAI.

Claude LaFrenière

29/12/2004 à 20:50

Bonjour *Stephane Faure* :

Bonjour,

Voici les tentatives de connexion (que j'appellerai indiféremment
paquets, pour faire simple) indésirables sur les ports 135, 137, 138,
139 ou 445 que mon firewall a logué durant ma *première minute* de
connexion cet après-midi :

=================================================================== > 1,[28/Dec/2004 15:31:28] Rule 'Entrantes sur NetBIOS': Blocked: In
UDP, (null) [219.128.6.222:1029]->localhost:137, Owner: no owner

Et alors ? Ton pare-feu les bloque et c'est ce qui compte.
Ne t'alarme pas inutilement avec ces trucs : tout à fait normal
avec la quantité de PC Zombies utilisés par des InterNUTS.

(La plupart américains : obèses, boutonneux, roux,ont voté pour Bush
et ils *adorent* Internet Explorer : « wow , what a good soft man...»,
croient que les packets reçu sur le port 135 sont envoyés par Oussama
Ben Laden directement du trou puant où il se cache dans le nord du Pakistan
et que 150 000 GI sont incapables de trouver ... etc.
Mort aux cons ! )

Va vérifier ton PF chez Steve Gibson :
www.grc.com/x/ne.dll?bh0bkyd2

8-)

Voilà ! et puis "pholeau oppe" ici !

--
Claude LaFrenière

~Jean-Marc~ [MVP]

29/12/2004 à 22:53

Salutations *Stephane Faure* !
Dans http://groups.google.fr/groups?threadm=
tu nous disais :

Voici les tentatives de connexion (que j'appellerai indiféremment
paquets, pour faire simple) indésirables sur les ports 135, 137, 138,
139 ou 445 que mon firewall a logué durant ma *première minute* de
connexion cet après-midi :

=================================================================== > 1,[28/Dec/2004 15:32:28] Rule 'Entrantes sur 135 ou 445': Blocked: In
TCP, (null) [62.147.73.5:3329]->localhost:135, Owner: no owner
[snip]

=================================================================== >
Et c'est pareil quelle que soit l'heure de la journée.

Il s'agit d'une pollution due à :
1) vers de type blaster/sasser
2) machines mal configurées/sans pare-feu

@+

--
~Jean-Marc~ MSAE & MVP Windows XP Fr
M'écrire : http://msmvps.com/docxp/contact.aspx
- http://docxp.mvps.org - http://msmvps.com/docxp/ -
Aide en DIRECT sur Internet : http://communautes-ms.akro-net.org/

William Marie

30/12/2004 à 12:46

"Stephane Faure" a écrit dans le message de
news:

Bonjour,

Voici les tentatives de connexion (que j'appellerai indiféremment
paquets, pour faire simple) indésirables sur les ports 135, 137,
138,
139 ou 445 que mon firewall a logué durant ma *première minute* de
connexion cet après-midi :

"En rang serré l'ennemi nous attaque..." (La Varsovienne)

Et c'est pareil quelle que soit l'heure de la journée.

Les IP appartiennent pour la plupat à mon FAI (Free), mais certaines
proviennent d'autres FAI français ou étrangers. Dans tous les cas
que
j'ai testés, les noms DNS semblent indiquer qu'il s'agit de machines
d'abonnés.

Idem chez moi, les tentatives sont presque toutes émises par des

adresses IP similaires à la mienne à savoir 82.234.x.y

Concernant les paquets sur les ports 135 et 445, de loin les plus
nombreux, sont-il nécessairement des attaques provenant de machines
infectées, ou, au moins en partie, de simples messages envoyés par
des
postes Windows pour les services réseau Micosoft ?

Des attaques.

Comment mon adresse
est-elle trouvée aussi rapidement ? Tirage aléatoire ou broadcasts ?

Aléatoires, il me semble.

S'il s'agit de broadcasts, comment les FAI peuvent-il tolérer une
telle pollution ? Comment se fait-il que la plupart de ces paquets,
mais pas la totalité, me proviennent de clients Free ?

Mystère ! Je me suis posé la même question.

Quel intérêt
peut-il y avoir à utiliser ces ports sur Internet ?

Aucun ! Ce sont des ports NetBIOS à réserver juste à usage interne
à ton LAN. Ils ne doivent pas être accessibles de l'extérieur. C'est
comme ça que j'ai changé un "vieux" Zone Alarm 4.5 (le seul
qu'acceptait Win 2000 Server, mais une vraie passoire) pour le McAfee
firewall desktop qui est finement configurable.

Pourquoi les FAI,
au moins ceux pour particuliers, ne les bloquent-ils pas ?

