Détection d'intrusion

Recherche :

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : Détection d'intrusion

msbeginer

Bonjour,

Ma soeur tient une petite entreprise avec 15 PC et je lui ai installé un petit pc windows xp SP3 avec 3 cartes réseaux derrière un routeur NAT (soho) netgear.
Sur ce pc j'ai installé un pare feu logiciel Agnitum oupost qui semble me remonter des alertes d'attaques ( balayage de port) d'un ou plusieurs pirates.
Mes connaissances sur tcp/ip étant limité aux bases (espace d'adressage, concept de routage/translation, dhcp,dns) je ne sais pas trop comment savoir d'où géographiquement et depuis quel fournisseur se connecte le ou les attaquants.
Quelqu'un peut -il m'expliquer comment je peux obtenir des infos sur la zone géographique de connexion et le fournisseur d'accès des attaquants?
Si vous pouvez m'expliquer pour un exemple je ferais moi même pour les autres.
J'ai testé les outils whois du web ainsi que les traceroot mais ça ne me donne pas grand chose.

Merci d'avance pour vos réponses.

Lyes

Ci dessous les log du pare-feu

21:10:07 41.221.19.230 Host blocked for 5 min SCAN (30984, 31752, 29448, 30216, 34824, 35080, 32776, 34056, 33800, 33544)
04/05/2009 23:27:07 41.221.19.52 Intruder unblocked
04/05/2009 23:22:07 41.221.19.52 Host blocked for 5 min SCAN (37130, 37898, 38666, 40202, 41482, 43274, 43018, 41226, 42506, 41738)
04/05/2009 22:49:26 41.221.19.52 Intruder unblocked
04/05/2009 22:44:26 41.221.19.52 Host blocked for 5 min SCAN (44809, 44297, 45577, 46089, 45321, 45833, 45065, 44553, 43785, 44041)
03/05/2009 22:45:25 41.221.27.186 Intruder unblocked
03/05/2009 22:40:25 41.221.27.186 Host blocked for 5 min SCAN (14351, 15119, 15375, 14863, 13327, 13071, 13839, 13583, 14095, 14607)
03/05/2009 19:37:51 41.221.27.186 Intruder unblocked
03/05/2009 19:32:51 41.221.27.186 Host blocked for 5 min SCAN (44039, 44807, 45575, 46599, 49671, 49415, 49159, 48135, 48391, 48903)
03/05/2009 17:09:02 209.50.48.13 Intruder unblocked
03/05/2009 17:04:02 209.50.48.13 Host blocked for 5 min SCAN (61444, 62468, 62980, 64260, 1285, 6405, 7429, 8197, 9221, 11269)
03/05/2009 17:00:38 212.117.191.7 Intruder unblocked
03/05/2009 16:55:38 212.117.191.7 Host blocked for 5 min SCAN (23054, 26638, 28430, 31502, 36110, 42766, 48910, 51470, 57358, 57870)
03/05/2009 16:51:46 222.253.80.206 Intruder unblocked
03/05/2009 16:51:46 115.108.29.78 Intruder unblocked
03/05/2009 16:51:46 70.185.181.161 Intruder unblocked
03/05/2009 16:46:46 222.253.80.206 Host blocked for 5 min SCAN (36618, 37386, 52746, 60682, 3851, 17163, 54539, 15884, 15628, 28428)
03/05/2009 16:46:46 115.108.29.78 Host blocked for 5 min SCAN (37130, 41226, 52234, 54282, 4875, 37131, 3340, 18956, 33036, 25868)
03/05/2009 16:46:46 70.185.181.161 Host blocked for 5 min SCAN (63243, 64779, 16908, 17676, 29196, 26892, 27916, 45068, 46092, 47628)
02/05/2009 20:46:01 41.221.18.72 Intruder unblocked
02/05/2009 20:41:01 41.221.18.72 Host blocked for 5 min SCAN (48135, 48391, 48647, 46343, 48903, 49927, 49415, 49671, 50183, 49159)

