Je m'interroge sur une activité de scan de mes ports (locaux) que je
détecte depuis quelques jours (mais je n'y avais peut-être pas fait
attention avant). Est-elle normale ou non ?
Réseau de 2 postes
PC principal Athlon 2200 sous Win XP
PC auxiliaire sous Win 98 (rarement allumé, sert surtout pour quelques
sauvegardes)
Modem ADSL/routeur STH 510/4 avec le firewall configuré.
Sur le poste principal Win XP j'ai Outpost 1.0
Tout cela fonctionne sans trop de problème depuis pas loin d'un an.
DNS Cache d'Outpost désactivé.
NetBios autorisé pour l' adresse IP de mon autre PC seulement.
Il y a une 15aine de jours je remarque une activité entrante ou sortante de
certaines applications avec un numéro de port local qui s'incrémente.
Par exemple en ce moment, je n'ai aucun logiciel se connectant sur Internet
et je vois dans la fenêtre Blocked d'outpost des lignes avec les infos
suivantes :
Application : OUTPOST.EXE (il lance lui même une demande)
local adress : localhost
local port : 1434
protocol : UDP
direction : Outbound
remote adress : 212.27.32.177 (Resolving...) c'est le serveur DNS de Free
remote port : DNS
Et toutes les 20 secondes nouvelles demande identique avec le port local qui
s'incrémente de 1.
Ce matin, j'avais à peu près la même chose mais la direction était Inbound
et les ports n'étaient pas incrémentés d'une façon totalement régulière
(ex : 1456, 1460, 1457, 1459, 1461, 1458, 1463, etc....)
Depuis j'ai supprimé Outpost puis l'ai réinstallé : ça à simplement changé
la direction des demandes.
J'ai l'impression que c'est dû à un certain paramètrage de mon système (en
relation avec mon routeur peut-être ?) car chaque fois que je lance une
application qui se connecte, elle le fait avec un port local incrémenté de
1 par rapport au précédent port utilisé.
Exemple : je lance Mozilla, dans Outpost je vois son activité sur les ports
1147, 1148. Je consulte une page web, elle s'affiche sans problème : je
voisdans Outpost 14 lignes d'activité de Mozilla chacune avec un port local
différent 1149 à 1163.
J'ai naturellement fait les vérifications habituelles de virus, trojans,
etc... avec AntiVir (à jour), Ad-Aware, Spybot, TrojanHunter, etc...
Est-ce normal ou non ? Comme je ne maitrise pas encore tout cela, j'aimerai
bien avoir une explication. Savoir si je m'inquiète avec raison ou non ! Je
ne l'avais peut-être pas vu avant car j'ai modifié les colonnes visibles
dans Outpost et avant je n'avais peut-être pas le port local affiché.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Pierre LALET
Bonjour,
wrote:
Application : OUTPOST.EXE (il lance lui même une demande) local adress : localhost local port : 1434 protocol : UDP direction : Outbound remote adress : 212.27.32.177 (Resolving...) c'est le serveur DNS de Free remote port : DNS
Bein c'est outpost qui cherche à faire une requête DNS, non ? (ce qui est confirmé par le "Resolving")
Et toutes les 20 secondes nouvelles demande identique avec le port local qui s'incrémente de 1.
Il a pas de réponse, il refait la demande. Quand il demande à l'OS de lui donner un port source, celui-ci lui en fournit un nouveau, en incrémentant.
Est-ce normal ou non ? Comme je ne maitrise pas encore tout cela, j'aimerai bien avoir une explication. Savoir si je m'inquiète avec raison ou non ! Je ne l'avais peut-être pas vu avant car j'ai modifié les colonnes visibles dans Outpost et avant je n'avais peut-être pas le port local affiché.