Ils ne le peuvent pas (et ne doivent pas le faire) car ce sont des
ports utilisables non standard (au dessus de 1024) qui convergent sur
ton port 445, 135, 137 ou 139 et c'est à toi de te barricader.

Astuce : si tu utilises un routeur et que tu y gères bien toutes
tes règles NAT concernant tous tes ports, tu peux utiliser l'option
"defserver" pour envoyer tout le reste dans les choux (autrement dit
sur une adresse intranet qui n'existe pas).

Pour le cas des tentatives d'intrusion sur les ports NetBIOS en
question dont il n'y a aucune raison qu'elles soient autorisées via
l'extérieur (il me semble, me reprendre si je me gourre) il suffit de
les bloquer au niveau du firewall du modem/routeur si celui-ci en
possède un (généralement le cas maintenant). Ca évitera de gâcher du
CPU PC pour cette basse police.

Tout appel à la reflexion nous irrite, et nous avons horreur des
arguments non familiers, qui ne cadrent pas avec ce que nous
voudrions
croire. (Schumpeter)

"L'idéalisme est le processus de pensée faux par lequel le penseur
interprète le monde en fonction des idées alors qu'il faudrait
interpréter les idées en fonction du monde" (Friedrich Engels).
--
========================================================== William Marie
Toulouse (France)
mailto:
ATTENTION ! Anti-SPAM pour m'écrire remplacer trapellun.net
par free.fr
http://wmarie.free.fr
===========================================================

"Stephane Faure" <mysterion@alussinan.org> a écrit dans le message de
news: MPG.1c3d1f9a9396b69898ab04@news.free.fr...

Bonjour,

Voici les tentatives de connexion (que j'appellerai indiféremment
paquets, pour faire simple) indésirables sur les ports 135, 137,
138,
139 ou 445 que mon firewall a logué durant ma *première minute* de
connexion cet après-midi :

"En rang serré l'ennemi nous attaque..." (La Varsovienne)

Et c'est pareil quelle que soit l'heure de la journée.

Les IP appartiennent pour la plupat à mon FAI (Free), mais certaines
proviennent d'autres FAI français ou étrangers. Dans tous les cas
que
j'ai testés, les noms DNS semblent indiquer qu'il s'agit de machines
d'abonnés.

Idem chez moi, les tentatives sont presque toutes émises par des

adresses IP similaires à la mienne à savoir 82.234.x.y

Concernant les paquets sur les ports 135 et 445, de loin les plus
nombreux, sont-il nécessairement des attaques provenant de machines
infectées, ou, au moins en partie, de simples messages envoyés par
des
postes Windows pour les services réseau Micosoft ?

Des attaques.

Comment mon adresse
est-elle trouvée aussi rapidement ? Tirage aléatoire ou broadcasts ?

Aléatoires, il me semble.

S'il s'agit de broadcasts, comment les FAI peuvent-il tolérer une
telle pollution ? Comment se fait-il que la plupart de ces paquets,
mais pas la totalité, me proviennent de clients Free ?

Mystère ! Je me suis posé la même question.

Quel intérêt
peut-il y avoir à utiliser ces ports sur Internet ?

Aucun ! Ce sont des ports NetBIOS à réserver juste à usage interne
à ton LAN. Ils ne doivent pas être accessibles de l'extérieur. C'est
comme ça que j'ai changé un "vieux" Zone Alarm 4.5 (le seul
qu'acceptait Win 2000 Server, mais une vraie passoire) pour le McAfee
firewall desktop qui est finement configurable.

Pourquoi les FAI,
au moins ceux pour particuliers, ne les bloquent-ils pas ?

Ils ne le peuvent pas (et ne doivent pas le faire) car ce sont des
ports utilisables non standard (au dessus de 1024) qui convergent sur
ton port 445, 135, 137 ou 139 et c'est à toi de te barricader.

Astuce : si tu utilises un routeur et que tu y gères bien toutes
tes règles NAT concernant tous tes ports, tu peux utiliser l'option
"defserver" pour envoyer tout le reste dans les choux (autrement dit
sur une adresse intranet qui n'existe pas).

Pour le cas des tentatives d'intrusion sur les ports NetBIOS en
question dont il n'y a aucune raison qu'elles soient autorisées via
l'extérieur (il me semble, me reprendre si je me gourre) il suffit de
les bloquer au niveau du firewall du modem/routeur si celui-ci en
possède un (généralement le cas maintenant). Ca évitera de gâcher du
CPU PC pour cette basse police.

