j'ai un truc que je ne maitrise pas...
une connexion entrante sur le port 771, protocole icmp!
si ça dit quelquechose à quelqu'un, merci de me tenir au courant...
A+
Le Tue, 15 Jun 2004 14:06:23 +0000, Clement a écrit :
j'ai un truc que je ne maitrise pas... une connexion entrante sur le port 771, protocole icmp!
Il n'y a pas de port sur ICMP... Je pense que si tu copiais le texte exact de l'alerte, on pourrait mieux te renseigner.
-- BOFH excuse #293:
You must've hit the wrong any key.
Clement
Il n'y a pas de port sur ICMP... Je pense que si tu copiais le texte exact de l'alerte, on pourrait mieux te renseigner.
et bien justement, c'est pourquoi je m'exclame.
le fw est kerio 4, l' spécifie une connexion entrante sur mon point local port 771, d'une adresse distante sans port spécifié (pas toujours la même)...protocole: icmp!
Il n'y a pas de port sur ICMP... Je pense que si tu copiais le texte
exact de l'alerte, on pourrait mieux te renseigner.
et bien justement, c'est pourquoi je m'exclame.
le fw est kerio 4, l' spécifie une connexion entrante sur mon point local
port 771, d'une adresse distante sans port spécifié (pas toujours la
même)...protocole: icmp!
Il n'y a pas de port sur ICMP... Je pense que si tu copiais le texte exact de l'alerte, on pourrait mieux te renseigner.
et bien justement, c'est pourquoi je m'exclame.
le fw est kerio 4, l' spécifie une connexion entrante sur mon point local port 771, d'une adresse distante sans port spécifié (pas toujours la même)...protocole: icmp!
Cedric Blancher
Le Tue, 15 Jun 2004 15:12:39 +0000, Clement a écrit :
et bien justement, c'est pourquoi je m'exclame.
OK.
le fw est kerio 4, l' spécifie une connexion entrante sur mon point local port 771, d'une adresse distante sans port spécifié (pas toujours la même)...protocole: icmp!
J'aurais bien aimé avoir la ligne de log quand même. Car il s'agit peut-être d'une erreur ICMP relative à un paquet dont le port source ou destination aurait été le port 771.
-- Objet: cherche personne pro pour... qu'il me donne quelques conseil... une sorte de parrain... -+- nekio in Guide du Fmblien Assassin : "El Padrino..." -+-
Le Tue, 15 Jun 2004 15:12:39 +0000, Clement a écrit :
et bien justement, c'est pourquoi je m'exclame.
OK.
le fw est kerio 4, l' spécifie une connexion entrante sur mon point local
port 771, d'une adresse distante sans port spécifié (pas toujours la
même)...protocole: icmp!
J'aurais bien aimé avoir la ligne de log quand même. Car il s'agit
peut-être d'une erreur ICMP relative à un paquet dont le port source ou
destination aurait été le port 771.
--
Objet: cherche personne pro pour...
qu'il me donne quelques conseil... une sorte de parrain...
-+- nekio in Guide du Fmblien Assassin : "El Padrino..." -+-
Le Tue, 15 Jun 2004 15:12:39 +0000, Clement a écrit :
et bien justement, c'est pourquoi je m'exclame.
OK.
le fw est kerio 4, l' spécifie une connexion entrante sur mon point local port 771, d'une adresse distante sans port spécifié (pas toujours la même)...protocole: icmp!
J'aurais bien aimé avoir la ligne de log quand même. Car il s'agit peut-être d'une erreur ICMP relative à un paquet dont le port source ou destination aurait été le port 771.
-- Objet: cherche personne pro pour... qu'il me donne quelques conseil... une sorte de parrain... -+- nekio in Guide du Fmblien Assassin : "El Padrino..." -+-
db
Clement wrote:
Il n'y a pas de port sur ICMP... Je pense que si tu copiais le texte exact de l'alerte, on pourrait mieux te renseigner.
et bien justement, c'est pourquoi je m'exclame.
le fw est kerio 4, l' spécifie une connexion entrante sur mon point local port 771, d'une adresse distante sans port spécifié (pas toujours la même)...protocole: icmp!