Je ne connais pas ton soft, mais il doit y avoir moyen de lui demander de ne faire aucune résolution DNS.
pierre
-- Pierre LALET -- http://pierre.droids-corp.org/ Droids Corporation -- http://www.droids-corp.org/ French Honeynet Project -- http://www.frenchhoneynet.org/ Sebek *BSD -- http://honeynet.droids-corp.org/
Bonjour,
pchaumeil@freesurf.fr_nospam wrote:
Application : OUTPOST.EXE (il lance lui même une demande)
local adress : localhost
local port : 1434
protocol : UDP
direction : Outbound
remote adress : 212.27.32.177 (Resolving...) c'est le serveur DNS de Free
remote port : DNS
Bein c'est outpost qui cherche à faire une requête DNS, non ? (ce qui
est confirmé par le "Resolving")
Et toutes les 20 secondes nouvelles demande identique avec le port local qui
s'incrémente de 1.
Il a pas de réponse, il refait la demande. Quand il demande à l'OS de
lui donner un port source, celui-ci lui en fournit un nouveau, en
incrémentant.
Est-ce normal ou non ? Comme je ne maitrise pas encore tout cela, j'aimerai
bien avoir une explication. Savoir si je m'inquiète avec raison ou non ! Je
ne l'avais peut-être pas vu avant car j'ai modifié les colonnes visibles
dans Outpost et avant je n'avais peut-être pas le port local affiché.
Je ne connais pas ton soft, mais il doit y avoir moyen de lui demander
de ne faire aucune résolution DNS.
pierre
--
Pierre LALET -- http://pierre.droids-corp.org/
Droids Corporation -- http://www.droids-corp.org/
French Honeynet Project -- http://www.frenchhoneynet.org/
Sebek *BSD -- http://honeynet.droids-corp.org/
Application : OUTPOST.EXE (il lance lui même une demande) local adress : localhost local port : 1434 protocol : UDP direction : Outbound remote adress : 212.27.32.177 (Resolving...) c'est le serveur DNS de Free remote port : DNS
Bein c'est outpost qui cherche à faire une requête DNS, non ? (ce qui est confirmé par le "Resolving")
Et toutes les 20 secondes nouvelles demande identique avec le port local qui s'incrémente de 1.
Il a pas de réponse, il refait la demande. Quand il demande à l'OS de lui donner un port source, celui-ci lui en fournit un nouveau, en incrémentant.
Est-ce normal ou non ? Comme je ne maitrise pas encore tout cela, j'aimerai bien avoir une explication. Savoir si je m'inquiète avec raison ou non ! Je ne l'avais peut-être pas vu avant car j'ai modifié les colonnes visibles dans Outpost et avant je n'avais peut-être pas le port local affiché.
Je ne connais pas ton soft, mais il doit y avoir moyen de lui demander de ne faire aucune résolution DNS.
pierre
-- Pierre LALET -- http://pierre.droids-corp.org/ Droids Corporation -- http://www.droids-corp.org/ French Honeynet Project -- http://www.frenchhoneynet.org/ Sebek *BSD -- http://honeynet.droids-corp.org/
pchaumeil
Bonjour
Bein c'est outpost qui cherche à faire une requête DNS, non ? (ce qui est confirmé par le "Resolving") Est-ce qu'Outpost doit nécessairement se connecter au serveur DNS de mon
FAI ? Quand je lui interdis je ne vois pas de différence. Mais peut-être que c'est mieux. Donc je lui fais une règle l'autorisant à s'y connecter.
Il a pas de réponse, il refait la demande. Cela je le comprends.
Quand il demande à l'OS de lui donner un port source, celui-ci lui en fournit un nouveau, en incrémentant. Est-ce le fonctionnement normal d'un OS ? C'est cela que je ne sais pas.
Quand un logiciel demande un port source l'OS lui en fournit un en incrémentant de 1 le précédent port utilisé ? si c'est le cas alors je n'ai pas de problème. Ce qui m'interpelle, c'est cette incrémentation du port local utilisé, aussi bien lorsque l'application est autorisée par le firewall à se connecter que lorsqu'elle est bloquée.
Merci pour ta réponse.
Phil
Bonjour
Bein c'est outpost qui cherche à faire une requête DNS, non ? (ce qui
est confirmé par le "Resolving")
Est-ce qu'Outpost doit nécessairement se connecter au serveur DNS de mon
FAI ? Quand je lui interdis je ne vois pas de différence. Mais peut-être que
c'est mieux. Donc je lui fais une règle l'autorisant à s'y connecter.
