Logs Kério tous les 3mn *exactement* (???), toute cette journée:
Blocked: Ent TCP, 10.0.1.2:5****->localhost:4662, Owner: no owner
(5**** = ports > 50000)
10.0.1.2 appartient à l'Iana (10.0.0.0/8) et 4662 = eDonkey
Ces adresses ne peuvent être utilisées que pour et dans un réseau local,
non ?
Qui peut m'apporter ses lumières ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Eric Belhomme
Steph wrote in news:3fa68a53$0$13297$:
10.0.1.2 appartient à l'Iana (10.0.0.0/8) et 4662 = eDonkey Ces adresses ne peuvent être utilisées que pour et dans un réseau local, non ? Qui peut m'apporter ses lumières ?
sauf erreur de ma part, le reseau 10.0.0.0/8 est une classe privé non
routable sur internet (cf RFC1918) d'ailleurs ce fait justifie à lui seul que ton fw droppe le paquet !
ces paquets sont probablement forgés de toute pieces... par un attaquant... Peut etre pour exploiter une faille sur les clients edonkey ?
-- Rico (RicoSpirit) - http://www.ricospirit.net Pour en savoir autant que moi sur INN (c.a.d. pas grand chose !) : http://www.ricospirit.net/inn/
Steph <steph@lavillerose.com.adressebidon.invalid> wrote in
news:3fa68a53$0$13297$626a54ce@news.free.fr:
10.0.1.2 appartient à l'Iana (10.0.0.0/8) et 4662 = eDonkey
Ces adresses ne peuvent être utilisées que pour et dans un réseau local,
non ?
Qui peut m'apporter ses lumières ?
sauf erreur de ma part, le reseau 10.0.0.0/8 est une classe privé non
routable sur internet (cf RFC1918) d'ailleurs ce fait justifie à lui seul
que ton fw droppe le paquet !
ces paquets sont probablement forgés de toute pieces... par un attaquant...
Peut etre pour exploiter une faille sur les clients edonkey ?
--
Rico (RicoSpirit) - http://www.ricospirit.net
Pour en savoir autant que moi sur INN (c.a.d. pas grand chose !) :
http://www.ricospirit.net/inn/
10.0.1.2 appartient à l'Iana (10.0.0.0/8) et 4662 = eDonkey Ces adresses ne peuvent être utilisées que pour et dans un réseau local, non ? Qui peut m'apporter ses lumières ?
sauf erreur de ma part, le reseau 10.0.0.0/8 est une classe privé non
routable sur internet (cf RFC1918) d'ailleurs ce fait justifie à lui seul que ton fw droppe le paquet !
ces paquets sont probablement forgés de toute pieces... par un attaquant... Peut etre pour exploiter une faille sur les clients edonkey ?
-- Rico (RicoSpirit) - http://www.ricospirit.net Pour en savoir autant que moi sur INN (c.a.d. pas grand chose !) : http://www.ricospirit.net/inn/
HelloMan
Eric Belhomme wrote:
Steph wrote in news:3fa68a53$0$13297$:
10.0.1.2 appartient à l'Iana (10.0.0.0/8) et 4662 = eDonkey Ces adresses ne peuvent être utilisées que pour et dans un réseau local, non ? Qui peut m'apporter ses lumières ?
sauf erreur de ma part, le reseau 10.0.0.0/8 est une classe privé non
routable sur internet (cf RFC1918) d'ailleurs ce fait justifie à lui seul que ton fw droppe le paquet !
ces paquets sont probablement forgés de toute pieces... par un attaquant... Peut etre pour exploiter une faille sur les clients edonkey ?
Exactement, il se peut également qu'il s'agisse d'un Snat mal configuré non intentionnellement ou intentionnellement, quand au contenu du paquet, il est peut être destiné à exploiter des failles de eDonkey; ou tout simplement à voir quels fichiers tu peux avoir à partager
Eric Belhomme wrote:
Steph <steph@lavillerose.com.adressebidon.invalid> wrote in
news:3fa68a53$0$13297$626a54ce@news.free.fr:
10.0.1.2 appartient à l'Iana (10.0.0.0/8) et 4662 = eDonkey
Ces adresses ne peuvent être utilisées que pour et dans un réseau local,
non ?
Qui peut m'apporter ses lumières ?
sauf erreur de ma part, le reseau 10.0.0.0/8 est une classe privé non
routable sur internet (cf RFC1918) d'ailleurs ce fait justifie à lui seul
que ton fw droppe le paquet !
ces paquets sont probablement forgés de toute pieces... par un
attaquant... Peut etre pour exploiter une faille sur les clients edonkey ?