Les développeurs de Kerio boivent ou la traduction française (de port) a bu. La traduction correcte la plus proche que je puisse trouver à ce message est la réception d'un paquet ICMP port unreachable pour le port 771.
En clair votre machine a tenté de joindre une machine distante sur son port 771 (pourquoi ? )et celle-ci lui a répondu par un ICMP port unreachable, réponse que votre Kerio a intercepté.
db -- email : usenet blas net
Clement wrote:
Il n'y a pas de port sur ICMP... Je pense que si tu copiais le texte
exact de l'alerte, on pourrait mieux te renseigner.
et bien justement, c'est pourquoi je m'exclame.
le fw est kerio 4, l' spécifie une connexion entrante sur mon point local
port 771, d'une adresse distante sans port spécifié (pas toujours la
même)...protocole: icmp!
Les développeurs de Kerio boivent ou la traduction française (de port) a bu.
La traduction correcte la plus proche que je puisse trouver à ce message est
la réception
d'un paquet ICMP port unreachable pour le port 771.
En clair votre machine a tenté de joindre une machine distante sur son port
771 (pourquoi ? )et celle-ci lui a répondu par un ICMP port unreachable,
réponse que votre Kerio a intercepté.
Il n'y a pas de port sur ICMP... Je pense que si tu copiais le texte exact de l'alerte, on pourrait mieux te renseigner.
et bien justement, c'est pourquoi je m'exclame.
le fw est kerio 4, l' spécifie une connexion entrante sur mon point local port 771, d'une adresse distante sans port spécifié (pas toujours la même)...protocole: icmp!
Les développeurs de Kerio boivent ou la traduction française (de port) a bu. La traduction correcte la plus proche que je puisse trouver à ce message est la réception d'un paquet ICMP port unreachable pour le port 771.
En clair votre machine a tenté de joindre une machine distante sur son port 771 (pourquoi ? )et celle-ci lui a répondu par un ICMP port unreachable, réponse que votre Kerio a intercepté.
db -- email : usenet blas net
Clement
Il n'y a pas de port sur ICMP... Je pense que si tu copiais le texte exact de l'alerte, on pourrait mieux te renseigner.
voici le log:
[15/6/2004 18:32:31]
Direction: sortant Point local: xxx.xxx.xxx.xxx, port 771 Matériel: NVIDIA nForce MCP Networking Adapter Point distant: 68.89.164.201 [68.89.164.201] Protocole: ICMP
RuleId = 3019898901
je n'sais pourquoi et j'suis du genre parano surtout qu'jai eu des soucils hier.
merci
-- Clément
Il n'y a pas de port sur ICMP... Je pense que si tu copiais le texte
exact de l'alerte, on pourrait mieux te renseigner.
voici le log:
[15/6/2004 18:32:31]
Direction: sortant
Point local: xxx.xxx.xxx.xxx, port 771
Matériel: NVIDIA nForce MCP Networking Adapter
Point distant: 68.89.164.201 [68.89.164.201]
Protocole: ICMP
RuleId = 3019898901
je n'sais pourquoi et j'suis du genre parano surtout qu'jai eu des
soucils hier.