Tout appel à la reflexion nous irrite, et nous avons horreur des
arguments non familiers, qui ne cadrent pas avec ce que nous
voudrions
croire. (Schumpeter)

"L'idéalisme est le processus de pensée faux par lequel le penseur
interprète le monde en fonction des idées alors qu'il faudrait
interpréter les idées en fonction du monde" (Friedrich Engels).
--
========================================================== William Marie
Toulouse (France)
mailto:wmarie@trapellun.net
ATTENTION ! Anti-SPAM pour m'écrire remplacer trapellun.net
par free.fr
http://wmarie.free.fr
===========================================================

Vous avez filtré cet utilisateur ! Consultez son message

"Stephane Faure" a écrit dans le message de
news:

Bonjour,

Voici les tentatives de connexion (que j'appellerai indiféremment
paquets, pour faire simple) indésirables sur les ports 135, 137,
138,
139 ou 445 que mon firewall a logué durant ma *première minute* de
connexion cet après-midi :

"En rang serré l'ennemi nous attaque..." (La Varsovienne)

Et c'est pareil quelle que soit l'heure de la journée.

Les IP appartiennent pour la plupat à mon FAI (Free), mais certaines
proviennent d'autres FAI français ou étrangers. Dans tous les cas
que
j'ai testés, les noms DNS semblent indiquer qu'il s'agit de machines
d'abonnés.

Idem chez moi, les tentatives sont presque toutes émises par des

adresses IP similaires à la mienne à savoir 82.234.x.y

Concernant les paquets sur les ports 135 et 445, de loin les plus
nombreux, sont-il nécessairement des attaques provenant de machines
infectées, ou, au moins en partie, de simples messages envoyés par
des
postes Windows pour les services réseau Micosoft ?

Des attaques.

Comment mon adresse
est-elle trouvée aussi rapidement ? Tirage aléatoire ou broadcasts ?

Aléatoires, il me semble.

S'il s'agit de broadcasts, comment les FAI peuvent-il tolérer une
telle pollution ? Comment se fait-il que la plupart de ces paquets,
mais pas la totalité, me proviennent de clients Free ?

Mystère ! Je me suis posé la même question.

Quel intérêt
peut-il y avoir à utiliser ces ports sur Internet ?

Aucun ! Ce sont des ports NetBIOS à réserver juste à usage interne
à ton LAN. Ils ne doivent pas être accessibles de l'extérieur. C'est
comme ça que j'ai changé un "vieux" Zone Alarm 4.5 (le seul
qu'acceptait Win 2000 Server, mais une vraie passoire) pour le McAfee
firewall desktop qui est finement configurable.

Pourquoi les FAI,
au moins ceux pour particuliers, ne les bloquent-ils pas ?

Ils ne le peuvent pas (et ne doivent pas le faire) car ce sont des
ports utilisables non standard (au dessus de 1024) qui convergent sur
ton port 445, 135, 137 ou 139 et c'est à toi de te barricader.

Astuce : si tu utilises un routeur et que tu y gères bien toutes
tes règles NAT concernant tous tes ports, tu peux utiliser l'option
"defserver" pour envoyer tout le reste dans les choux (autrement dit
sur une adresse intranet qui n'existe pas).

Pour le cas des tentatives d'intrusion sur les ports NetBIOS en
question dont il n'y a aucune raison qu'elles soient autorisées via
l'extérieur (il me semble, me reprendre si je me gourre) il suffit de
les bloquer au niveau du firewall du modem/routeur si celui-ci en
possède un (généralement le cas maintenant). Ca évitera de gâcher du
CPU PC pour cette basse police.

Tout appel à la reflexion nous irrite, et nous avons horreur des
arguments non familiers, qui ne cadrent pas avec ce que nous
voudrions
croire. (Schumpeter)

"L'idéalisme est le processus de pensée faux par lequel le penseur
interprète le monde en fonction des idées alors qu'il faudrait
interpréter les idées en fonction du monde" (Friedrich Engels).
--
========================================================== William Marie
Toulouse (France)
mailto:
ATTENTION ! Anti-SPAM pour m'écrire remplacer trapellun.net
par free.fr
http://wmarie.free.fr
===========================================================

chrisn

30/12/2004 à 13:36

In news:,
Stephane Faure wrote:

Bonjour,

Voici les tentatives de connexion (que j'appellerai indiféremment
paquets, pour faire simple) indésirables sur les ports 135, 137, 138,
139 ou 445 que mon firewall a logué durant ma *première minute* de
connexion cet après-midi :

Petite remarque : la securité réseau est plus charte sur

fr.comp.securite où je place le suivi de ce message.

Le port 135 est utiliser par "windows messenger" CF cette adresse si
vous voulez le désactiver.
http://www.cnil.fr/index.php?id65&print=1).

Les port 137, 138 et 139 sont utilisés par netbios sur tcp/ip. Vous
devez désactiver netbios sur tcp/ip si votre réseau local ne comporte
que des machines w2k et xp.