Exactement, il se peut également qu'il s'agisse d'un Snat mal configuré non
intentionnellement ou intentionnellement, quand au contenu du paquet, il
est peut être destiné à exploiter des failles de eDonkey; ou tout
simplement à voir quels fichiers tu peux avoir à partager
10.0.1.2 appartient à l'Iana (10.0.0.0/8) et 4662 = eDonkey Ces adresses ne peuvent être utilisées que pour et dans un réseau local, non ? Qui peut m'apporter ses lumières ?
sauf erreur de ma part, le reseau 10.0.0.0/8 est une classe privé non
routable sur internet (cf RFC1918) d'ailleurs ce fait justifie à lui seul que ton fw droppe le paquet !
ces paquets sont probablement forgés de toute pieces... par un attaquant... Peut etre pour exploiter une faille sur les clients edonkey ?
Exactement, il se peut également qu'il s'agisse d'un Snat mal configuré non intentionnellement ou intentionnellement, quand au contenu du paquet, il est peut être destiné à exploiter des failles de eDonkey; ou tout simplement à voir quels fichiers tu peux avoir à partager
Eric Razny
"HelloMan" a écrit dans le message de news:3fa7eb40$0$6982$
Eric Belhomme wrote:
Exactement, il se peut également qu'il s'agisse d'un Snat mal configuré non
intentionnellement ou intentionnellement, quand au contenu du paquet, il est peut être destiné à exploiter des failles de eDonkey; ou tout simplement à voir quels fichiers tu peux avoir à partager
Par curiosité, tu balances des 10.x.x.x intentionnellement sur le net pour quelle raison?
Parce que quand un traceroute vers la machine SFR (pour ne pas la nommer :) ) qui NATe ma connexion GPRS me renvoie ce genre de paquet je pense à un admin un peu somnolent plus qu'à une volonté délibérée? [1]
A la rigueur quelques minutes pour du debug façon gorêt, et encore...
Sinon sans rire, je suis preneur de l'info.
Eric.
PS : complètement HS mais si vous savez si un des trois opérateurs mobile français laisse passer l'UDP (dans les deux sens, avec NAT) autre que sur le 53, faite moi signe.
"HelloMan" <aaa@bbb.ccc> a écrit dans le message de
news:3fa7eb40$0$6982$7a628cd7@news.club-internet.fr...
Eric Belhomme wrote:
Exactement, il se peut également qu'il s'agisse d'un Snat mal configuré
non
intentionnellement ou intentionnellement, quand au contenu du paquet, il
est peut être destiné à exploiter des failles de eDonkey; ou tout
simplement à voir quels fichiers tu peux avoir à partager
Par curiosité, tu balances des 10.x.x.x intentionnellement sur le net pour
quelle raison?
Parce que quand un traceroute vers la machine SFR (pour ne pas la nommer
:) ) qui NATe ma connexion GPRS me renvoie ce genre de paquet je pense à un
admin un peu somnolent plus qu'à une volonté délibérée? [1]
A la rigueur quelques minutes pour du debug façon gorêt, et encore...
Sinon sans rire, je suis preneur de l'info.
Eric.
PS : complètement HS mais si vous savez si un des trois opérateurs mobile
français laisse passer l'UDP (dans les deux sens, avec NAT) autre que sur le
53, faite moi signe.
"HelloMan" a écrit dans le message de news:3fa7eb40$0$6982$
Eric Belhomme wrote:
Exactement, il se peut également qu'il s'agisse d'un Snat mal configuré non
intentionnellement ou intentionnellement, quand au contenu du paquet, il est peut être destiné à exploiter des failles de eDonkey; ou tout simplement à voir quels fichiers tu peux avoir à partager
Par curiosité, tu balances des 10.x.x.x intentionnellement sur le net pour quelle raison?
Parce que quand un traceroute vers la machine SFR (pour ne pas la nommer :) ) qui NATe ma connexion GPRS me renvoie ce genre de paquet je pense à un admin un peu somnolent plus qu'à une volonté délibérée? [1]
A la rigueur quelques minutes pour du debug façon gorêt, et encore...
Sinon sans rire, je suis preneur de l'info.
Eric.
PS : complètement HS mais si vous savez si un des trois opérateurs mobile français laisse passer l'UDP (dans les deux sens, avec NAT) autre que sur le 53, faite moi signe.
HelloMan
Par curiosité, tu balances des 10.x.x.x intentionnellement sur le net pour quelle raison?
