mon parefeu me signale régulièrement des attaques par deni de service depuis l'IP 194.246.101.68... apres traçage il s'agit d'une personne résidant à bordeaux qui travaillerait pour le site PCIMPACT...voici l'annonce faite par mon firwall:
 
Un ordinateur à l'adresse IP 194.246.101.68 a envoyé à votre ordinateur du trafic qui à été bloqué par notre systeme de détection des intrusions (IDS). L'adresse IP source à apparamment essayé de provoquer un déni de service contre votre ordinateur en envoyant un grand nombre de paquets non valides...ensuite j'ai tout un tas d'information sur l'identité du réseau et de la personne (son nom et son adresse)
 
je lui ai donc envoyé un message lui informant de ce désagrément...ce qui est surprenant c'est qu'en remontant dans le log du firewall cela dure depuis le 09/07/2005...avez vous des cas similaires d'attaques qui durent aussi longtemps ? je suis surpris qu'une personne travaillant dans la presse informatique en ligne soit contaminé depuis si longtemps sans que rien ne soit fait..ou alors s'agit-il d'une usurpation d'identité de son PC ?

Quels sont les ports (si TCP/UDP) utilisés pour l'attaque ?

l'usurpation est une cause possible, mais t'a t-il répondu quand tu lui a envoyé un mail?

enormement de port en fait en voici quelques uns:
14949;21280;15216;15392;15422;15718;15720;15726;15731;15911;15917;15972;15982;18292;20512;24940;24946;25148....etc..
 
bon j'arrete là parceque la liste est impressionnante...

Ce ne serait pas un scan de port ? quelle est la taille des paquets ?

194.246.101.68 c'est l'ip du site de PCI -> http://194.246.101.68

lol

 
ben je viens de m'apercevoir du probleme suite à de gros problemes de freeze de mon PC.....j'ai consulté le log de mon firewall et je m'aperçois seulement aujourd'hui du probleme... le mail que j'ai envoyé date de - de 1 heure donc j'attends un retour d'info de sa part dans les jours qui suivent...entretemps j'ai bloqué cette IP dans mon Firewall mais je ne peux plus acceder aux site en question ou je consultais de temps à autre leur news....

tu sais, l'ip source d'un paquet est très facilement modifiable. De plus, les attaques DDOS sont le plus souvent en UDP. Bref,T face à un gars qui aime pas PCI
Bloque que le UDP, comme ça tu pourra toujorus alé sur leur site

il ne s'agit a priori pas d'un scan de ports( QUOIQUE....) puisque chaque attaque il essaye sur un port différent..a titre d'exemple j'ai eu 31 interceptions par deni de service depuis cette IP et toutes sur des ports différents au cours de la journée du 9/7/2005.....en fait il essaye sur un port, mon firwall l'intercepte et il recommence qql secondes apres voir 20 minutes ou 1 heure apres et cela dure depuis cette date....  
 
Le firewall ne fournit aucune indication sur la taille des paquets ( il indique simplement ERREUR FRAGMENT OVERLAP ou ERREUR FRAGMENT FLOOD)
 
voici ce que j'obtiens apres un traçage de ces attaques....
 
 GANDI Registrar whois database for .COM, .NET, .ORG., .INFO, .BIZ, .NAME
 
  Access and use restricted pursuant to French law on personal data.
  Copy of whole or part of the data without permission from GANDI
  is strictly forbidden.
  The sole owner of a domain is the entity described in the relevant
  'domain:' record.
  Domain ownership disputes should be settled using ICANN's Uniform Dispute
  Resolution Policy: http://www.icann.org/udrp/udrp.htm
 
  Acces et utilisation soumis a la legislation francaise sur
  les donnees personnelles.
  Copie de tout ou partie de la base interdite sans autorisation de GANDI.
  Le possesseur d'un domaine est l'entite decrite dans
  l'enregistrement 'domain:' correspondant.
  Un desaccord sur la possession d'un nom de domaine peut etre resolu
  en suivant la Uniform Dispute Resolution Policy de l'ICANN:
  http://www.icann.org/udrp/udrp.htm
 
