J'ai de de nombreuses alertes de mon modem/routeur depuis plus d'une semaine
concernant l'IP Spoofing.
Ma configuration :
1 modem/routeur SMC 7404BRA
2 postes sous win2OOO
1 poste sous Mandrake 9.0
Le firewall du routeur a une option intrusion detection avec alerte par
mail. Jusqu'à présent je recevais très peu d'alerte mais depuis un peu plus
d'une semaine je recoit des mails de ce type de mon firewall :
**********************************
Dear User
Your router has detected and protected you against an attempt to gain access
to your network. This may have been an attempted hacker intrusion, or
perhaps just your Internet Service Provider doing routine network
maintenance.
Most of these network probes are nothing to be worried about - these types
of random probes should NOT be reported, but you may want to report
repeated intrusions attempts. Save this email for comparison with future
alert messages.
Your router Alert Information
Visit the UXN Combat Spam web site to get more detailed information about
the intruder - http://combat.uxn.com/
1. Type the intruder's IP address into the IP WHOIS search engine
2. Click the Query Button
3. Detailed network and administration information will be displayed
**********************************
Dans chaque mail l'adresse de destination est mon adresse IP (qui change
régulièrement). Seul le port change a chaque fois.
Au début j'ai pensé que c'étais juste quelqu'un qui avait lancé un scan des
ports sur mon IP. Mais étant donné que même quand je change d'IP en me
reconnectant j'ai toujours le même problème ca ne doit pas etre ca.
Et puis j'ai remarqué que la source (oui je suis parfois long a la détente)
est 127.0.0.1, 80 ce qui voudrait dire que cela vient de chez moi ?
Alors j'ai pensé a un spyware mais le soucis c'est que quelque soit la
machine allumée j'ai toujours les mêmes alertes. Que ce soit sous windows
ou sous linux.
Sous windows j'ai bloqué tout ce qui sort avec Zone Alarm Pro, ce qui n'a
rien changé. Sous linux (avec les autres postes éteind) le spoofing
continue toujours.
Est-ce que quelqu'un pourrait m'aider ? Est-ce que ca vient de l'extérieur
ou de l'intérieur ?
PS : pendant que j'ai écrit ce message encore 28 messages d'alerte....
Merci de votre aide
--
stilgar
retirer ENLEVER.COM du mail pour m'écrire
Et puis j'ai remarqué que la source (oui je suis parfois long a la détente) est 127.0.0.1, 80 ce qui voudrait dire que cela vient de chez moi
C'est justement pour celà que tu une alerte de spoofing (= usurpation), quelqu'un attaque ton interface externe en essayant de se faire passer pour la machine elle même (même pas pour un machine interne au réseau), ce qu'il faudrait, c'est savoir ce qu'il y a dans les paquets eux mêmes.
Merci de votre aide
Pas de quoi, je n'ai p as un niveau fabuleux, mais si ça peut aider...
-- Landry MINOZA supprimer _NOSPAM_ pour répondre.
Le Mercredi 8 Octobre 2003 16:24, stilgar à écrit:
Et puis j'ai remarqué que la source (oui je suis parfois long a la
détente) est 127.0.0.1, 80 ce qui voudrait dire que cela vient de chez moi
C'est justement pour celà que tu une alerte de spoofing (= usurpation),
quelqu'un attaque ton interface externe en essayant de se faire passer pour
la machine elle même (même pas pour un machine interne au réseau), ce qu'il
faudrait, c'est savoir ce qu'il y a dans les paquets eux mêmes.
Merci de votre aide
Pas de quoi, je n'ai p as un niveau fabuleux, mais si ça peut aider...
--
Landry MINOZA
supprimer _NOSPAM_ pour répondre.
Et puis j'ai remarqué que la source (oui je suis parfois long a la détente) est 127.0.0.1, 80 ce qui voudrait dire que cela vient de chez moi
C'est justement pour celà que tu une alerte de spoofing (= usurpation), quelqu'un attaque ton interface externe en essayant de se faire passer pour la machine elle même (même pas pour un machine interne au réseau), ce qu'il faudrait, c'est savoir ce qu'il y a dans les paquets eux mêmes.
Merci de votre aide
Pas de quoi, je n'ai p as un niveau fabuleux, mais si ça peut aider...
-- Landry MINOZA supprimer _NOSPAM_ pour répondre.
Bertrand Masius
Bonjour,
Le 08 Oct 2003 14:24:12 GMT, stilgar
Bonjour,
J'ai de de nombreuses alertes de mon modem/routeur depuis plus d'une semaine concernant l'IP Spoofing.
C'est le 12385ème message sur le thème de "attaque sur le port 80 depuis 127.0.0.1" depuis quelques semaines. Je n'ai pas ce problème, mais je sais que beaucoup l'ont. Je sais aussi que poser une nouvelle fois la même question est inutile. Merci de consulter les archives toutes récentes, et google est ton ami.
Désolé si je parais un peu rude, mais visiblement tu n'as pas lu ce NG pendant quelques semaines, comme le conseille le guide de bonne conduite sur usenet.