Il a pas de réponse, il refait la demande.
Cela je le comprends.
Quand il demande à l'OS de
lui donner un port source, celui-ci lui en fournit un nouveau, en
incrémentant.
Est-ce le fonctionnement normal d'un OS ? C'est cela que je ne sais pas.
Quand un logiciel demande un port source l'OS lui en fournit un en
incrémentant de 1 le précédent port utilisé ? si c'est le cas alors je n'ai
pas de problème.
Ce qui m'interpelle, c'est cette incrémentation du port local utilisé, aussi
bien lorsque l'application est autorisée par le firewall à se connecter que
lorsqu'elle est bloquée.
Bein c'est outpost qui cherche à faire une requête DNS, non ? (ce qui est confirmé par le "Resolving") Est-ce qu'Outpost doit nécessairement se connecter au serveur DNS de mon
FAI ? Quand je lui interdis je ne vois pas de différence. Mais peut-être que c'est mieux. Donc je lui fais une règle l'autorisant à s'y connecter.
Il a pas de réponse, il refait la demande. Cela je le comprends.
Quand il demande à l'OS de lui donner un port source, celui-ci lui en fournit un nouveau, en incrémentant. Est-ce le fonctionnement normal d'un OS ? C'est cela que je ne sais pas.
Quand un logiciel demande un port source l'OS lui en fournit un en incrémentant de 1 le précédent port utilisé ? si c'est le cas alors je n'ai pas de problème. Ce qui m'interpelle, c'est cette incrémentation du port local utilisé, aussi bien lorsque l'application est autorisée par le firewall à se connecter que lorsqu'elle est bloquée.
Merci pour ta réponse.
Phil
Nicob
On Tue, 06 Apr 2004 17:37:55 +0000, pchaumeil wrote:
Est-ce qu'Outpost doit nécessairement se connecter au serveur DNS de mon FAI ? Quand je lui interdis je ne vois pas de différence. Mais peut-être que c'est mieux. Donc je lui fais une règle l'autorisant à s'y connecter.
Il fait probablement ces connexions pour résoudre (ie. obtenir le nom à partir de l'IP) une adresse qui apparait dans tes logs. Donc si tu lui interdis le DNS, tu n'auras dans tes logs que les adresses IP.
Est-ce le fonctionnement normal d'un OS ? C'est cela que je ne sais pas. Quand un logiciel demande un port source l'OS lui en fournit un en incrémentant de 1 le précédent port utilisé ? si c'est le cas alors je n'ai pas de problème.
C'est effectivement le fonctionnement classique d'une pile IP. Les ports fournis par l'OS commence généralement vers 1024 ou 1030, et s'incrémentent ...
Ce qui m'interpelle, c'est cette incrémentation du port local utilisé, aussi bien lorsque l'application est autorisée par le firewall à se connecter que lorsqu'elle est bloquée.
Dans les deux cas, l'application (ici Outpost) demande un port à l'OS, qui lui donne. Ensuite, une connexion, éventuellement bloquée par le firewall est initiée depuis ce port.
Nicob
On Tue, 06 Apr 2004 17:37:55 +0000, pchaumeil wrote:
Est-ce qu'Outpost doit nécessairement se connecter au serveur DNS de mon
FAI ? Quand je lui interdis je ne vois pas de différence. Mais
peut-être que c'est mieux. Donc je lui fais une règle l'autorisant à
s'y connecter.
Il fait probablement ces connexions pour résoudre (ie. obtenir le nom à
partir de l'IP) une adresse qui apparait dans tes logs. Donc si tu lui
interdis le DNS, tu n'auras dans tes logs que les adresses IP.
Est-ce le fonctionnement normal d'un OS ? C'est cela que je ne sais pas.
Quand un logiciel demande un port source l'OS lui en fournit un en
incrémentant de 1 le précédent port utilisé ? si c'est le cas alors
je n'ai pas de problème.