  Date: 2005/08/18 15:41:20
 
 
domain:  PCINPACT.COM
owner-address: Neau Christophe
owner-address: 36 rue paul bert
owner-address: 33000
owner-address: Bordeaux
owner-address: France
owner-phone: +33.556011979
owner-e-mail: 5ba7b8c9342821b3d0c8ec19d2c0b2b7-487439@owner.gandi.net
admin-c: NC59-GANDI
tech-c:  NC59-GANDI
bill-c:  NC59-GANDI
nserver: www.pcinpact.com 194.246.101.68
nserver: baine.digital-network.net 194.246.101.57
reg_created: 2002-06-16 03:22:50
expires: 2006-06-16 03:22:50
created: 2002-06-16 09:22:51
changed: 2005-04-28 15:12:02
 
person:  Neau Christophe
nic-hdl: NC59-GANDI
address: PC INpact SARL
address: 36 rue paul bert
address: 33000
address: Bordeaux
address: France
phone:  +33.1
fax:  +33.1
e-mail:  teuf@pcinpact.com
lastupdated: 2005-02-01 18:18:31
 
This is the RIPE Whois query server  1.
  The objects are in RPSL format.
 
  Note: the default output of the RIPE Whois server
  is changed. Your tools may need to be adjusted. See
  http://www.ripe.net/db/news/abuse- [...] 50331.html
  for more details.
 
  Rights restricted by copyright.
  See http://www.ripe.net/db/copyright.html
 
  Note: This output has been filtered.
        To receive output for a database update, use the  -B  flag.
 
  Information related to '194.246.101.0 - 194.246.101.255'
 
inetnum:      194.246.101.0 - 194.246.101.255
netname:      TRANSNODE-1
descr:        Transnode
country:      FR
org:          ORG-TA143-RIPE
admin-c:      TN549-RIPE
tech-c:       TN549-RIPE
status:       ASSIGNED PI
mnt-by:       RIPE-NCC-HM-PI-MNT
mnt-lower:    RIPE-NCC-HM-PI-MNT
mnt-by:       TRANSNODE-MNT
mnt-routes:   TRANSNODE-MNT
source:       RIPE   Filtered
 
organisation: ORG-TA143-RIPE
org-name:     Transnode
org-type:     NON-REGISTRY
remarks:      -----------------------------------------
remarks:      Network problems: support@transnode.com
remarks:      Peering requests: peering@transnode.com
remarks:      Abuse notifications: abuse@transnode.com
remarks:      -----------------------------------------
address:      Transnode
address:      91 rue Tabuteau
address:      78530 Buc
address:      France
phone:        +33 442082004
fax-no:       +33 442082004
e-mail:       role@transnode.com
admin-c:      TN549-RIPE
tech-c:       TN549-RIPE
ref-nfy:      ripe@transnode.com
mnt-ref:      TRANSNODE-MNT
mnt-by:       TRANSNODE-MNT
source:       RIPE   Filtered
 
role:         Transnode NOC
address:      Transnode
address:      91 rue Tabuteau
address:      78530 Buc
address:      France
e-mail:       role@transnode.com
org:          ORG-TA143-RIPE
admin-c:      CC2157-RIPE
admin-c:      IH495-RIPE
tech-c:       CC2157-RIPE
tech-c:       IH495-RIPE
nic-hdl:      TN549-RIPE
remarks:      -----------------------------------------
remarks:      Network problems: support@transnode.com
remarks:      Peering requests: peering@transnode.com
remarks:      Abuse notifications: abuse@transnode.com
remarks:      -----------------------------------------
mnt-by:       TRANSNODE-MNT
source:       RIPE   Filtered
 
  Information related to 'ORG-TA143-RIPE'
 
route:        194.246.101.0/24
descr:        Transnode
origin:       AS31031
org:          ORG-TA143-RIPE
mnt-by:       TRANSNODE-MNT
source:       RIPE   Filtered
 
organisation: ORG-TA143-RIPE
org-name:     Transnode
org-type:     NON-REGISTRY
remarks:      -----------------------------------------
remarks:      Network problems: support@transnode.com
remarks:      Peering requests: peering@transnode.com
remarks:      Abuse notifications: abuse@transnode.com
remarks:      -----------------------------------------
address:      Transnode
address:      91 rue Tabuteau
address:      78530 Buc
address:      France
phone:        +33 442082004
fax-no:       +33 442082004
e-mail:       role@transnode.com
admin-c:      TN549-RIPE
tech-c:       TN549-RIPE
ref-nfy:      ripe@transnode.com
mnt-ref:      TRANSNODE-MNT
mnt-by:       TRANSNODE-MNT
source:       RIPE   Filtered

