Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Albert ARIBAUD
Le Sat, 17 Apr 2004 21:03:25 +0200, Walter a écrit :
Bonjour,
En faisant un netstat régulierement sur ma machine j'ai TOUT LE TEMPS ceci:
Proto Adresse locale Adresse distante Etat TCP :445 @_IP_DISTANTE:4466 ESTABLISHED
Le port TCP 4446 n'est pas dans le range des ports "connus" ( chercher les
"well known ports" ou ports TCP utilisés par des appli identifiées ) . Trés certainement vous avez une appli locale ( jeux, pee to peer, spyware ... ) qui a ouvert ce port.
Le 4466 étant ouvert par l'IP distante et non local, je pencherais pour une connexion entrante sur le port 445 (un service XP, non)
Voir avec un sniffer ( ethereal ou sniffer-pro ) pour vérifier ce qui se passe.
Vaudrait mieux, oui. Voire mieux : bloquer ce port en entrée, direct. :)
Verifier que vous n'avez pas de spyware ( utilitaire genre Spybot ). A l'aide d'un resolver rarp, chercher qui peut être derrière l'adresse Ip. Installez un firewall et bloquez ce port
Euh, rarp va aider si l'intrus est sur le même brin Ethernet, donc au mieux ça peut servir si on est dégroupé et si l'intrus est un voisin de DSLAM. Il vaudrait mieux un nslookup, voire le whois du RIPE.
Amicalement, -- Albert.
Le Sat, 17 Apr 2004 21:03:25 +0200, Walter a écrit :
Bonjour,
En faisant un netstat régulierement sur ma machine j'ai TOUT LE TEMPS
ceci:
Proto Adresse locale Adresse distante Etat
TCP Mon_@_IP:445 @_IP_DISTANTE:4466 ESTABLISHED
Le port TCP 4446 n'est pas dans le range des ports "connus" ( chercher les
"well known ports" ou ports TCP utilisés par des appli identifiées ) .
Trés certainement vous avez une appli locale ( jeux, pee to peer, spyware
... ) qui a ouvert ce port.
Le 4466 étant ouvert par l'IP distante et non local, je pencherais pour
une connexion entrante sur le port 445 (un service XP, non)
Voir avec un sniffer ( ethereal ou sniffer-pro ) pour vérifier ce qui
se passe.
Vaudrait mieux, oui. Voire mieux : bloquer ce port en entrée, direct. :)
Verifier que vous n'avez pas de spyware ( utilitaire genre Spybot ). A
l'aide d'un resolver rarp, chercher qui peut être derrière l'adresse
Ip. Installez un firewall et bloquez ce port
Euh, rarp va aider si l'intrus est sur le même brin Ethernet, donc au
mieux ça peut servir si on est dégroupé et si l'intrus est un voisin de
DSLAM. Il vaudrait mieux un nslookup, voire le whois du RIPE.
Le Sat, 17 Apr 2004 21:03:25 +0200, Walter a écrit :
Bonjour,
En faisant un netstat régulierement sur ma machine j'ai TOUT LE TEMPS ceci:
Proto Adresse locale Adresse distante Etat TCP :445 @_IP_DISTANTE:4466 ESTABLISHED
Le port TCP 4446 n'est pas dans le range des ports "connus" ( chercher les
"well known ports" ou ports TCP utilisés par des appli identifiées ) . Trés certainement vous avez une appli locale ( jeux, pee to peer, spyware ... ) qui a ouvert ce port.
Le 4466 étant ouvert par l'IP distante et non local, je pencherais pour une connexion entrante sur le port 445 (un service XP, non)
Voir avec un sniffer ( ethereal ou sniffer-pro ) pour vérifier ce qui se passe.
Vaudrait mieux, oui. Voire mieux : bloquer ce port en entrée, direct. :)
Verifier que vous n'avez pas de spyware ( utilitaire genre Spybot ). A l'aide d'un resolver rarp, chercher qui peut être derrière l'adresse Ip. Installez un firewall et bloquez ce port
Euh, rarp va aider si l'intrus est sur le même brin Ethernet, donc au mieux ça peut servir si on est dégroupé et si l'intrus est un voisin de DSLAM. Il vaudrait mieux un nslookup, voire le whois du RIPE.
