Fedora-Fr

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Firestarter et les scans de Microsoft

alpha-omega

Bonjour à tous,

J'ai une petitre question technique concernant firestarter.

J'ai installé firestarter sur mon serveur qui est relié aussi à internet. Dessus j'ai un partage samba et j'ai donc autorisé les ports propres à samba pour qu'on puisse se conecter depuis une machine linux ou windows.

Lorsque je vais sur l'onglet "évenements" je m'aperçois que j'ai à peu près toutes les dix secondes une connexion refusée sur les ports 445 et 135 d'une multitude de pc à priori tournant sur windows. Et tous les hôtes sont connectés à un dslam de free (je suis sur free aussi). De temps en temps j'ai aussi MSSQL...

Je suis très étonné du côté "sniffeur" de windows, quelqu'un pourrait-il m'expliquer le comment du pourquoi ?...c'est de la curiosité, qui plus est vu le nombre de tentative. Et pourquoi un dslam est-il aussi transparent ? Merci

tapioca

Bonjour,

c'est typiquement le rôle de ton firewall que de bloquer des trames inopportunes venues de l'extérieur.
En ce qui concerne les trames sur ports 135 et 445, elles sont liées à Netbios où chaque machine fait part régulièrement de sa présence.
On peut effectivement regretter que les émetteurs ne soient pas conscients d'être aussi aisément repérables à travers leur IP fixe chez Free : le port 445 est bien connu pour avoir abrité quelque grosses failles de sécurité.

alpha-omega

En effet mon firewall rempli bien sa tâche...mais comme tu dis c'est inquiétant que sans le savoir les utilisateurs scannent le réseau. Il semble que ceux qui sont sous wanadoo ou neuf aient le même soucis, et ils ne voient que ceux abonnés à leur FAI, c'est ça que je trouve étonnant. Comme si tous les utilisateurs du même FAI étaient sur un même groupe de travail.

Ou alors beaucoup d'utilisateurs ont un virus qui scanne le port 445...

herrib

Le lien suivant décrit l'utilisation des principaux ports.

Le port 135 est utilisé par le protocole Microsoft DCOM (Distributed COM) Service Control Manager (encore appelé Remote Procedure Call endpoint mapper - analyse de la partie terminale-). Le serveur SCM qui tourne sur le système A ouvre le port 135 en attente de requêtes de clients, implantés sur A ou d'autres systèmes, cherchant à identifier les ports depuis lesquels des services DCOM peuvent être activés sur A.

Ce protocole est exploité par des applications client-serveur telles que Exchange (messagerie).

Le port 445 est dédié au protocole (Server Message Block). Ce protocole est utilisé entre autres pour le partage de fichiers sous Windows NT/2000/XP.

Sous Windows NT, SMB utilise NetBIOS over TCP/IP (ports 137, 138 -UDP- and 139 -TCP-); sous Windows 2000/XP/2003, SMB utilise directement TCP/IP, sur le port 445.

Des systèmes peuvent lancer des requêtes exploratoires sur l'Internet (regardé comme un vaste réseau IP) au travers des deux protocoles mentionnés.

Il peut s'agir de tentatives pour préparer des intrusions ou de requêtes émises par des systèmes mal paramétrés.

Il semble que ceux qui sont sous wanadoo ou neuf aient le même soucis, et ils ne voient que ceux abonnés à leur FAI, c'est ça que je trouve étonnant. Comme si tous les utilisateurs du même FAI étaient sur un même groupe de travail.

L'explication est simple: les stations reçoivent des adresses IP pour accéder à Internet depuis des blocs alloués par les FAI. Ces stations procèdent à des explorations à partir de l'adresse IP qui leur est allouée. La notion de groupe de travail n'intervient aucunement.

Et tous les hôtes sont connectés à un dslam de free (je suis sur free aussi)

Rien à voir. Le DSLAM est un équipement technique de réseau qui se loge dans la chaîne de collecte:

station -[ligne d'abonné]-DSLAM-[réseau ATM]-[BAS]-[réseau de collecte IP] -> accès Internet ouvert

Il supporte l'interface avec le modem ADSL et la correspondance avec le maillon du réseau de collecte qui permet d'accéder au Broadcast Access Server, soit le point d'entrée sur le réseau IP (backbone - point d'accès Internet).

alpha-omega

Merci herrib pour ton explication à la fois technique et simple. Quand je disais "groupe de travail" c'était une image mais j'avoue qu'elle prête à confusion.

En tout cas ce point est désormais beaucoup plus clair.

Je pense que je vais chercher d'autres questions un peu technique au vu de la qualité des réponses 🙂

Encore merci.

Exter

Bonjour à tous..

Je viens de lire vos posts, et cela m'éclaire sur mes propres constatations...

Voici,à titre d'info sur un PC perso / via Free, ce que me blocke Firestarter... Scuze sont pas dans l'ordre les N° de port..