Le port 445 remplace les ports 137/138/139 pour les réseaux locaux
depuis w2k pour la reconnaissance des machines locales (en l'absence de
dns, ne pas oublier de configurer le fichier
%systemroot%system32driversetchosts sur chaque machine)

N'autorisez ce port (ces ports) qu'aux machines du réseau local, par le
firewall des machines (configuration à la main sur w2k, configuration
automatique possible sous xp avec le firewall intégré) ou par tout autre
logiciel firewall

Ne jamais utiliser un logiciel firewall (zone alarm, kerio...) sans
avoir désactiver les fonctions firewall de xp et vice et versa
(notamment lors de la configuration du réseau local et du partage de
connexion internet.)

Si vous utilisez le partage de ressource sur votre réseau local,
protégez chaque partage par un mot de passe. Avec une machine XP
préférez le partage niveau utilisateur.

Accessoirement, oui, ce sont souvent des virus qui scannent ces ports,
mais pour le 135 également pas mal de spam coriaces.

--
chrisn
Reorganisation de la hierarchie fco.ms-windows
Rappels - comment voter - vote et spam
http://perso.wanadoo.fr/aavfcom/

Stephane Faure

30/12/2004 à 17:31

Xavier Roche, in <cqv01g$3jc$ :

Comment mon adresse
est-elle trouvée aussi rapidement ? Tirage aléatoire ou broadcasts ?

Scan systématique de plages d'IP (ca va vite, avec l'ADSL).

Je vois... C'est quand même ennuyeux quand c'est comme moi en RTC
qu'on reçoit tout ça. Mais pour ce qui est de l'encombrement général
du réseau, a-t-on simplement une idée de ce que ça représente ?

Quel intérêt
peut-il y avoir à utiliser ces ports sur Internet ?

Il n'y a pas d'interêt énorme, mais c'est le cas de beaucoup de ports <
1024.

Ceux dont on parle présentent en plus le désavantage significatif
d'être massivement détournés de leur usage normal.

C'est aux utilisateurs à se protéger, ou à choisir des systèmes
d'exploitation qui ne soient pas des bombes à retardement.

Ca, c'est un doux rêve d'informaticien. La réalité, c'est que la
plupart des internautes sont de simples utilisateurs qui se contentent
de la facilité. Et la facilité, c'est Microsoft et ses configurations
par défaut avec lesquelles tout et n'importe quoi marche tout seul.
C'est pas demain que ça va changer !

Si on commence à filtrer 137-139/445 pour les virus
Microsoft, le port 25 pour les machines trojanisées, le port 21 pour les
machines routées avec ftp installé, les pings pour éviter les DDOS,
les paquets non V4 parce que les autres protocoles sont peut être
dangereux, plus les ports P2P parce que le P2P c'est pas bien, eh bien
au final on aura un superbe réseau pour-faire-du-web-et-du-mail, c'est à
dire un minitel évolué.

Ne mélangez pas tout. Les services 135 et 445 ne sont pas des
standards de l'Internet. Comme vous le dites vous-même, il n'y
présentent pas un intérêt énorme (même Microsoft recommande d'utiliser
RPC/DCOM sur HTTP plutôt que sur TCP), et dans 99 % des cas, il s'agit
d'attaques virales, ou encore de spam. Et quelles attaques : une
toutes les 3 secondes en moyenne sur ma pauvre connexion RTC !

Aucun FAI ne perdrait de client s'il bloquait ces foutus ports, ce qui
ne serait par contre pas le cas s'il bloquait le p2p (et là, ça serait
pas juste 2 ou 2 ports à bloquer)... Quant au bloquage du port 25,
c'est vrai qu'il pourrait présenter un intérêt pour un FAI de
particuliers. L'idéal étant qu'il soit quand même possible de
l'activer sur demande au FAI, pour le réserver aux utilisateurs
avertis. J'avais lu une discussions sur fcs qui parlait de cette
possibilité.

Concernant les DDOS avec ping, il me semble qu'ils concernent avant
tout des serveurs, donc des machines administrées par des
informaticiens. Quant au machines routées avec FTP installé et aux
paquets non V4, je n'en ai même jamais entendu parler. Il faut savoir
distinguer dysfonctionnements massifs et problèmes ponctuels.

Reste que beaucoup de FAI commencent à filtrer - pas pour protéger leurs
utilisateurs (les mêmes FAI ne préviennent pour ainsi dire jamais leurs
utilisateurs infectés), mais pour ne pas avoir de boulot supplémentaire
pour traiter les plaintes des autres FAI.

Il me semble que ce point de vue est un peu simpliste même s'il n'est
pas totalement faux. Pas mal de FSI font aujourd'hui de la protection
anti-spam et anti-virus le credo de leur publicités.