Amicalement, -- Albert.
JustMe
Walter wrote:
Bonjour,
En faisant un netstat régulierement sur ma machine j'ai TOUT LE TEMPS ceci:
Proto Adresse locale Adresse distante Etat TCP :445 @_IP_DISTANTE:4466 ESTABLISHED
Le port TCP 4446 n'est pas dans le range des ports "connus" ( chercher les "well known ports" ou ports TCP utilisés par des appli identifiées ) .
par contre 445 l'est ;-)
microsoft-ds 445/tcp microsoft-ds 445/udp
Trés certainement vous avez une appli locale ( jeux, pee to peer, spyware ... ) qui a ouvert ce port. Voir avec un sniffer ( ethereal ou sniffer-pro ) pour vérifier ce qui se passe. Verifier que vous n'avez pas de spyware ( utilitaire genre Spybot ). A l'aide d'un resolver rarp, chercher qui peut être derrière l'adresse Ip. Installez un firewall et bloquez ce port
TCPView is a Windows program that will show you detailed listings of all TCP and UDP endpoints on your system, including the local and remote addresses and state of TCP connections. On Windows NT, 2000 and XP TCPView also reports the name of the process that owns the endpoint. TCPView provides a more informative and conveniently presented subset of the Netstat program that ships with Windows.
tres tres utile....
Walter wrote:
Bonjour,
En faisant un netstat régulierement sur ma machine j'ai TOUT LE TEMPS ceci:
Proto Adresse locale Adresse distante Etat
TCP Mon_@_IP:445 @_IP_DISTANTE:4466 ESTABLISHED
Le port TCP 4446 n'est pas dans le range des ports "connus" ( chercher les
"well known ports" ou ports TCP utilisés par des appli identifiées ) .
par contre 445 l'est ;-)
microsoft-ds 445/tcp
microsoft-ds 445/udp
Trés certainement vous avez une appli locale ( jeux, pee to peer, spyware
... ) qui a ouvert ce port.
Voir avec un sniffer ( ethereal ou sniffer-pro ) pour vérifier ce qui se
passe.
Verifier que vous n'avez pas de spyware ( utilitaire genre Spybot ).
A l'aide d'un resolver rarp, chercher qui peut être derrière l'adresse Ip.
Installez un firewall et bloquez ce port
TCPView is a Windows program that will show you detailed listings of all
TCP and UDP endpoints on your system, including the local and remote
addresses and state of TCP connections. On Windows NT, 2000 and XP
TCPView also reports the name of the process that owns the endpoint.
TCPView provides a more informative and conveniently presented subset of
the Netstat program that ships with Windows.
En faisant un netstat régulierement sur ma machine j'ai TOUT LE TEMPS ceci:
Proto Adresse locale Adresse distante Etat TCP :445 @_IP_DISTANTE:4466 ESTABLISHED
Le port TCP 4446 n'est pas dans le range des ports "connus" ( chercher les "well known ports" ou ports TCP utilisés par des appli identifiées ) .
par contre 445 l'est ;-)
microsoft-ds 445/tcp microsoft-ds 445/udp
Trés certainement vous avez une appli locale ( jeux, pee to peer, spyware ... ) qui a ouvert ce port. Voir avec un sniffer ( ethereal ou sniffer-pro ) pour vérifier ce qui se passe. Verifier que vous n'avez pas de spyware ( utilitaire genre Spybot ). A l'aide d'un resolver rarp, chercher qui peut être derrière l'adresse Ip. Installez un firewall et bloquez ce port
TCPView is a Windows program that will show you detailed listings of all TCP and UDP endpoints on your system, including the local and remote addresses and state of TCP connections. On Windows NT, 2000 and XP TCPView also reports the name of the process that owns the endpoint. TCPView provides a more informative and conveniently presented subset of the Netstat program that ships with Windows.
tres tres utile....
doug
Le Samedi 17 Avril 2004 16:17, Raybones s'est exprimé de la sorte sur fr.reseaux.telecoms.adsl :
Bonjour,
En faisant un netstat régulierement sur ma machine j'ai TOUT LE TEMPS ceci:
Proto Adresse locale Adresse distante Etat TCP :445 @_IP_DISTANTE:4466 ESTABLISHED
Quelqu'un pourrait m'expliquer pourquoi?