Qé bazar sur le net!! Tous ces processus qui causent !!!

MErci de me dire si qqchose est anormal(?)
Y a un port le 24210 que je n'ai pas trouvé dans la description des ports donnée sur le lien de herrib
il ferait quoi celui là?

Port: 80
Time: Jul 18 21:42:16 Source: lns-p19-2-idf-82-251-115-112.adsl.proxad.net Destination: lns-vlq-49-mar-8xxx.adsl.proxad.net In IF: eth0 Out IF: Port: 80 Length: 48 ToS: 0x00 Protocol: TCP Service: HTTP

Port: 137
Time: Jul 18 21:39:52 Source: S01060004e227320d.tb.shawcable.net Destination: lns-vlq-49-mar-8xx.adsl.proxad.net In IF: eth0 Out IF: Port: 137 Length: 78 ToS: 0x00 Protocol: UDP Service: Samba (SMB)

Port: 139
Time: Jul 18 21:39:55 Source: dyn-83-157-86-228.ppp.tiscali.fr Destination: lns-vlq-49-mar-8xx.adsl.proxad.net In IF: eth0 Out IF: Port: 139 Length: 48 ToS: 0x00 Protocol: TCP Service: Samba (SMB)

Port: 445
Time: Jul 18 21:39:55 Source: lns-p19-1-idf-82-251-130-141.adsl.proxad.net Destination: lns-vlq-49-mar-8xx.adsl.proxad.net In IF: eth0 Out IF: Port: 445 Length: 48 ToS: 0x00 Protocol: TCP Service: Microsoft-ds

Port: 24210
Time: Jul 18 21:41:21 Source: 83-134-178-39.Charleroi.GoPlus.FastDSL.tiscali.be Destination: lns-vlq-49-mar-8xx.adsl.proxad.net In IF: eth0 Out IF: Port: 24210 Length: 39 ToS: 0x00 Protocol: UDP Service: Inconnu

Port: 4672
Time: Jul 18 21:51:04 Source: d80-170-60-39.cust.tele2.fr Destination: lns-vlq-49-mar-8xx.adsl.proxad.net In IF: eth0 Out IF: Port: 4672 Length: 55 ToS: 0x00 Protocol: UDP Service: Inconnu

Port: 1026
Time: Jul 18 21:38:04 Source: 222.189.38.30 Destination: lns-vlq-49-mar-8xx.adsl.proxad.net In IF: eth0 Out IF: Port: 1026 Length: 503 ToS: 0x00 Protocol: UDP Service: Inconnu

Port: 1027
Time: Jul 18 21:38:04 Source: 222.189.38.30 Destination: 8xx In IF: eth0 Out IF: Port: 1027 Length: 503 ToS: 0x00 Protocol: UDP Service: Inconnu

MERCI
🙂

Kikof

Salut,

Le pourquoi de ces sondes est on ne peut plus simple.
Il s'agit de vers infectant Windows à travers les failles les plus critiques (RPC DCOM : TCP 135 et LASS : TCP 445 et d'autres). Il ne s'agit pas de scans d'utilisateurs.

Ces vers cherchent à se répandre en envoyant des paquets spécialement préparés visant à provoquer un débordement de tampon et par suite l'infection de la cible. Ils sont aveugles et attaquent plus ou moins minitieusement le segment de réseau sur lequel ils sont (d'où le fait qu'ils s'agisse le plus souvent du même FAI voire du même DSLAM).

L'analyse du contenu du paquet confirmera qu'ils sont pratiquement tous identiques par port visé. Non qu'il existe peu de virus différents mais leur codeurs utilisent tous le même exploit à l'octet près qu'ils incorporent dans leur code.

A noter que ces failles ont été patchée depuis belle lurette mais beaucoup de gens n'ont pas la démarche de mettre à jour leur système et ne savent pas ce qu'est un pare-feu. Pire, ils désactivent celui de XP parce que ça les empèche tôt ou tard de faire quelque chose (P2P, jeux, ...).

tapioca

Bonjour Exter,

Sans vouloir se lancer dans un topo sur les protocoles réseau on peut sommairement résumer à ceci.
En TCP/IP, on peut utiliser 2 modes de connexion : TCP et UDP, TCP étant plus "évolué et fiable" que le second.
Un dialogue entre 2 machines met en relation IP_Source:Port_Source avec IP_Destination:Port_Destination (en programmation, chaque paire rerésente un "socket").
Quand sur ta machine tu constates que le port 80 est utilisé par "in IF:eth0" et "out IF:80" avec le protole TCP sur le service HTTP, cela veut dire que tu es connecté sur un serveur Web.
L'ensemble des services utilise 65535 ports différents dont les 1024 premiers sont dits privilégiés car ils correspondent à des attributions que l'on souhaite définitives (rien n'empêche cependant de faire du ssh sur le port 445 pour autant que le serveur soit paramétré en conséquence et qu'il n'y ait pas de service SMB sur ce même serveur : ce n'est pas très orthodoxe mais ça fonctionne). A noter que des serveurs utilisent des ports non privilégiés (MySQL:3306, VNC:590x, ...) car en général on ne les atteint qu'en local.
Tu peux délibérément bloquer un port pour un offrir un service. Exemple avec BitTorrent, tu peux dire dans l'onglet des réglage que tu utilises le port 65500 pour que tes peers se connectent.
La liste des services est logée dans /etc/services.