 
 
a priori je ne peux que bloquer des IP ds le firewall sans restreindre sur les protocoles comme HTTP,FTP,UDP ,etc...

ben bloque son ip dans le sens entrant si tu le peut ^_^
 
sinon en UDP, il n'y a pas de 'connexion' contrairement à TCP. celà signifie que l'ip est ptêt spoofée (bidon koi) ...

le mec en question c'est simplement le webmaster du site à ce que j'ai pus voir O_+

 
ben je ne peux pas bloquer une IP dans le sens entrant mais seulement les applications qui tournent sur mon PC..tant pis je ne vais plus aller sur ce site...c'est dommage j'utilise depuis peu la fonctionnalité du Really Simple Syndication ou RSS ( http://fr.wikipedia.org/wiki/Really_simple_syndication ) de ce site bien pratique dans firefox...

au pire t'envoie un mail a l'adresse mail de notification d'abus, souvent ça calme les gens.....

Je connaissais pas GANDI, c super sympa
Sinon, fo ke tu contact ton fournisseur si ça te fout ton réseau en l'air : tu es certainement en ip fixe, et il vont te faire changer d'ip. Sinon, si t en ip non fixe, bah déco-reco, ça devrait allé

 
OK vais faire cela....merci du conseil..

 
non pas d'ip fixe....  

Et bah alors si tu change d'IP plus de problème.

oui, et envoi pas de mail, ça sert à rien, ils n'ont rien à voir avec cette attaque (à 99%de chance).
 
Si ça continu alors que tu as changé d'IP, alors tu as un traceur sur ton PC, mais là ça serait la grosse blaze...

d'ailleurs c'est bizarre que ça dure depuis si longtemps si t'es pas en ip fixe, tu devrai avoir changé une demi-douzaine de plein de fois d'adresse IP......

Et au fait, c'est un firewall en bois que t'as si tu peux même pas faire de règles personnalisées

 
en fait le firewall est simple et son interet réside ds le fait qu'il travaille avec une base de donnée d'identification par signature des programmes comme les firewall modernes..ainsi je n'ai pas en permanence des popup de mise en garde sur ce que je dois faire avec tel ou tel programme...donc il est discret..en contrepartie c'est vrai qu'il est moins paramétrable que d'autres firewall spécialisé mais qui sont quand même compliqués à apprehender et a utiliser...celui-ci est mis à jour régulièrement..en faite, il fait parti intégrante de la suite MacAfee Security center qui rassemble un anti virus, un spamkiller et un firewall...Il fait son boulot et m'a déjà intercepté en 2 mois 2 chevaux de troie et une dizaine de spyware...

 
Ah bon ??????????????? merde alors!!!

j'ai l'impression que c'est chaque fois que je me connnecte au site donc via HTTP. et comme j'ai activé la fonction RSS du site sur mon navigateur cela se reproduirait régulièrement .....avec mon consentement...or bizarrement cette nuit mon pc tournait et etit connecté a l'internet... et j'ai vu dans le log qu'a 6h00 du matin (je dormais encore) mon firewall a identifié et stoppé cette intrusion alors que mon navigateur n'etait pas lançé (donc pas de RSS possible).. donc je comprend pas grand chose sur l'origine..a moins qu'une saloperie tourne en effet sur mon PC ....    

scan ton pc avec antispy antivirus (et anti-pcimpact?)

vire le RSS et regarde si ça arrange qque-chose (ptet que ça tourne en tache de fond...).
IE ou firefox?

Ok vais faire cela..m'ci Veloci_RaptoR

 
T'as des firewalls trsè simples comme Kerio ou Sygate qui te permettent cependant de créer des régles à la main

je vous tiens au courant de la suite des evenements...

 
..mais en versions gratuites ils donnent quoi ces firewall ?

suis sûr c'est rien tes soi disantes attaques lol faut pas gueuler aux premièrs avertissement du firewall non plus

 
J'en étais satisfait avant de virer tout firewall logiciel.
Maitenant c'est mon routeur firewall qui se charge de ça.

je viens de découvrir ce programme hijackthis avec analyse du log généré en ligne ici http://hijackthis.de/index.php#anl...et il a découvert le chargement d'une DLL suspecte (il me dit probablement méchant la DLL) et qui était en fait un trojan (éliminé par mon antivirus ce matin ) donc il avait raison ce bougre de programme de me méfier....et j'ai viré d'autres trucs pas clair dans la liste ....let's wait and see....