--
Tout appel à la reflexion nous irrite, et nous avons horreur des
arguments non familiers, qui ne cadrent pas avec ce que nous voudrions
croire. (Schumpeter)

Xavier Roche, in <cqv01g$3jc$1@news.httrack.net> :

Comment mon adresse
est-elle trouvée aussi rapidement ? Tirage aléatoire ou broadcasts ?

Scan systématique de plages d'IP (ca va vite, avec l'ADSL).

Je vois... C'est quand même ennuyeux quand c'est comme moi en RTC
qu'on reçoit tout ça. Mais pour ce qui est de l'encombrement général
du réseau, a-t-on simplement une idée de ce que ça représente ?

Quel intérêt
peut-il y avoir à utiliser ces ports sur Internet ?

Il n'y a pas d'interêt énorme, mais c'est le cas de beaucoup de ports <
1024.

Ceux dont on parle présentent en plus le désavantage significatif
d'être massivement détournés de leur usage normal.

C'est aux utilisateurs à se protéger, ou à choisir des systèmes
d'exploitation qui ne soient pas des bombes à retardement.

Ca, c'est un doux rêve d'informaticien. La réalité, c'est que la
plupart des internautes sont de simples utilisateurs qui se contentent
de la facilité. Et la facilité, c'est Microsoft et ses configurations
par défaut avec lesquelles tout et n'importe quoi marche tout seul.
C'est pas demain que ça va changer !

Si on commence à filtrer 137-139/445 pour les virus
Microsoft, le port 25 pour les machines trojanisées, le port 21 pour les
machines routées avec ftp installé, les pings pour éviter les DDOS,
les paquets non V4 parce que les autres protocoles sont peut être
dangereux, plus les ports P2P parce que le P2P c'est pas bien, eh bien
au final on aura un superbe réseau pour-faire-du-web-et-du-mail, c'est à
dire un minitel évolué.

Ne mélangez pas tout. Les services 135 et 445 ne sont pas des
standards de l'Internet. Comme vous le dites vous-même, il n'y
présentent pas un intérêt énorme (même Microsoft recommande d'utiliser
RPC/DCOM sur HTTP plutôt que sur TCP), et dans 99 % des cas, il s'agit
d'attaques virales, ou encore de spam. Et quelles attaques : une
toutes les 3 secondes en moyenne sur ma pauvre connexion RTC !

Aucun FAI ne perdrait de client s'il bloquait ces foutus ports, ce qui
ne serait par contre pas le cas s'il bloquait le p2p (et là, ça serait
pas juste 2 ou 2 ports à bloquer)... Quant au bloquage du port 25,
c'est vrai qu'il pourrait présenter un intérêt pour un FAI de
particuliers. L'idéal étant qu'il soit quand même possible de
l'activer sur demande au FAI, pour le réserver aux utilisateurs
avertis. J'avais lu une discussions sur fcs qui parlait de cette
possibilité.

Concernant les DDOS avec ping, il me semble qu'ils concernent avant
tout des serveurs, donc des machines administrées par des
informaticiens. Quant au machines routées avec FTP installé et aux
paquets non V4, je n'en ai même jamais entendu parler. Il faut savoir
distinguer dysfonctionnements massifs et problèmes ponctuels.

Reste que beaucoup de FAI commencent à filtrer - pas pour protéger leurs
utilisateurs (les mêmes FAI ne préviennent pour ainsi dire jamais leurs
utilisateurs infectés), mais pour ne pas avoir de boulot supplémentaire
pour traiter les plaintes des autres FAI.

Il me semble que ce point de vue est un peu simpliste même s'il n'est
pas totalement faux. Pas mal de FSI font aujourd'hui de la protection
anti-spam et anti-virus le credo de leur publicités.

--
Tout appel à la reflexion nous irrite, et nous avons horreur des
arguments non familiers, qui ne cadrent pas avec ce que nous voudrions
croire. (Schumpeter)

Vous avez filtré cet utilisateur ! Consultez son message

Xavier Roche, in <cqv01g$3jc$ :

Comment mon adresse
est-elle trouvée aussi rapidement ? Tirage aléatoire ou broadcasts ?

Scan systématique de plages d'IP (ca va vite, avec l'ADSL).

Je vois... C'est quand même ennuyeux quand c'est comme moi en RTC
qu'on reçoit tout ça. Mais pour ce qui est de l'encombrement général
du réseau, a-t-on simplement une idée de ce que ça représente ?

Quel intérêt
peut-il y avoir à utiliser ces ports sur Internet ?

Il n'y a pas d'interêt énorme, mais c'est le cas de beaucoup de ports <
1024.

Ceux dont on parle présentent en plus le désavantage significatif
d'être massivement détournés de leur usage normal.