En gros quelqu'un utilise le partage de fichiers pour se connecter sur votre ordinateur. Le port 445 permet la connexion SMB sur TCP.
2 Solutions : - Passer à Linux (je pouvais pas la manquer celle là) - Désactiver le partage de fichier sur la connxion internet (Je vous laisse farfouiller dans les menus)
Sinon lire ceci :
The use of TCP port 445 in Windows 2000
- Arne Vidstrom,
Summary
Among the new ports used by Windows 2000 is TCP port 445. In this paper we will look at what this port is used for, and how it relates to the security in Windows 2000.
SMB over TCP vs. SMB over NBT
The SMB (Server Message Block) protocol is used among other things for file sharing in Windows NT / 2000. In Windows NT it ran on top of NBT (NetBIOS over TCP/IP), which used the famous ports 137, 138 (UDP) and 139 (TCP). In Windows 2000, Microsoft added the possibility to run SMB directly over TCP IP, without the extra layer of NBT. For this they use TCP port 445.
When Windows 2000 uses port 445, and when it uses 139
In Windows 2000 you have the possibility to disable NetBIOS over TCP/IP. You do this by right-clicking on My Network Places and selecting Properties. Then right-click on the appropriate Local Area Connection icon, and select Properties. Next, click on Internet Protocol (TCP/IP) and Properties. Now click Advanced, and select the WINS tab. There you can enable or disable NetBIOS over TCP/IP. The changes take effect immediately without rebooting the system.
From now on I will refer to the "client" as the computer from where you map drives and other shared resources, and to the "server" as the computer with resources that are shared. I will also refer to NetBIOS over TCP/IP only as NBT.
If the client has NBT enabled, it will always try to connect to the server at both port 139 and 445 simultaneously. If there is a response from port 445, it sends a RST to port 139, and continues it's SMB session to port 445 only. If there is no response from port 445, it will continue it's SMB session to port 139 only, if it gets a response from there. If there is no response from either of the ports, the session will fail completely.
If the client has NBT disabled, it will always try to connect to the server at port 445 only. If the server answers on port 445, the session will be established and continue on that port. If it doesn't answer, the session will fail completely. This is the case if the server for example runs Windows NT 4.0.
If the server has NBT enabled, it listens on UDP ports 137, 138, and on TCP ports 139, 445. If it has NBT disabled, it listens on TCP port 445 only.
Null sessions
In the case of Windows NT 4.0, null sessions always used port 139. A tool like winfo can give you a lot of information on Windows NT 4.0, but how does this work on Windows 2000? The answer is quite simple - it works according to the above description. To sum things up: if you run winfo from Windows 2000, and have NBT enabled, everything will normally work fine whatever the target system is. If you want it to never use anything but port 445, disable NBT.
et quoi faire pour s'en débarasser? Meric d'avance.
Passer à Linux ou Désactiver le partage de fichiers sur la connexion internet
-- @+ Doug [Pourquoi t'es qui, qu'est ce que tu fais par où ?] -- Pour me contacter enlever no-spam (2X) --
Le Samedi 17 Avril 2004 16:17, Raybones s'est exprimé de la sorte sur
fr.reseaux.telecoms.adsl :
Bonjour,
En faisant un netstat régulierement sur ma machine j'ai TOUT LE TEMPS
ceci:
Proto Adresse locale Adresse distante Etat
TCP Mon_@_IP:445 @_IP_DISTANTE:4466 ESTABLISHED
Quelqu'un pourrait m'expliquer pourquoi?
En gros quelqu'un utilise le partage de fichiers pour se connecter sur votre
ordinateur. Le port 445 permet la connexion SMB sur TCP.
2 Solutions :
- Passer à Linux (je pouvais pas la manquer celle là)
- Désactiver le partage de fichier sur la connxion internet (Je vous laisse
farfouiller dans les menus)
Sinon lire ceci :
The use of TCP port 445 in Windows 2000
- Arne Vidstrom, arne.vidstrom@ntsecurity.nu
Summary
Among the new ports used by Windows 2000 is TCP port 445. In this paper we
will look at what this port is used for, and how it relates to the security
in Windows 2000.