Il n'y a pas de port sur ICMP... Je pense que si tu copiais le texte exact de l'alerte, on pourrait mieux te renseigner.
voici le log:
[15/6/2004 18:32:31]
Direction: sortant Point local: xxx.xxx.xxx.xxx, port 771 Matériel: NVIDIA nForce MCP Networking Adapter Point distant: 68.89.164.201 [68.89.164.201] Protocole: ICMP
RuleId = 3019898901
je n'sais pourquoi et j'suis du genre parano surtout qu'jai eu des soucils hier.
merci
-- Clément
FrekoDing
Le 15/06/2004 17:12, Clement écrivait ceci :
Il n'y a pas de port sur ICMP... Je pense que si tu copiais le texte exact de l'alerte, on pourrait mieux te renseigner.
et bien justement, c'est pourquoi je m'exclame.
le fw est kerio 4, l' spécifie une connexion entrante sur mon point local port 771, d'une adresse distante sans port spécifié (pas toujours la même)...protocole: icmp!
ca doit certainement etre le port (TCP ou UDP et non ICMP) distant ! @+
Le 15/06/2004 17:12, Clement écrivait ceci :
Il n'y a pas de port sur ICMP... Je pense que si tu copiais le texte
exact de l'alerte, on pourrait mieux te renseigner.
et bien justement, c'est pourquoi je m'exclame.
le fw est kerio 4, l' spécifie une connexion entrante sur mon point local
port 771, d'une adresse distante sans port spécifié (pas toujours la
même)...protocole: icmp!
ca doit certainement etre le port (TCP ou UDP et non ICMP) distant !
@+
Il n'y a pas de port sur ICMP... Je pense que si tu copiais le texte exact de l'alerte, on pourrait mieux te renseigner.
et bien justement, c'est pourquoi je m'exclame.
le fw est kerio 4, l' spécifie une connexion entrante sur mon point local port 771, d'une adresse distante sans port spécifié (pas toujours la même)...protocole: icmp!
ca doit certainement etre le port (TCP ou UDP et non ICMP) distant ! @+
Cedric Blancher
Le Tue, 15 Jun 2004 16:39:35 +0000, Clement a écrit :
[15/6/2004 18:32:31] Direction: sortant Point local: xxx.xxx.xxx.xxx, port 771 Matériel: NVIDIA nForce MCP Networking Adapter Point distant: 68.89.164.201 [68.89.164.201] Protocole: ICMP
Ah ouais. Ça tue ça.
Un certain ts me faisait remarquer par email que si on lisait le port sous forme type:code, on pouvait arriver à :
type = 00000011 (3) code = 00000011 (3)
type:code = 0000001100000011
Soit 771 en décimal...
Joli non ? Donc un type 3, code 3, c'est un port unreachable. Ça pourrait être une erreur consécutive à une réponse arrivée trop tard, ce qui est assez classique sur les accès chargé, mais 68.89.164.201 n'est pas un serveur DNS, mais une ligne ADSL SouthWest Bell. Donc mystère !
Perso, je ne comprends toujours pas pourquoi la plupart des firewalls personnels ne fournissent pas le décodage du payload des erreurs ICMP pour permettre de comprendre pourquoi elles partent ou arrivent...
-- BOFH excuse #72:
Satan did it
Le Tue, 15 Jun 2004 16:39:35 +0000, Clement a écrit :
[15/6/2004 18:32:31]
Direction: sortant
Point local: xxx.xxx.xxx.xxx, port 771
Matériel: NVIDIA nForce MCP Networking Adapter
Point distant: 68.89.164.201 [68.89.164.201]
Protocole: ICMP
Ah ouais. Ça tue ça.
Un certain ts me faisait remarquer par email que si on lisait le port sous
forme type:code, on pouvait arriver à :
type = 00000011 (3)
code = 00000011 (3)
type:code = 0000001100000011
Soit 771 en décimal...
Joli non ? Donc un type 3, code 3, c'est un port unreachable. Ça pourrait
être une erreur consécutive à une réponse arrivée trop tard, ce qui
est assez classique sur les accès chargé, mais 68.89.164.201 n'est pas
un serveur DNS, mais une ligne ADSL SouthWest Bell. Donc mystère !
Perso, je ne comprends toujours pas pourquoi la plupart des firewalls
personnels ne fournissent pas le décodage du payload des erreurs ICMP
pour permettre de comprendre pourquoi elles partent ou arrivent...