Exter

Merci.. des infos..

Juste pour le fun, essayez voir de faire une capture avec Ethereal de votre connexion internet (en cochant la case résolution du nom.) durant 5 à 10 Minutes. (Sans utiliser pendant ce temps aucun programme accèdant au net)

Puis avec google de faire une recherche sur les noms de certains des serveurs detectés....

houuuu!! big brother n'a pas d'oeil, mais il sait lire...!!

vous verez que vous trouverez de droles de trucs...
parmi toutes ces joyeusetés on trouve:
- probablement des éléments expliqués aux posts précédants, comme les ''ping'' fous des windows ou les vilains vers..
- des requettes de divers fai, free, tv qqs choses...ect.
- d'autres services plus bizars, comme des analyseurs cherchant ''à priori'' des adresses d'activistes du spam, ou autres actions ''ethernetement prohibées''. avec inscription de ces adresses dans un fichier black list... ect..

Faudrait peut-être inventer autre chose que internet.....!!!
:oops: :-x :evil: :-o :-o

alpha-omega

pardon...fôte de frappe

alpha-omega

Je me suis amusé suite au post d'Exter à faire quelques captures après avoir coupé mon firewall..... :-o Y'a la planète entière qui veut se connecter chez moi... :-D

Et puis on découvre des messages rigolos genre ci-dessous à propose de windows. En tout cas cela donne vraimeent envie de connaître un peu les mécanismes du réseau pour mieux comprendre ce qui se passe derrière ma freebox.. 😉

Je retourne à mes captures....

Exter

he tu n'es pas obligé de couper ton firewall pour faire les captures!!

A+

alpha-omega

Disons que j'étais pas sur du résultat, donc j'ai tout coupé. En fait si je te suis ethereal fait ses captures directement à la source sur eth.

Kikof

La capture venait sans doute d'un paquet sur UDP 1026 / 1027.

Il s'agit d'une tentative de spam via le service d'affichage des messages de windows. Normalement pour atteindre ce service, il faut passer par le port 135 (port mapper) afin de demander au système sur quel port udp le message est à envoyer. Il se trouve qu'à cause des vers de type blaster s'attaquant spécifiquement au port TCP 135, beaucoup de gens ont fermé l'accès à ce port. Pour passer quand même, le spammeur tente directement 1 ou 2 ports UDP qui sont les plus couramment utilisés par ce service.

Tous les ports et paquets ont une histoire... :-D

tapioca

Bonjour alpha-omega,

le truc rigolo que tu listes un peu plus haut ressemble étrangement à une grosse tentative d'intrusion par exploitation de la crédulité des futures victimes.
Tu poses la question : Faut-il réinventer internet ?
Ce fruit de l'intelligence humaine est également un lieu privilégié pour sa malveillance.
De la même façon que je croise dans la rue des gens qui crachent, qui ont des morpions et/ou la tuberculose et/ou la connerie naturelle ou l'intelligence artificielle, sur le Net je ne me permets pas de sortir sans protection et je prends le maximum de mesures pour être étanche.
Les concepteurs de firewall et d'anti-virus ont malheureusement encore de beaux jours devant eux.

skydiverss

alpha-omega a écrit:
Je me suis amusé suite au post d'Exter à faire quelques captures après avoir coupé mon firewall..... :-o Y'a la planète entière qui veut se connecter chez moi... :-D

Et puis on découvre des messages rigolos genre ci-dessous à propose de windows. En tout cas cela donne vraimeent envie de connaître un peu les mécanismes du réseau pour mieux comprendre ce qui se passe derrière ma freebox.. 😉

Je retourne à mes captures....

Arf ca c'est un message de pub envoyé par un netsend, c'est tres courant d'en recevoir sous windows quand tu es sous 2000 et que tu n'a pas de firewall

herrib

Dans le prolongement de l'excellente remarque de Kikof et pour poursuivre le roman policier:

* il existe un service, sur les systèmes Windows, qui permet d'afficher des messages d'alerte sous forme de pop up: Windows Messenger service;

* ce service attend les connexions sur le port UDP 1026 (comme sur le port 135, voir plus haut), voire 1027 ou 1028 (si le port 1026 est utilisé, le service Messenger cherchera un autre port UDP).

alpha-omega

:-D Vous en avez dans le ventre.....très intéressant.

Sortons couvert.