Bonne chance dans ta recherche. -- "Ce que l'on conçoit bien s'énonce clairement, Et les mots pour le dire arrivent aisément."
(Nicolas Boileau, l'Art poétique)
Bonjour,
Le 08 Oct 2003 14:24:12 GMT, stilgar
Bonjour,
J'ai de de nombreuses alertes de mon modem/routeur depuis plus d'une semaine
concernant l'IP Spoofing.
C'est le 12385ème message sur le thème de "attaque sur le port 80 depuis
127.0.0.1" depuis quelques semaines.
Je n'ai pas ce problème, mais je sais que beaucoup l'ont. Je sais aussi
que poser une nouvelle fois la même question est inutile. Merci de
consulter les archives toutes récentes, et google est ton ami.
Désolé si je parais un peu rude, mais visiblement tu n'as pas lu ce NG
pendant quelques semaines, comme le conseille le guide de bonne conduite
sur usenet.
Bonne chance dans ta recherche.
--
"Ce que l'on conçoit bien s'énonce clairement,
Et les mots pour le dire arrivent aisément."
C'est le 12385ème message sur le thème de "attaque sur le port 80 depuis 127.0.0.1" depuis quelques semaines. Je n'ai pas ce problème, mais je sais que beaucoup l'ont. Je sais aussi que poser une nouvelle fois la même question est inutile. Merci de consulter les archives toutes récentes, et google est ton ami.
Désolé si je parais un peu rude, mais visiblement tu n'as pas lu ce NG pendant quelques semaines, comme le conseille le guide de bonne conduite sur usenet.
Bonne chance dans ta recherche. -- "Ce que l'on conçoit bien s'énonce clairement, Et les mots pour le dire arrivent aisément."
(Nicolas Boileau, l'Art poétique)
stilgar
C'est le 12385ème message sur le thème de "attaque sur le port 80 depuis 127.0.0.1" depuis quelques semaines. Je n'ai pas ce problème, mais je sais que beaucoup l'ont. Je sais aussi que poser une nouvelle fois la même question est inutile. Merci de consulter les archives toutes récentes, et google est ton ami.
J'ai compris le concept, je sais que mon firewall me protège. J'ai peut etre mal formulé ma question comment faire pour faire cesser l'IP Spoofing ? ou comment faire pour trouver l'IP d'origine ? et ca je ne l'ai pas trouvé sur Google.
Ou alors j'ai juste a attendre que ca passe ?
-- stilgar retirer ENLEVER.COM du mail pour m'écrire
C'est le 12385ème message sur le thème de "attaque sur le port 80 depuis
127.0.0.1" depuis quelques semaines.
Je n'ai pas ce problème, mais je sais que beaucoup l'ont. Je sais aussi
que poser une nouvelle fois la même question est inutile. Merci de
consulter les archives toutes récentes, et google est ton ami.
J'ai compris le concept, je sais que mon firewall me protège. J'ai peut etre
mal formulé ma question comment faire pour faire cesser l'IP Spoofing ? ou
comment faire pour trouver l'IP d'origine ? et ca je ne l'ai pas trouvé sur
Google.
Ou alors j'ai juste a attendre que ca passe ?
--
stilgar
retirer ENLEVER.COM du mail pour m'écrire
C'est le 12385ème message sur le thème de "attaque sur le port 80 depuis 127.0.0.1" depuis quelques semaines. Je n'ai pas ce problème, mais je sais que beaucoup l'ont. Je sais aussi que poser une nouvelle fois la même question est inutile. Merci de consulter les archives toutes récentes, et google est ton ami.
J'ai compris le concept, je sais que mon firewall me protège. J'ai peut etre mal formulé ma question comment faire pour faire cesser l'IP Spoofing ? ou comment faire pour trouver l'IP d'origine ? et ca je ne l'ai pas trouvé sur Google.
Ou alors j'ai juste a attendre que ca passe ?
-- stilgar retirer ENLEVER.COM du mail pour m'écrire
Thierry
Bonjour,
stilgar a écrit :
J'ai compris le concept, je sais que mon firewall me protège. J'ai peut etre mal formulé ma question comment faire pour faire cesser l'IP Spoofing ?
Demander a ton FAI de ne pas transmettre les trames non routables.
ou comment faire pour trouver l'IP d'origine ? et ca je ne l'ai pas trouvé sur Google.
Pas possible je pense.
Ou alors j'ai juste a attendre que ca passe ?
Aussi : du moment que ton fw filtre, tu n'as rien a craindre.
-- "MOI JE VEUX JOUER DE L'HELICON (PON PON PON PON)"
Bonjour,
stilgar a écrit :
J'ai compris le concept, je sais que mon firewall me protège. J'ai
peut etre mal formulé ma question comment faire pour faire cesser l'IP
Spoofing ?
Demander a ton FAI de ne pas transmettre les trames non routables.
ou comment faire pour trouver l'IP d'origine ? et ca je ne
l'ai pas trouvé sur Google.
Pas possible je pense.
Ou alors j'ai juste a attendre que ca passe ?
Aussi : du moment que ton fw filtre, tu n'as rien a craindre.
--
"MOI JE VEUX JOUER DE L'HELICON (PON PON PON PON)"