Le Tue, 15 Jun 2004 16:39:35 +0000, Clement a écrit :
[15/6/2004 18:32:31] Direction: sortant Point local: xxx.xxx.xxx.xxx, port 771 Matériel: NVIDIA nForce MCP Networking Adapter Point distant: 68.89.164.201 [68.89.164.201] Protocole: ICMP
Ah ouais. Ça tue ça.
Un certain ts me faisait remarquer par email que si on lisait le port sous forme type:code, on pouvait arriver à :
type = 00000011 (3) code = 00000011 (3)
type:code = 0000001100000011
Soit 771 en décimal...
Joli non ? Donc un type 3, code 3, c'est un port unreachable. Ça pourrait être une erreur consécutive à une réponse arrivée trop tard, ce qui est assez classique sur les accès chargé, mais 68.89.164.201 n'est pas un serveur DNS, mais une ligne ADSL SouthWest Bell. Donc mystère !
Perso, je ne comprends toujours pas pourquoi la plupart des firewalls personnels ne fournissent pas le décodage du payload des erreurs ICMP pour permettre de comprendre pourquoi elles partent ou arrivent...
-- BOFH excuse #72:
Satan did it
Clement
Un certain ts me faisait remarquer par email que si on lisait le port sous forme type:code, on pouvait arriver à :
type = 00000011 (3) code = 00000011 (3)
type:code = 0000001100000011
Soit 771 en décimal...
Joli non ?
alors la faut en vouloir, peut-être qu'il s'agit de la manière d'afficher de kerio. Ca m'fait penser que sur une autre alert icmp entrante j'ai le port 8 de signalé...c'est bien le code pour echo request?
le décodage du payload des erreurs ICMP
si tu parles du code concernant le type de message icmp, alors c'qui est marrant, c'est qu'il est renseigné dans les kerios série 2.x, mais pas dans la dernière il me semble. C'est vrai qu'c'est handicapant.
"port unreachable" je crois qu'il s'agit du message final lorsqu'un tracert à finis son voyage, mais s'il sort, ça voudrait dire qu'il est rentré, ce que je n'comprend pas dans la mesure ou j'ai interdit tous les icmp rentrant. finvoila, merci d'mavoir consacré un peu de tepms.
-- Clément
Un certain ts me faisait remarquer par email que si on lisait le port
sous forme type:code, on pouvait arriver à :
type = 00000011 (3)
code = 00000011 (3)
type:code = 0000001100000011
Soit 771 en décimal...
Joli non ?
alors la faut en vouloir, peut-être qu'il s'agit de la manière d'afficher
de kerio. Ca m'fait penser que sur une autre alert icmp entrante j'ai le
port 8 de signalé...c'est bien le code pour echo request?
le décodage du payload des erreurs ICMP
si tu parles du code concernant le type de message icmp, alors c'qui est
marrant, c'est qu'il est renseigné dans les kerios série 2.x, mais pas dans
la dernière il me semble. C'est vrai qu'c'est handicapant.
"port unreachable" je crois qu'il s'agit du message final lorsqu'un tracert
à finis son voyage, mais s'il sort, ça voudrait dire qu'il est rentré, ce
que je n'comprend pas dans la mesure ou j'ai interdit tous les icmp
rentrant. finvoila, merci d'mavoir consacré un peu de tepms.
Un certain ts me faisait remarquer par email que si on lisait le port sous forme type:code, on pouvait arriver à :
type = 00000011 (3) code = 00000011 (3)
type:code = 0000001100000011
Soit 771 en décimal...
Joli non ?
alors la faut en vouloir, peut-être qu'il s'agit de la manière d'afficher de kerio. Ca m'fait penser que sur une autre alert icmp entrante j'ai le port 8 de signalé...c'est bien le code pour echo request?
le décodage du payload des erreurs ICMP
si tu parles du code concernant le type de message icmp, alors c'qui est marrant, c'est qu'il est renseigné dans les kerios série 2.x, mais pas dans la dernière il me semble. C'est vrai qu'c'est handicapant.