Personnellement, moi, jamais je ne fais ça, mais en quelques secondes, on peu configurer Iptables pour que le Snat soit la valeur que tu veux (1.2.3.4 par exemple) il en va de même pour la plupart des firewalls windows. C'est ainsi que j'ai vérifié la validité de mon RFC 1918 pour Iptables/shorewall, grâce à un copain qui utilisait un poste windows avec je ne sais plus quel firewall, mais qui était configuré pour un Snat à 10.X.Y.Z.
Parce que quand un traceroute vers la machine SFR (pour ne pas la nommer :) ) qui NATe ma connexion GPRS me renvoie ce genre de paquet je pense à :un admin un peu somnolent plus qu'à une volonté délibérée? [1]
Je pense plutôt à ça effectivement, pour ne prendre que l'exemple de Shorewall sur linux, pour un simple utilisateur lambda (je ne parle pas des admins réseaux), qui a pensé à modifier sa config ??
A la rigueur quelques minutes pour du debug façon gorêt, et encore...
ça se fait en 30 secondes effectivement.
Par curiosité, tu balances des 10.x.x.x intentionnellement sur le net pour
quelle raison?
Personnellement, moi, jamais je ne fais ça, mais en quelques secondes, on
peu configurer Iptables pour que le Snat soit la valeur que tu veux
(1.2.3.4 par exemple) il en va de même pour la plupart des firewalls
windows. C'est ainsi que j'ai vérifié la validité de mon RFC 1918 pour
Iptables/shorewall, grâce à un copain qui utilisait un poste windows avec
je ne sais plus quel firewall, mais qui était configuré pour un Snat à
10.X.Y.Z.
Parce que quand un traceroute vers la machine SFR (pour ne pas la nommer
:) ) qui NATe ma connexion GPRS me renvoie ce genre de paquet je pense à
:un
admin un peu somnolent plus qu'à une volonté délibérée? [1]
Je pense plutôt à ça effectivement, pour ne prendre que l'exemple de
Shorewall sur linux, pour un simple utilisateur lambda (je ne parle pas des
admins réseaux), qui a pensé à modifier sa config ??
A la rigueur quelques minutes pour du debug façon gorêt, et encore...
Par curiosité, tu balances des 10.x.x.x intentionnellement sur le net pour quelle raison?
Personnellement, moi, jamais je ne fais ça, mais en quelques secondes, on peu configurer Iptables pour que le Snat soit la valeur que tu veux (1.2.3.4 par exemple) il en va de même pour la plupart des firewalls windows. C'est ainsi que j'ai vérifié la validité de mon RFC 1918 pour Iptables/shorewall, grâce à un copain qui utilisait un poste windows avec je ne sais plus quel firewall, mais qui était configuré pour un Snat à 10.X.Y.Z.
Parce que quand un traceroute vers la machine SFR (pour ne pas la nommer :) ) qui NATe ma connexion GPRS me renvoie ce genre de paquet je pense à :un admin un peu somnolent plus qu'à une volonté délibérée? [1]
Je pense plutôt à ça effectivement, pour ne prendre que l'exemple de Shorewall sur linux, pour un simple utilisateur lambda (je ne parle pas des admins réseaux), qui a pensé à modifier sa config ??
A la rigueur quelques minutes pour du debug façon gorêt, et encore...
ça se fait en 30 secondes effectivement.
T0t0
"Eric Razny" wrote in message news:3fa809ca$0$2773$
Parce que quand un traceroute vers la machine SFR (pour ne pas la nommer :) ) qui NATe ma connexion GPRS me renvoie ce genre de paquet je pense à un admin un peu somnolent plus qu'à une volonté délibérée? [1]
J'ai pas trouvé le [1], snif. Sinon, le fait qu'un traceroute te renvoit une adresse RFC 1918 n'est pas déconnant à mon avis. Le fait que des ISP utilisent des adresses privées sur leur réseaux locaux me semble plutôt une bonne chose pour l'économie d'adresses. Après, qu'ils laissent passer les ICMP time exceeded qui donnent des infos sur leur réseau est leur affaire :-)
PS : complètement HS mais si vous savez si un des trois opérateurs mobile français laisse passer l'UDP (dans les deux sens, avec NAT) autre que sur le 53, faite moi signe.
Je crois qu'Orange ne filtre rien. Je vais me renseigner.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"Eric Razny" <trash2@razny.net> wrote in message
news:3fa809ca$0$2773$626a54ce@news.free.fr
Parce que quand un traceroute vers la machine SFR (pour ne pas la nommer
:) ) qui NATe ma connexion GPRS me renvoie ce genre de paquet je pense à un
admin un peu somnolent plus qu'à une volonté délibérée? [1]
J'ai pas trouvé le [1], snif.
