Forum |  HardWare.fr | News | Articles | PC | Prix | S'identifier | S'inscrire | Aide | Shop Recherche
1468 connectés 

  FORUM HardWare.fr
  Réseaux grand public / SoHo
  Réseaux

  Intrusion réseau ip inconnu détecté

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Intrusion réseau ip inconnu détecté

n°821592
primosecur
Posté le 04-01-2015 à 12:33:09  profilanswer
 

Bonjour,  
 
Je suis entré dans mon modem routeur afin de voir les connexions actives sur mon réseau et j'ai découvert une connexion active que je ne connais pas.  
j'y retrouve 3 connexions à moi et 1 que je ne connais pas.  
il y est indiquée l'adresse IP et lorsque j'ai localisé cette adresse IP elle se trouve dans une ville à 1000 Km de chez moi !  
Comment est-ce possible ?  
ou encore une application en cours peut être sur mon pc qui fait que ?  
 
 
Merci d'avance pour votre aide

mood
Publicité
Posté le 04-01-2015 à 12:33:09  profilanswer
 

n°821595
o'gure
Multi grognon de B_L
Posté le 04-01-2015 à 12:57:42  profilanswer
 

Sans plus d'info, personne ne peut te répondre.
Indique nous où dans ton routeur tu vois ça, une capture d'écran, des caractéristiques de ce que tu appellles une "connexion", voir l'adresse IP elle même.


---------------
Ton Antoine commence à me les briser menus !
n°821598
primosecur
Posté le 04-01-2015 à 13:10:43  profilanswer
 

Evidemment ..!
 
j'ai un routeur DLINK DIR 615.
dans --) Statut --) session active --) NAPT session active :
 
Il 4 adresse IP indiquée ... 3 qui viennent de chez moi et 1 que je ne connais pas, et lorsque je fais une recherche sur cette adresse IP elle est localisée à + de 1000 km , dans un autre Pays !

n°821608
primosecur
Posté le 04-01-2015 à 13:46:49  profilanswer
 
n°821615
nnwldx
Posté le 04-01-2015 à 14:04:48  profilanswer
 

Ce n'est pas le modèle du routeur qu'il faut comme information, ni le nom du menu.
 
Il faut que tu cherches entre quel PC et de chez toi et l'ip externe, la connexion est établie.
Ensuite tu vas sur le pc en question, tu cherches le nom de l'application qui est connectée avec cette ip.
 
Ce n'est probablement pas une intrusion, mais plutot un logiciel qui communique comme un antivirus ou un autre programme qui se met à jour.

n°821623
primosecur
Posté le 04-01-2015 à 14:37:20  profilanswer
 

Lorsque je clique détail j'ai ceci :  
PROTOCOLE : TCP  
PORT SOURCE : 2133  
DEST PORT : 46998  
TEMP LIBRE 6440  
PRIORITE : 3  
 
Merci

n°821624
primosecur
Posté le 04-01-2015 à 14:38:52  profilanswer
 

''tu cherches le nom de l'application qui est connectée avec cette ip''..
 
Comment faire pour vérifier cela ?
 

n°821641
nnwldx
Posté le 04-01-2015 à 15:12:45  profilanswer
 

Tu fais un netstat -o qui va t'afficher un process id.
Ensuite tu prends process explorer et tu regardes à quel programme correspond l'id.
Sinon tu ajoutes une colonne id de processus dans le gestionnaire de tâches Windows.

n°821642
primosecur
Posté le 04-01-2015 à 15:20:56  profilanswer
 

je n'ai plus le plus le pc avec moi...
Je vérifierai si la connexion est toujours active comme tu me l'as conseiller de faire...
 
Cela veut dire alors que je ne dois pas m'inquiéter ?
Ce n'est pas forcément malveillant ?

n°821647
nnwldx
Posté le 04-01-2015 à 15:42:55  profilanswer
 

non, il y a peu de chances, sinon l'antivirus aurait signalé une intrusion.

mood
Publicité
Posté le 04-01-2015 à 15:42:55  profilanswer
 

n°821659
o'gure
Multi grognon de B_L
Posté le 04-01-2015 à 16:22:46  profilanswer
 


Désolé mais tout le monde n'est pas H24 sur le forum à faire F5 pour voir si tu as répondu....

 
nnwldx a écrit :

non, il y a peu de chances, sinon l'antivirus aurait signalé une intrusion.


Mouarf... si c'était le cas, il n'y aura pas tant de problème de botnet dans le monde...
Ensuite, ce n'est pas forcément un PC avec antivirus, ça peut être une tablette/téléphone/etc...

 

Si c'est dans la partie NAPT, c'est que le flux est sortant, donc il se connecte sur le port 46998. Si c'est un protocole utilisant son propre port de manière officielle:
http://www.speedguide.net/port.php?port=46998
>> sp-remotetablet
Connection between a desktop computer or server and a signature tablet to capture handwritten signatures [SOFTPRO GmbH] (IANA official)
ça te parle ?

 

Tu peux donner l'adresse IP distante ?

  

Juste pour être sûr, tu as configuré du NAT entrant pour un jeu ou autre (p2p) ?


Message édité par o'gure le 04-01-2015 à 16:24:30

---------------
Ton Antoine commence à me les briser menus !
n°821666
nnwldx
Posté le 04-01-2015 à 16:44:07  profilanswer
 

Je ne dis pas que l'antivirus est la protection parfaite.
Mais une connexion établie avec une ip distante n'est pas signe d'intrusion.
Si l'antivirus ne se lance pas non plus.
Il est fort probable que la connexion soit légitime.
Ensuite je n'ai pas assez d'information pour aller plus loin.

n°821670
primosecur
Posté le 04-01-2015 à 16:56:24  profilanswer
 

je venais de télécharger un torrent mais j'avais fermé l'application avant d'aller voir ce qu'il se passe dans les connexions actives...

n°821682
o'gure
Multi grognon de B_L
Posté le 04-01-2015 à 17:30:19  profilanswer
 

nnwldx a écrit :

JMais une connexion établie avec une ip distante n'est pas signe d'intrusion.


Une connexion vers l'extérieur ne veut absolument rien dire sur une intrusion ou non.
Typiquement, les équipements infectés et faisant parti d'un botnet sont derrière du NAPT. Pour prendre leurs ordres auprès du server C&C ils font une connexion vers un serveur externe. Tout comme l'évasion de donnée lors d'une intrusion va se faire par un canal semblant être légitime, donc par une connexion sortante. On ne peut rien déterminer avec juste "une connexion à une adresse distante". Ca peut être légitime (ie issu d'un soft/process de confiance) tout comme illégtime.
 
Bref, le seul moyen c'est de voir in situ sur l'équipement interne faisant partie de  cette conexion quel est le process derrière comme tu l'as indiqué.


---------------
Ton Antoine commence à me les briser menus !

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Réseaux grand public / SoHo
  Réseaux

  Intrusion réseau ip inconnu détecté

 

Sujets relatifs
Réseau Local notifié indisponible alors qu'il fonctionne parfaitement.masque de sous réseau !!
probleme débit réseaucorbeille reseau
Impossible de trouver le réseau 5ghzsoucis réseau domestique
Réseau domestique et taux de transferttres mauvais reseau wi-fi free [HELP]
étendre un réseau wifi publicDisque dur reseau
Plus de sujets relatifs à : Intrusion réseau ip inconnu détecté


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite) / Groupe LDLC / Shop HFR