"port unreachable" je crois qu'il s'agit du message final lorsqu'un tracert à finis son voyage, mais s'il sort, ça voudrait dire qu'il est rentré, ce que je n'comprend pas dans la mesure ou j'ai interdit tous les icmp rentrant. finvoila, merci d'mavoir consacré un peu de tepms.
-- Clément
Cedric Blancher
Le Tue, 15 Jun 2004 19:10:29 +0000, Clement a écrit :
type = 00000011 (3) code = 00000011 (3) type:code = 0000001100000011 Soit 771 en décimal... alors la faut en vouloir, peut-être qu'il s'agit de la manière d'afficher
de kerio. Ca m'fait penser que sur une autre alert icmp entrante j'ai le port 8 de signalé...c'est bien le code pour echo request?
Un echo request, c'est effectivement un type 8. Au passage, un excellent site pour tout ce qui est protocole :
http://www.networksorcery.com/enp/
si tu parles du code concernant le type de message icmp
Déjà, ça c'est chiant, c'est clair et c'est un manque évident. Mais je parlais de la citation du paquet ayant déclenché l'erreur qui se trouve dans la partie data du paquet ICMP, qui permet donc de savoir quel paquet a provoqué l'envoi de l'ICMP. Il peut être intéressant de savoir pourquoi telle ou telle machine nous renvoie des erreurs, ou pourquoi nous en envoyons
"port unreachable" je crois qu'il s'agit du message final lorsqu'un tracert à finis son voyage,
Non. Pour le traceroute, c'est "TTL exceeded in transit".
Sinon, le truc marrant, c'est quand on prend une entête ICMP, le type et le code occupent les deux premiers octets. Si on regarde une entête UDP, ces deux premiers octets représentent le port source, et idem pour l'entête TCP. Ce qui pousserait à conclure au sale copier/coller de code entre le parsing des entêtes, et confirmer l'idée de ts sur la concaténation des deux champs ;)
-- MB: C'est calme ici, n'est-ce pas ? FB: Quel bonheur. On entend les oiseaux gazouiller. FS: Non ! On entend les drosophiles vrombir ! C'est pas la même chose. -+- in: Guide du Cabaliste Usenet - fr.usenet.groups devient Zen -+-
Le Tue, 15 Jun 2004 19:10:29 +0000, Clement a écrit :
type = 00000011 (3)
code = 00000011 (3)
type:code = 0000001100000011
Soit 771 en décimal...
alors la faut en vouloir, peut-être qu'il s'agit de la manière d'afficher
de kerio. Ca m'fait penser que sur une autre alert icmp entrante j'ai le
port 8 de signalé...c'est bien le code pour echo request?
Un echo request, c'est effectivement un type 8. Au passage, un excellent
site pour tout ce qui est protocole :
http://www.networksorcery.com/enp/
si tu parles du code concernant le type de message icmp
Déjà, ça c'est chiant, c'est clair et c'est un manque évident. Mais je
parlais de la citation du paquet ayant déclenché l'erreur qui se trouve
dans la partie data du paquet ICMP, qui permet donc de savoir quel paquet
a provoqué l'envoi de l'ICMP. Il peut être intéressant de savoir
pourquoi telle ou telle machine nous renvoie des erreurs, ou pourquoi nous
en envoyons
"port unreachable" je crois qu'il s'agit du message final lorsqu'un
tracert à finis son voyage,
Non. Pour le traceroute, c'est "TTL exceeded in transit".
Sinon, le truc marrant, c'est quand on prend une entête ICMP, le type et
le code occupent les deux premiers octets. Si on regarde une entête UDP,
ces deux premiers octets représentent le port source, et idem pour
l'entête TCP. Ce qui pousserait à conclure au sale copier/coller de
code entre le parsing des entêtes, et confirmer l'idée de ts sur la
concaténation des deux champs ;)
--
MB: C'est calme ici, n'est-ce pas ?