Sinon, le fait qu'un traceroute te renvoit une adresse RFC 1918 n'est
pas déconnant à mon avis.
Le fait que des ISP utilisent des adresses privées sur leur réseaux
locaux me semble plutôt une bonne chose pour l'économie d'adresses.
Après, qu'ils laissent passer les ICMP time exceeded qui donnent des
infos sur leur réseau est leur affaire :-)
PS : complètement HS mais si vous savez si un des trois opérateurs mobile
français laisse passer l'UDP (dans les deux sens, avec NAT) autre que sur le
53, faite moi signe.
Je crois qu'Orange ne filtre rien. Je vais me renseigner.
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"Eric Razny" wrote in message news:3fa809ca$0$2773$
Parce que quand un traceroute vers la machine SFR (pour ne pas la nommer :) ) qui NATe ma connexion GPRS me renvoie ce genre de paquet je pense à un admin un peu somnolent plus qu'à une volonté délibérée? [1]
J'ai pas trouvé le [1], snif. Sinon, le fait qu'un traceroute te renvoit une adresse RFC 1918 n'est pas déconnant à mon avis. Le fait que des ISP utilisent des adresses privées sur leur réseaux locaux me semble plutôt une bonne chose pour l'économie d'adresses. Après, qu'ils laissent passer les ICMP time exceeded qui donnent des infos sur leur réseau est leur affaire :-)
PS : complètement HS mais si vous savez si un des trois opérateurs mobile français laisse passer l'UDP (dans les deux sens, avec NAT) autre que sur le 53, faite moi signe.
Je crois qu'Orange ne filtre rien. Je vais me renseigner.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
Eric Razny
"T0t0" a écrit dans le message de
J'ai pas trouvé le [1], snif.
Désolé, j'ai oublié de l'enlever avec des trace un peu trop évidente de firewalking, et par les temps qui courrent... :) Disons un "gros" qui configure ses FW avec les pieds :) (ou alors qui n'a rien à cacher, ou qui se fait chier à présenter une infrastructure différente de la réelle, mais celui là je ne crois pas trop!).
Le fait que des ISP utilisent des adresses privées sur leur réseaux locaux me semble plutôt une bonne chose pour l'économie d'adresses.
Oui (et on n'a pas encore de SarkoLoi pour interdire les NAT!)
Après, qu'ils laissent passer les ICMP time exceeded qui donnent des infos sur leur réseau est leur affaire :-)
Même avec le smiley ça me fait peur quand il s'agit de telcos sensées maitriser tout ça [1]
PS : complètement HS mais si vous savez si un des trois opérateurs mobile
français laisse passer l'UDP (dans les deux sens, avec NAT) autre que sur le
53, faite moi signe. Je crois qu'Orange ne filtre rien. Je vais me renseigner.
Merci
Eric.
[1] Comme ça il y a une correspondance cette fois : c'est comme une banque, que je ne nommerais pas (hum...), qui présente *encore* un mauvais certif x509 sur www.logitelnet.fr ... Même si ce n'est pas critique pour certains ça donne vachement confiance au reste...
"T0t0" <bibi@antionline.org> a écrit dans le message de
J'ai pas trouvé le [1], snif.
Désolé, j'ai oublié de l'enlever avec des trace un peu trop évidente de
firewalking, et par les temps qui courrent... :)
Disons un "gros" qui configure ses FW avec les pieds :) (ou alors qui n'a
rien à cacher, ou qui se fait chier à présenter une infrastructure
différente de la réelle, mais celui là je ne crois pas trop!).
Le fait que des ISP utilisent des adresses privées sur leur réseaux
locaux me semble plutôt une bonne chose pour l'économie d'adresses.
Oui (et on n'a pas encore de SarkoLoi pour interdire les NAT!)
Après, qu'ils laissent passer les ICMP time exceeded qui donnent des
infos sur leur réseau est leur affaire :-)
Même avec le smiley ça me fait peur quand il s'agit de telcos sensées
maitriser tout ça [1]
PS : complètement HS mais si vous savez si un des trois opérateurs
mobile
français laisse passer l'UDP (dans les deux sens, avec NAT) autre que
sur le
53, faite moi signe.
Je crois qu'Orange ne filtre rien. Je vais me renseigner.
Merci
Eric.
[1] Comme ça il y a une correspondance cette fois :
c'est comme une banque, que je ne nommerais pas (hum...), qui présente
*encore* un mauvais certif x509 sur www.logitelnet.fr ...