C'est aux utilisateurs à se protéger, ou à choisir des systèmes
d'exploitation qui ne soient pas des bombes à retardement.

Ca, c'est un doux rêve d'informaticien. La réalité, c'est que la
plupart des internautes sont de simples utilisateurs qui se contentent
de la facilité. Et la facilité, c'est Microsoft et ses configurations
par défaut avec lesquelles tout et n'importe quoi marche tout seul.
C'est pas demain que ça va changer !

Si on commence à filtrer 137-139/445 pour les virus
Microsoft, le port 25 pour les machines trojanisées, le port 21 pour les
machines routées avec ftp installé, les pings pour éviter les DDOS,
les paquets non V4 parce que les autres protocoles sont peut être
dangereux, plus les ports P2P parce que le P2P c'est pas bien, eh bien
au final on aura un superbe réseau pour-faire-du-web-et-du-mail, c'est à
dire un minitel évolué.

Ne mélangez pas tout. Les services 135 et 445 ne sont pas des
standards de l'Internet. Comme vous le dites vous-même, il n'y
présentent pas un intérêt énorme (même Microsoft recommande d'utiliser
RPC/DCOM sur HTTP plutôt que sur TCP), et dans 99 % des cas, il s'agit
d'attaques virales, ou encore de spam. Et quelles attaques : une
toutes les 3 secondes en moyenne sur ma pauvre connexion RTC !

Aucun FAI ne perdrait de client s'il bloquait ces foutus ports, ce qui
ne serait par contre pas le cas s'il bloquait le p2p (et là, ça serait
pas juste 2 ou 2 ports à bloquer)... Quant au bloquage du port 25,
c'est vrai qu'il pourrait présenter un intérêt pour un FAI de
particuliers. L'idéal étant qu'il soit quand même possible de
l'activer sur demande au FAI, pour le réserver aux utilisateurs
avertis. J'avais lu une discussions sur fcs qui parlait de cette
possibilité.

Concernant les DDOS avec ping, il me semble qu'ils concernent avant
tout des serveurs, donc des machines administrées par des
informaticiens. Quant au machines routées avec FTP installé et aux
paquets non V4, je n'en ai même jamais entendu parler. Il faut savoir
distinguer dysfonctionnements massifs et problèmes ponctuels.

Reste que beaucoup de FAI commencent à filtrer - pas pour protéger leurs
utilisateurs (les mêmes FAI ne préviennent pour ainsi dire jamais leurs
utilisateurs infectés), mais pour ne pas avoir de boulot supplémentaire
pour traiter les plaintes des autres FAI.

Il me semble que ce point de vue est un peu simpliste même s'il n'est
pas totalement faux. Pas mal de FSI font aujourd'hui de la protection
anti-spam et anti-virus le credo de leur publicités.

--
Tout appel à la reflexion nous irrite, et nous avons horreur des
arguments non familiers, qui ne cadrent pas avec ce que nous voudrions
croire. (Schumpeter)

Stephane Faure

30/12/2004 à 17:31

William Marie, in <41d3eaa5$1$21448$ :

Pourquoi les FAI,
au moins ceux pour particuliers, ne les bloquent-ils pas ?

Ils ne le peuvent pas (et ne doivent pas le faire) car ce sont des
ports utilisables non standard (au dessus de 1024) qui convergent sur
ton port 445, 135, 137 ou 139 et c'est à toi de te barricader.

Si, ils le peuvent, Wanadoo l'avait déjà fait pour le 135. Je ne sais
pas si c'est toujours en vigueur.

--
Tout appel à la reflexion nous irrite, et nous avons horreur des
arguments non familiers, qui ne cadrent pas avec ce que nous voudrions
croire. (Schumpeter)

Stephane Faure

30/12/2004 à 17:31

Claude LaFrenière, in <193m9qo4lh4jo$.faiej2ybnbg5$ :

Voici les tentatives de connexion (que j'appellerai indiféremment
paquets, pour faire simple) indésirables sur les ports 135, 137, 138,
139 ou 445 que mon firewall a logué durant ma *première minute* de
connexion cet après-midi :

=================================================================== > > 1,[28/Dec/2004 15:31:28] Rule 'Entrantes sur NetBIOS': Blocked: In
UDP, (null) [219.128.6.222:1029]->localhost:137, Owner: no owner

Et alors ? Ton pare-feu les bloque et c'est ce qui compte.
Ne t'alarme pas inutilement avec ces trucs : tout à fait normal
avec la quantité de PC Zombies utilisés par des InterNUTS.

Je ne m'inquiète pas pour ma machine, mais pour la bande passante
gaspillée et pour les infections à venir sur les PC tous neufs que
neuneu a eu à son Noël.

