Mon précédent message s'est visiblement perdu dans les méandres de la toile... je reposte donc :
Ça faisait bien longtemps...
Mon pare-feu vient de m'envoyer l'alerte suivante :
2004-04-06 08:39:14 - SYN FIN Scan - Source:81.89.231.66
,22,WAN - Destination:81.53.46.13,22,LAN.
Le manuel de ce pare-feu (intégré à mon routeur aDSL)
étant muet sur le sujet, est-il possible de trouver
quelque part sur la toile des explications quant à la
signification de ces alertes, et la conduite à tenir ?
Avec mes remerciements,
J.-Luc
--
«From» est un anti-pourriels. Pour me répondre, lire mon adresse en
zig-zagant dans la boîte ci-dessous (utilisez une fonte fixe, svp).
-=oOo=-
"From" is an anti-spam adress. If you wish to contact me, read my
adress zigzaging in the box below (use a non-prop font, please).
+---------------------------+
|J - . c @ a . |
| e n L c C c o i w n d o f |
| a u e l a o r|
+---------------------------+
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
public[
Jean-Luc wrote:
Bonjour, Bonjour
Mon pare-feu vient de m'envoyer l'alerte suivante : 2004-04-06 08:39:14 - SYN FIN Scan - Source:81.89.231.66 ,22,WAN - Destination:81.53.46.13,22,LAN. C'est une tentative de detection de l'existance d'un serveur ssh en
ecoute sur votre machine ( port 22 ) Vu le numero de port source ( 22 ) le paquet est clairement anormal Pour info Le paquet envoie une demande fermeture de session TCP au lieu d'une demande d'ouverture le but est de ne pas etre detecté mais bon cette methode est pas mal eventée ;-)
Le manuel de ce pare-feu (intégré à mon routeur aDSL) étant muet sur le sujet, est-il possible de trouver quelque part sur la toile des explications quant à la signification de ces alertes, et la conduite à tenir ? En effet, sans log detaillé des evenements "anormaux", vous risquez
d'avoir du mal pouvoir qualifier parfaitement tout les types d'attaques
Si vous n'avez que peu de documentation sur votre FW,Une possibilité est peut etre pour vous d'installer un IDS ( eg snort) sur votre/vos machines, les informations donnés par ce type de produits sont tres enrichissantes
Avec mes remerciements,
En esperant vous avoir aidé
Jean-Luc wrote:
Bonjour,
Bonjour
Mon pare-feu vient de m'envoyer l'alerte suivante :
2004-04-06 08:39:14 - SYN FIN Scan - Source:81.89.231.66
,22,WAN - Destination:81.53.46.13,22,LAN.
C'est une tentative de detection de l'existance d'un serveur ssh en
ecoute sur votre machine ( port 22 )
Vu le numero de port source ( 22 ) le paquet est clairement anormal
Pour info Le paquet envoie une demande fermeture de session TCP au lieu
d'une demande d'ouverture le but est de ne pas etre detecté mais bon
cette methode est pas mal eventée ;-)
Le manuel de ce pare-feu (intégré à mon routeur aDSL)
étant muet sur le sujet, est-il possible de trouver
quelque part sur la toile des explications quant à la
signification de ces alertes, et la conduite à tenir ?
En effet, sans log detaillé des evenements "anormaux", vous risquez
d'avoir du mal pouvoir qualifier parfaitement tout les types d'attaques
Si vous n'avez que peu de documentation sur votre FW,Une possibilité est
peut etre pour vous d'installer un IDS ( eg snort) sur votre/vos
machines, les informations donnés par ce type de produits sont tres
enrichissantes
Mon pare-feu vient de m'envoyer l'alerte suivante : 2004-04-06 08:39:14 - SYN FIN Scan - Source:81.89.231.66 ,22,WAN - Destination:81.53.46.13,22,LAN. C'est une tentative de detection de l'existance d'un serveur ssh en
ecoute sur votre machine ( port 22 ) Vu le numero de port source ( 22 ) le paquet est clairement anormal Pour info Le paquet envoie une demande fermeture de session TCP au lieu d'une demande d'ouverture le but est de ne pas etre detecté mais bon cette methode est pas mal eventée ;-)
Le manuel de ce pare-feu (intégré à mon routeur aDSL) étant muet sur le sujet, est-il possible de trouver quelque part sur la toile des explications quant à la signification de ces alertes, et la conduite à tenir ? En effet, sans log detaillé des evenements "anormaux", vous risquez
d'avoir du mal pouvoir qualifier parfaitement tout les types d'attaques
Si vous n'avez que peu de documentation sur votre FW,Une possibilité est peut etre pour vous d'installer un IDS ( eg snort) sur votre/vos machines, les informations donnés par ce type de produits sont tres enrichissantes