21:37:28 Block IN TCP 41.221.19.230 46162 172.16.0.5 2773 RST Blocked by the Attack Detecton component
21:37:28 Block IN TCP 192.168.0.2 2392 172.16.0.5 2772 RST Blocked by the Attack Detecton component
21:28:21 Block IN TCP 41.221.19.230 35240 172.16.0.5 2639 RST Blocked by the Attack Detecton component
21:27:52 Block IN TCP 41.221.19.230 34775 172.16.0.5 2634 RST Blocked by the Attack Detecton component
21:27:38 Block IN TCP 41.221.19.230 34354 172.16.0.5 2615 RST Blocked by the Attack Detecton component
21:27:09 Block IN TCP 41.221.19.230 33991 172.16.0.5 2596 RST Blocked by the Attack Detecton component
21:27:09 Block IN TCP 192.168.0.2 2186 172.16.0.5 2595 RST Blocked by the Attack Detecton component
21:23:48 Block IN TCP 192.168.0.2 2086 172.16.0.5 2519 RST Blocked by the Attack Detecton component
21:21:52 Block IN TCP 41.221.19.230 27580 172.16.0.5 2471 RST Blocked by the Attack Detecton component
21:21:52 Block IN TCP 41.221.19.230 27579 172.16.0.5 2468 RST Blocked by the Attack Detecton component
21:21:52 Block IN TCP 41.221.19.230 27578 172.16.0.5 2473 RST Blocked by the Attack Detecton component
21:21:52 Block IN TCP 41.221.19.230 27576 172.16.0.5 2474 RST Blocked by the Attack Detecton component
21:21:52 Block IN TCP 41.221.19.230 27572 172.16.0.5 2469 RST Blocked by the Attack Detecton component
21:21:52 Block IN TCP 41.221.19.230 27577 172.16.0.5 2472 RST Blocked by the Attack Detecton component
21:21:52 Block IN TCP 41.221.19.230 27574 172.16.0.5 2470 RST Blocked by the Attack Detecton component
21:21:52 Block IN TCP 41.221.19.230 27575 172.16.0.5 2465 RST Blocked by the Attack Detecton component
21:21:52 Block IN TCP 41.221.19.230 27572 172.16.0.5 2466 RST Blocked by the Attack Detecton component
21:21:52 Block IN TCP 41.221.19.230 27575 172.16.0.5 2467 RST Blocked by the Attack Detecton component
21:21:38 Block IN TCP 192.168.0.2 2025 172.16.0.5 2461 RST Blocked by the Attack Detecton component
21:21:38 Block IN TCP 41.221.19.230 27429 172.16.0.5 2462 RST Blocked by the Attack Detecton component
21:14:56 Block OUT TCP 172.16.0.5 2588 41.221.19.230 33679 SYN 41.221.19.230
21:14:56 Block OUT TCP 172.16.0.5 2587 41.221.19.230 33680 SYN 41.221.19.230
21:14:56 Block OUT TCP 172.16.0.5 2585 41.221.19.230 33680 SYN 41.221.19.230
21:14:56 Block OUT TCP 172.16.0.5 2582 41.221.19.230 33683 SYN 41.221.19.230
21:14:56 Block OUT TCP 172.16.0.5 2584 41.221.19.230 33678 SYN 41.221.19.230
21:14:56 Block OUT TCP 172.16.0.5 2583 41.221.19.230 33678 SYN 41.221.19.230

Publicité

Tolb

Qui est 192.168.0.2?
On dirait de l'ip spoofing.

Des attaques on en subi tous, tous les jours.
Le principale c'est que ton firewall les bloques.

Et pour finir, tu n'auras pas grand chose avec son ip. En général un pirate ne pirate pas avec sa véritable adresse ip en clair.
Il passe derrière un proxy ou quelque chose comme ça.

o'gure

Multi grognon de B_L

Ce n'est pas une "attaque", c'est juste quelqu'un sur Internet qui réalise un scan de port TCP sur une adresse. Ceci lui permet, dans le meilleur des cas de découvrir quels services réseaux sont disponibles "sur" une adresse IP.
Disons que c'est une des premières étapes avant de lancer réellement une attaque, une fois que l'on a découvert un service intéressant et potentiellement vulnérable.
Des programmes automatiques s'amusent à prendre des adresses "au hasard" puis les scannent.

Là, le firewall détecte le scan, bloque l'adresse IP incriminée pendant 5 minutes >> il fait son job.

A la base tu n'as rien à craindre de ces alertes tant que derrière tu suis les recommendations classiques : pas de service en écoute sur internet si pas nécessaire, mise à jour des progammes et applications des patches de sécurité...

Savoir d'où vient l'alerte d'un scan est un peu inutile. Tu peux découvrir quel FAI est utilisé en faisant un whois sur l'adresse IP. Après tu peux toujours faire un mail au département "abuse" de ce FAI, mais c'est comme jeté une bouteille à la mer. Surtout pour ce type de problème.
Après si le scan est fait plus ou moins correctement, tu ne peux pas savoir d'où vient réellement l'alerte car le scan est noyé dans de "faux scan"

Message édité par o'gure le 10-05-2009 à 09:37:04

---------------
Relax. Take a deep breath !

FORUM HardWare.fr

Systèmes & Réseaux Pro

Sécurité

Détection d'intrusion

Sujets relatifs
Intrusion de ma boite mail	Anti-intrusion
alerte intrusion à l'aide	detection de l'alibox impossible
[ SCSI ] Problème de détection	Techniques d'intrusion réseau
Plus de sujets relatifs à : Détection d'intrusion

Page générée en 0.040 secondes