(La plupart américains : obèses, boutonneux, roux,ont voté pour Bush
et ils *adorent* Internet Explorer : « wow , what a good soft man...»,
croient que les packets reçu sur le port 135 sont envoyés par Oussama
Ben Laden directement du trou puant où il se cache dans le nord du Pakistan
et que 150 000 GI sont incapables de trouver ... etc.
Mort aux cons ! )

Et vous, vous croyez donc qu'ils sont envoyés par Internet Explorer ?
Ils sont dûs à des failles du système d'exploitation qui fait le thème
du forum vers lequel vous voulez rediriger cette discussion.

Voilà ! et puis "pholeau oppe" ici !
Followup-To: microsoft.public.fr.windowsxp

Non, ce n'est pas le plus adapté, et en plus, c'est mal de faire un
followup sur un forum non crossposté. Si vous avez la flemme de vous
abonner à un forum vers lequel une discussion est redirigée, n'y
participez pas : le but est de la concentrer dans un seul forum, pas
que chacun fasse à sa guise.

--
Tout appel à la reflexion nous irrite, et nous avons horreur des
arguments non familiers, qui ne cadrent pas avec ce que nous voudrions
croire. (Schumpeter)

Vous avez filtré cet utilisateur ! Consultez son message

Pascal

30/12/2004 à 17:48

Salut,

Quant au machines routées avec FTP installé et aux
paquets non V4, je n'en ai même jamais entendu parler.

J'aimerais bien savoir ce que signifient "machine routée avec FTP" et
"paquet non V4".

memyself_

02/01/2005 à 23:23

Stephane Faure wrote:

Bonjour,

Bonjour

<snip>

Les IP appartiennent pour la plupat à mon FAI (Free),

Normal

mais certaines
proviennent d'autres FAI français ou étrangers. Dans tous les cas que

Plus bizzare

j'ai testés, les noms DNS semblent indiquer qu'il s'agit de machines
d'abonnés.

Oui, en général il s'agit des "voisins".

Concernant les paquets sur les ports 135 et 445, de loin les plus
nombreux, sont-il nécessairement des attaques provenant de machines
infectées, ou, au moins en partie, de simples messages envoyés par des
postes Windows pour les services réseau Micosoft ?

Sur des réseaux locaux, il s'agit généralement de services microsoft
Sur internet, ça peut être soit des contrôleurs de domaine Microsoft mal
configurés, soit des worms qui tentent de se propager en exploitant une
hypothètique faille RPC

Comment mon adresse
est-elle trouvée aussi rapidement ? Tirage aléatoire ou broadcasts ?

Broadcast pour les contrôleurs de domaine, tirage aléatoire pour les worms
(en principe)

S'il s'agit de broadcasts, comment les FAI peuvent-il tolérer une
telle pollution ?

Sans doute pour des raisons politique, je n'ai pas envie que l'on décide
pour moi quel port je peux utiliser au travers de mon FAI.

Comment se fait-il que la plupart de ces paquets,
mais pas la totalité, me proviennent de clients Free ?

Dans le cas de contrôleurs de domaine Microsoft mal configurés, ça ne touche
à priori que le voisinage réseau (machines connectées à la même passerelle)

Quel intérêt
peut-il y avoir à utiliser ces ports sur Internet ? Pourquoi les FAI,
au moins ceux pour particuliers, ne les bloquent-ils pas ? J'ai déjà
lu quelques fils dans les archives de fr.comp.securite (sur lequel
j'ai d'ailleurs tenté en vain de publier cet article hier) sur cette
question, mais à part le fait que "ça ne rend pas un service full IP",
je n'ai rien vu qui m'ait vraiment convaincu.

Grand débat, personnellement je trouve que l'argument du "full ip" est
séduisant, à condition de donner les moyens aux particuliers de s'informer.

En tout cas, tu sembles bien protégé contre ce genre de soucis, je te
conseil d'arrêter de logguer ces ports si tu peux, ça ne présente pas
d'interêt tant que ton pare-feux arrête tout les paquets vers ces ports.

[Suivi cette fois sur fr.comp.reseaux.ip]

On suit, on suit

++

Stephane Faure wrote:

Bonjour,

Bonjour

<snip>

Les IP appartiennent pour la plupat à mon FAI (Free),

Normal

mais certaines
proviennent d'autres FAI français ou étrangers. Dans tous les cas que

Plus bizzare

j'ai testés, les noms DNS semblent indiquer qu'il s'agit de machines
d'abonnés.

Oui, en général il s'agit des "voisins".

Concernant les paquets sur les ports 135 et 445, de loin les plus
nombreux, sont-il nécessairement des attaques provenant de machines
infectées, ou, au moins en partie, de simples messages envoyés par des
postes Windows pour les services réseau Micosoft ?