FB: Quel bonheur. On entend les oiseaux gazouiller.
FS: Non ! On entend les drosophiles vrombir ! C'est pas la même chose.
-+- in: Guide du Cabaliste Usenet - fr.usenet.groups devient Zen -+-
Le Tue, 15 Jun 2004 19:10:29 +0000, Clement a écrit :
type = 00000011 (3) code = 00000011 (3) type:code = 0000001100000011 Soit 771 en décimal... alors la faut en vouloir, peut-être qu'il s'agit de la manière d'afficher
de kerio. Ca m'fait penser que sur une autre alert icmp entrante j'ai le port 8 de signalé...c'est bien le code pour echo request?
Un echo request, c'est effectivement un type 8. Au passage, un excellent site pour tout ce qui est protocole :
http://www.networksorcery.com/enp/
si tu parles du code concernant le type de message icmp
Déjà, ça c'est chiant, c'est clair et c'est un manque évident. Mais je parlais de la citation du paquet ayant déclenché l'erreur qui se trouve dans la partie data du paquet ICMP, qui permet donc de savoir quel paquet a provoqué l'envoi de l'ICMP. Il peut être intéressant de savoir pourquoi telle ou telle machine nous renvoie des erreurs, ou pourquoi nous en envoyons
"port unreachable" je crois qu'il s'agit du message final lorsqu'un tracert à finis son voyage,
Non. Pour le traceroute, c'est "TTL exceeded in transit".
Sinon, le truc marrant, c'est quand on prend une entête ICMP, le type et le code occupent les deux premiers octets. Si on regarde une entête UDP, ces deux premiers octets représentent le port source, et idem pour l'entête TCP. Ce qui pousserait à conclure au sale copier/coller de code entre le parsing des entêtes, et confirmer l'idée de ts sur la concaténation des deux champs ;)
-- MB: C'est calme ici, n'est-ce pas ? FB: Quel bonheur. On entend les oiseaux gazouiller. FS: Non ! On entend les drosophiles vrombir ! C'est pas la même chose. -+- in: Guide du Cabaliste Usenet - fr.usenet.groups devient Zen -+-
Manu
Cedric Blancher wrote:
Sinon, le truc marrant, c'est quand on prend une entête ICMP, le type et le code occupent les deux premiers octets. Si on regarde une entête UDP, ces deux premiers octets représentent le port source, et idem pour l'entête TCP. Ce qui pousserait à conclure au sale copier/coller de code entre le parsing des entêtes, et confirmer l'idée de ts sur la concaténation des deux champs ;)
Kerio n'est pas un mauvais firewall, une erreur comme celle-ci se serait vu depuis un moment à mon avis. Par contre un copier-coller du code générant le log me parait plus probable.
Cedric Blancher wrote:
Sinon, le truc marrant, c'est quand on prend une entête ICMP, le type et
le code occupent les deux premiers octets. Si on regarde une entête UDP,
ces deux premiers octets représentent le port source, et idem pour
l'entête TCP. Ce qui pousserait à conclure au sale copier/coller de
code entre le parsing des entêtes, et confirmer l'idée de ts sur la
concaténation des deux champs ;)
Kerio n'est pas un mauvais firewall, une erreur comme celle-ci se serait
vu depuis un moment à mon avis. Par contre un copier-coller du code
générant le log me parait plus probable.
Sinon, le truc marrant, c'est quand on prend une entête ICMP, le type et le code occupent les deux premiers octets. Si on regarde une entête UDP, ces deux premiers octets représentent le port source, et idem pour l'entête TCP. Ce qui pousserait à conclure au sale copier/coller de code entre le parsing des entêtes, et confirmer l'idée de ts sur la concaténation des deux champs ;)
Kerio n'est pas un mauvais firewall, une erreur comme celle-ci se serait vu depuis un moment à mon avis. Par contre un copier-coller du code générant le log me parait plus probable.