C'est effectivement le fonctionnement classique d'une pile IP. Les ports
fournis par l'OS commence généralement vers 1024 ou 1030, et
s'incrémentent ...
Ce qui m'interpelle, c'est cette incrémentation du port local utilisé,
aussi bien lorsque l'application est autorisée par le firewall à se
connecter que lorsqu'elle est bloquée.
Dans les deux cas, l'application (ici Outpost) demande un port à l'OS,
qui lui donne. Ensuite, une connexion, éventuellement bloquée par le
firewall est initiée depuis ce port.
On Tue, 06 Apr 2004 17:37:55 +0000, pchaumeil wrote:
Est-ce qu'Outpost doit nécessairement se connecter au serveur DNS de mon FAI ? Quand je lui interdis je ne vois pas de différence. Mais peut-être que c'est mieux. Donc je lui fais une règle l'autorisant à s'y connecter.
Il fait probablement ces connexions pour résoudre (ie. obtenir le nom à partir de l'IP) une adresse qui apparait dans tes logs. Donc si tu lui interdis le DNS, tu n'auras dans tes logs que les adresses IP.
Est-ce le fonctionnement normal d'un OS ? C'est cela que je ne sais pas. Quand un logiciel demande un port source l'OS lui en fournit un en incrémentant de 1 le précédent port utilisé ? si c'est le cas alors je n'ai pas de problème.
C'est effectivement le fonctionnement classique d'une pile IP. Les ports fournis par l'OS commence généralement vers 1024 ou 1030, et s'incrémentent ...
Ce qui m'interpelle, c'est cette incrémentation du port local utilisé, aussi bien lorsque l'application est autorisée par le firewall à se connecter que lorsqu'elle est bloquée.
Dans les deux cas, l'application (ici Outpost) demande un port à l'OS, qui lui donne. Ensuite, une connexion, éventuellement bloquée par le firewall est initiée depuis ce port.
Nicob
pchaumeil
Re-bonjour
Ah j'ai trouvé en partie. J'ai reconfiguré mon réseau (qui ne fronctionnait pas correctement) afin d'avoir accès à toutes les ressources (disques et imprimante) depuis les 2 ordinateurs. Et maintenant Outpost n'essaie plus de se connecter au serveur DNS de Free que toutes les 10mn. Donc ça serait un fonctionnement lié au réseau. Je vais regarder cela de plus près.
Phil.
Re-bonjour
Ah j'ai trouvé en partie.
J'ai reconfiguré mon réseau (qui ne fronctionnait pas correctement) afin
d'avoir accès à toutes les ressources (disques et imprimante) depuis les 2
ordinateurs.
Et maintenant Outpost n'essaie plus de se connecter au serveur DNS de Free
que toutes les 10mn.
Donc ça serait un fonctionnement lié au réseau. Je vais regarder cela de
plus près.
Ah j'ai trouvé en partie. J'ai reconfiguré mon réseau (qui ne fronctionnait pas correctement) afin d'avoir accès à toutes les ressources (disques et imprimante) depuis les 2 ordinateurs. Et maintenant Outpost n'essaie plus de se connecter au serveur DNS de Free que toutes les 10mn. Donc ça serait un fonctionnement lié au réseau. Je vais regarder cela de plus près.
Phil.
pchaumeil
Bonjour
Merci pour ta réponse. Donc a priori pas d'inquiétude à avoir pour mon poste. En plus avec la réparation du réseau que j'ai effectué hier, je n'ai plus qu'un accés d'Outpost toutes les 10 mn.
Phil
Bonjour
Merci pour ta réponse.
Donc a priori pas d'inquiétude à avoir pour mon poste.
En plus avec la réparation du réseau que j'ai effectué hier, je n'ai plus
qu'un accés d'Outpost toutes les 10 mn.
Merci pour ta réponse. Donc a priori pas d'inquiétude à avoir pour mon poste. En plus avec la réparation du réseau que j'ai effectué hier, je n'ai plus qu'un accés d'Outpost toutes les 10 mn.