Sur des réseaux locaux, il s'agit généralement de services microsoft
Sur internet, ça peut être soit des contrôleurs de domaine Microsoft mal
configurés, soit des worms qui tentent de se propager en exploitant une
hypothètique faille RPC

Comment mon adresse
est-elle trouvée aussi rapidement ? Tirage aléatoire ou broadcasts ?

Broadcast pour les contrôleurs de domaine, tirage aléatoire pour les worms
(en principe)

S'il s'agit de broadcasts, comment les FAI peuvent-il tolérer une
telle pollution ?

Sans doute pour des raisons politique, je n'ai pas envie que l'on décide
pour moi quel port je peux utiliser au travers de mon FAI.

Comment se fait-il que la plupart de ces paquets,
mais pas la totalité, me proviennent de clients Free ?

Dans le cas de contrôleurs de domaine Microsoft mal configurés, ça ne touche
à priori que le voisinage réseau (machines connectées à la même passerelle)

Quel intérêt
peut-il y avoir à utiliser ces ports sur Internet ? Pourquoi les FAI,
au moins ceux pour particuliers, ne les bloquent-ils pas ? J'ai déjà
lu quelques fils dans les archives de fr.comp.securite (sur lequel
j'ai d'ailleurs tenté en vain de publier cet article hier) sur cette
question, mais à part le fait que "ça ne rend pas un service full IP",
je n'ai rien vu qui m'ait vraiment convaincu.

Grand débat, personnellement je trouve que l'argument du "full ip" est
séduisant, à condition de donner les moyens aux particuliers de s'informer.

En tout cas, tu sembles bien protégé contre ce genre de soucis, je te
conseil d'arrêter de logguer ces ports si tu peux, ça ne présente pas
d'interêt tant que ton pare-feux arrête tout les paquets vers ces ports.

[Suivi cette fois sur fr.comp.reseaux.ip]

On suit, on suit

++

Vous avez filtré cet utilisateur ! Consultez son message

Stephane Faure wrote:

Bonjour,

Bonjour

<snip>

Les IP appartiennent pour la plupat à mon FAI (Free),

Normal

mais certaines
proviennent d'autres FAI français ou étrangers. Dans tous les cas que

Plus bizzare

j'ai testés, les noms DNS semblent indiquer qu'il s'agit de machines
d'abonnés.

Oui, en général il s'agit des "voisins".

Concernant les paquets sur les ports 135 et 445, de loin les plus
nombreux, sont-il nécessairement des attaques provenant de machines
infectées, ou, au moins en partie, de simples messages envoyés par des
postes Windows pour les services réseau Micosoft ?

Sur des réseaux locaux, il s'agit généralement de services microsoft
Sur internet, ça peut être soit des contrôleurs de domaine Microsoft mal
configurés, soit des worms qui tentent de se propager en exploitant une
hypothètique faille RPC

Comment mon adresse
est-elle trouvée aussi rapidement ? Tirage aléatoire ou broadcasts ?

Broadcast pour les contrôleurs de domaine, tirage aléatoire pour les worms
(en principe)

S'il s'agit de broadcasts, comment les FAI peuvent-il tolérer une
telle pollution ?

Sans doute pour des raisons politique, je n'ai pas envie que l'on décide
pour moi quel port je peux utiliser au travers de mon FAI.

Comment se fait-il que la plupart de ces paquets,
mais pas la totalité, me proviennent de clients Free ?

Dans le cas de contrôleurs de domaine Microsoft mal configurés, ça ne touche
à priori que le voisinage réseau (machines connectées à la même passerelle)

Quel intérêt
peut-il y avoir à utiliser ces ports sur Internet ? Pourquoi les FAI,
au moins ceux pour particuliers, ne les bloquent-ils pas ? J'ai déjà
lu quelques fils dans les archives de fr.comp.securite (sur lequel
j'ai d'ailleurs tenté en vain de publier cet article hier) sur cette
question, mais à part le fait que "ça ne rend pas un service full IP",
je n'ai rien vu qui m'ait vraiment convaincu.

Grand débat, personnellement je trouve que l'argument du "full ip" est
séduisant, à condition de donner les moyens aux particuliers de s'informer.

En tout cas, tu sembles bien protégé contre ce genre de soucis, je te
conseil d'arrêter de logguer ces ports si tu peux, ça ne présente pas
d'interêt tant que ton pare-feux arrête tout les paquets vers ces ports.

[Suivi cette fois sur fr.comp.reseaux.ip]

On suit, on suit

++

Tentatives de connexion sur ports TCP 135 et 445 : simple pollution ou danger permanent ?

10 réponses

Veuillez sélectionner un problème