SMB over TCP vs. SMB over NBT
The SMB (Server Message Block) protocol is used among other things for file
sharing in Windows NT / 2000. In Windows NT it ran on top of NBT (NetBIOS
over TCP/IP), which used the famous ports 137, 138 (UDP) and 139 (TCP). In
Windows 2000, Microsoft added the possibility to run SMB directly over TCP
IP, without the extra layer of NBT. For this they use TCP port 445.
When Windows 2000 uses port 445, and when it uses 139
In Windows 2000 you have the possibility to disable NetBIOS over TCP/IP. You
do this by right-clicking on My Network Places and selecting Properties.
Then right-click on the appropriate Local Area Connection icon, and select
Properties. Next, click on Internet Protocol (TCP/IP) and Properties. Now
click Advanced, and select the WINS tab. There you can enable or disable
NetBIOS over TCP/IP. The changes take effect immediately without rebooting
the system.
From now on I will refer to the "client" as the computer from where you map
drives and other shared resources, and to the "server" as the computer with
resources that are shared. I will also refer to NetBIOS over TCP/IP only as
NBT.
If the client has NBT enabled, it will always try to connect to the server
at both port 139 and 445 simultaneously. If there is a response from port
445, it sends a RST to port 139, and continues it's SMB session to port 445
only. If there is no response from port 445, it will continue it's SMB
session to port 139 only, if it gets a response from there. If there is no
response from either of the ports, the session will fail completely.
If the client has NBT disabled, it will always try to connect to the server
at port 445 only. If the server answers on port 445, the session will be
established and continue on that port. If it doesn't answer, the session
will fail completely. This is the case if the server for example runs
Windows NT 4.0.
If the server has NBT enabled, it listens on UDP ports 137, 138, and on TCP
ports 139, 445. If it has NBT disabled, it listens on TCP port 445 only.
Null sessions
In the case of Windows NT 4.0, null sessions always used port 139. A tool
like winfo can give you a lot of information on Windows NT 4.0, but how
does this work on Windows 2000? The answer is quite simple - it works
according to the above description. To sum things up: if you run winfo from
Windows 2000, and have NBT enabled, everything will normally work fine
whatever the target system is. If you want it to never use anything but
port 445, disable NBT.
et quoi faire pour s'en
débarasser? Meric d'avance.
Passer à Linux ou Désactiver le partage de fichiers sur la connexion
internet
--
@+
Doug
[Pourquoi t'es qui, qu'est ce que tu fais par où ?]
-- Pour me contacter enlever no-spam (2X) --
Le Samedi 17 Avril 2004 16:17, Raybones s'est exprimé de la sorte sur fr.reseaux.telecoms.adsl :
Bonjour,
En faisant un netstat régulierement sur ma machine j'ai TOUT LE TEMPS ceci:
Proto Adresse locale Adresse distante Etat TCP :445 @_IP_DISTANTE:4466 ESTABLISHED
Quelqu'un pourrait m'expliquer pourquoi?
En gros quelqu'un utilise le partage de fichiers pour se connecter sur votre ordinateur. Le port 445 permet la connexion SMB sur TCP.
2 Solutions : - Passer à Linux (je pouvais pas la manquer celle là) - Désactiver le partage de fichier sur la connxion internet (Je vous laisse farfouiller dans les menus)
Sinon lire ceci :
The use of TCP port 445 in Windows 2000
- Arne Vidstrom,
Summary
Among the new ports used by Windows 2000 is TCP port 445. In this paper we will look at what this port is used for, and how it relates to the security in Windows 2000.
SMB over TCP vs. SMB over NBT
The SMB (Server Message Block) protocol is used among other things for file sharing in Windows NT / 2000. In Windows NT it ran on top of NBT (NetBIOS over TCP/IP), which used the famous ports 137, 138 (UDP) and 139 (TCP). In Windows 2000, Microsoft added the possibility to run SMB directly over TCP IP, without the extra layer of NBT. For this they use TCP port 445.