Même si ce n'est pas critique pour certains ça donne vachement confiance au
reste...
Désolé, j'ai oublié de l'enlever avec des trace un peu trop évidente de firewalking, et par les temps qui courrent... :) Disons un "gros" qui configure ses FW avec les pieds :) (ou alors qui n'a rien à cacher, ou qui se fait chier à présenter une infrastructure différente de la réelle, mais celui là je ne crois pas trop!).
Le fait que des ISP utilisent des adresses privées sur leur réseaux locaux me semble plutôt une bonne chose pour l'économie d'adresses.
Oui (et on n'a pas encore de SarkoLoi pour interdire les NAT!)
Après, qu'ils laissent passer les ICMP time exceeded qui donnent des infos sur leur réseau est leur affaire :-)
Même avec le smiley ça me fait peur quand il s'agit de telcos sensées maitriser tout ça [1]
PS : complètement HS mais si vous savez si un des trois opérateurs mobile
français laisse passer l'UDP (dans les deux sens, avec NAT) autre que sur le
53, faite moi signe. Je crois qu'Orange ne filtre rien. Je vais me renseigner.
Merci
Eric.
[1] Comme ça il y a une correspondance cette fois : c'est comme une banque, que je ne nommerais pas (hum...), qui présente *encore* un mauvais certif x509 sur www.logitelnet.fr ... Même si ce n'est pas critique pour certains ça donne vachement confiance au reste...
T0t0
"Eric Razny" wrote in message news:3fa8f782$0$27035$
Après, qu'ils laissent passer les ICMP time exceeded qui donnent des infos sur leur réseau est leur affaire :-) Même avec le smiley ça me fait peur quand il s'agit de telcos sensées
maitriser tout ça [1]
Oui, mais bon, savoir que Free utilise du 192.168/16 en local ne me dérange pas trop. Et puis de toute façon ces machines ne seront pas directement accessibles. S'ils bloquent les ICMP time exceeded, traceroute va tout se suite perdre pas mal de son intérêt :-) Dans ce cadre, je trouve que l'admin s'en sort pas mal.
Pour l'exemple de la banque, c'est plus effrayant...
Je crois qu'Orange ne filtre rien. Je vais me renseigner. Merci
C'est raté. Seul un petit nombre de ports sont autorisés. HTTP, DNS, FTP, etc. Des ports liés à l'utilisation web quoi. Je dois pouvoir avoir la liste plus précise si tu veux.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"Eric Razny" <trash2@razny.net> wrote in message
news:3fa8f782$0$27035$626a54ce@news.free.fr
Après, qu'ils laissent passer les ICMP time exceeded qui donnent des
infos sur leur réseau est leur affaire :-)
Même avec le smiley ça me fait peur quand il s'agit de telcos sensées
maitriser tout ça [1]
Oui, mais bon, savoir que Free utilise du 192.168/16 en local ne me
dérange pas trop. Et puis de toute façon ces machines ne seront pas
directement accessibles.
S'ils bloquent les ICMP time exceeded, traceroute va tout se suite
perdre pas mal de son intérêt :-)
Dans ce cadre, je trouve que l'admin s'en sort pas mal.
Pour l'exemple de la banque, c'est plus effrayant...
Je crois qu'Orange ne filtre rien. Je vais me renseigner.
Merci
C'est raté. Seul un petit nombre de ports sont autorisés.
HTTP, DNS, FTP, etc.
Des ports liés à l'utilisation web quoi.
Je dois pouvoir avoir la liste plus précise si tu veux.
--
Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
"Eric Razny" wrote in message news:3fa8f782$0$27035$
Après, qu'ils laissent passer les ICMP time exceeded qui donnent des infos sur leur réseau est leur affaire :-) Même avec le smiley ça me fait peur quand il s'agit de telcos sensées
maitriser tout ça [1]
Oui, mais bon, savoir que Free utilise du 192.168/16 en local ne me dérange pas trop. Et puis de toute façon ces machines ne seront pas directement accessibles. S'ils bloquent les ICMP time exceeded, traceroute va tout se suite perdre pas mal de son intérêt :-) Dans ce cadre, je trouve que l'admin s'en sort pas mal.
Pour l'exemple de la banque, c'est plus effrayant...
Je crois qu'Orange ne filtre rien. Je vais me renseigner. Merci
C'est raté. Seul un petit nombre de ports sont autorisés. HTTP, DNS, FTP, etc. Des ports liés à l'utilisation web quoi. Je dois pouvoir avoir la liste plus précise si tu veux.
-- Posted via Mailgate.ORG Server - http://www.Mailgate.ORG