When Windows 2000 uses port 445, and when it uses 139
In Windows 2000 you have the possibility to disable NetBIOS over TCP/IP. You do this by right-clicking on My Network Places and selecting Properties. Then right-click on the appropriate Local Area Connection icon, and select Properties. Next, click on Internet Protocol (TCP/IP) and Properties. Now click Advanced, and select the WINS tab. There you can enable or disable NetBIOS over TCP/IP. The changes take effect immediately without rebooting the system.
From now on I will refer to the "client" as the computer from where you map drives and other shared resources, and to the "server" as the computer with resources that are shared. I will also refer to NetBIOS over TCP/IP only as NBT.
If the client has NBT enabled, it will always try to connect to the server at both port 139 and 445 simultaneously. If there is a response from port 445, it sends a RST to port 139, and continues it's SMB session to port 445 only. If there is no response from port 445, it will continue it's SMB session to port 139 only, if it gets a response from there. If there is no response from either of the ports, the session will fail completely.
If the client has NBT disabled, it will always try to connect to the server at port 445 only. If the server answers on port 445, the session will be established and continue on that port. If it doesn't answer, the session will fail completely. This is the case if the server for example runs Windows NT 4.0.
If the server has NBT enabled, it listens on UDP ports 137, 138, and on TCP ports 139, 445. If it has NBT disabled, it listens on TCP port 445 only.
Null sessions
In the case of Windows NT 4.0, null sessions always used port 139. A tool like winfo can give you a lot of information on Windows NT 4.0, but how does this work on Windows 2000? The answer is quite simple - it works according to the above description. To sum things up: if you run winfo from Windows 2000, and have NBT enabled, everything will normally work fine whatever the target system is. If you want it to never use anything but port 445, disable NBT.
et quoi faire pour s'en débarasser? Meric d'avance.
Passer à Linux ou Désactiver le partage de fichiers sur la connexion internet
-- @+ Doug [Pourquoi t'es qui, qu'est ce que tu fais par où ?] -- Pour me contacter enlever no-spam (2X) --
Raybones
"doug" a écrit dans le message de news:c60l2r$n31$
Le Samedi 17 Avril 2004 16:17, Raybones s'est exprimé de la sorte sur fr.reseaux.telecoms.adsl :
Bonjour,
En faisant un netstat régulierement sur ma machine j'ai TOUT LE TEMPS ceci:
Proto Adresse locale Adresse distante Etat TCP :445 @_IP_DISTANTE:4466 ESTABLISHED
Quelqu'un pourrait m'expliquer pourquoi?
En gros quelqu'un utilise le partage de fichiers pour se connecter sur votre
ordinateur. Le port 445 permet la connexion SMB sur TCP.
2 Solutions : - Passer à Linux (je pouvais pas la manquer celle là) - Désactiver le partage de fichier sur la connxion internet (Je vous laisse
farfouiller dans les menus)
Ok merci bcp a tous...
--- Raybones "I float like a butterfly and sting like a bee. Your hands can't hit what your eyes can't see!"
"doug" <no-spam.doug.letough@free.fr.no-spam> a écrit dans le message de
news:c60l2r$n31$1@news-reader5.wanadoo.fr...
Le Samedi 17 Avril 2004 16:17, Raybones s'est exprimé de la sorte sur
fr.reseaux.telecoms.adsl :
Bonjour,
En faisant un netstat régulierement sur ma machine j'ai TOUT LE TEMPS
ceci:
Proto Adresse locale Adresse distante Etat
TCP Mon_@_IP:445 @_IP_DISTANTE:4466 ESTABLISHED
Quelqu'un pourrait m'expliquer pourquoi?
En gros quelqu'un utilise le partage de fichiers pour se connecter sur
votre
ordinateur. Le port 445 permet la connexion SMB sur TCP.
2 Solutions :
- Passer à Linux (je pouvais pas la manquer celle là)
- Désactiver le partage de fichier sur la connxion internet (Je vous
laisse
farfouiller dans les menus)
Ok merci bcp a tous...
---
Raybones
"I float like a butterfly and sting like a bee. Your hands can't hit what
your eyes can't see!"
