Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1353 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs

  analyse de log et TCP

 
 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

analyse de log et TCP

n°786702
nohack
Posté le 26-02-2006 à 01:05:29  profilanswer
 

salut,je voulais juste savoir quand on recoit des scan de ce type comment linterprete?
 
 
1 Connexion TCP au port 139(SYN,SYN/ACK,ACK)
2 request SNMB  
et apres 10 sec:
3 FIN/ACK
 
J4ai eut ce type de scan au moins 10 fois en une journe
 
 
Et aussi,je recois des segments TCP avec PSH et RST activé,comment les interpete?

mood
Publicité
Posté le 26-02-2006 à 01:05:29  profilanswer
 

n°786709
l0ky
Posté le 26-02-2006 à 09:01:52  profilanswer
 

Déjà tu pourrais dire d'ou tu sors de tel logs.
Ensuite ce n'est pas vraiment des scans.
 
tes 1.2 et 3 t'informes que quelqu'un a ouvert une session sur le 139 (SAMBA) et a fait une requete, puis la fermé. SAMBA pour info c'est entre autres les partages de fichiers à la windows.
 
le 1. handshake tcp, 3 paquets pour ouvrir une session
2 requete SMB
3 fermeture propre de la connection.
 
Lorsque tu recois des paquets TCP PSH/RST, cela peut etre pris plus pour des scan par contre.
 
=> Si tout ca vient d'internet vérifie ton firewall, ca me semble etre une belle passoire.

n°786878
nohack
Posté le 26-02-2006 à 17:22:36  profilanswer
 

ben,je tire cela de tcpdump,et janalyse avec ethereal,
c'est une machine que j'ai connecté a internet et je m'amuse a voir ce qui arrive dessus.
 
En fait des tentatives de connexion sur le port 139 jen ai bcp,
mais jai installe un logiciel qui ouvre le port,ie quil pourra y avoir une connexion
au niveau TCP,par contre,le service associe cest un truc bidon,donc il ne sait pas repondre au request du client,
il fait rien,
 
J'ai recut aussi des segment UDP vers le port 1433,ca doit etre des vers.
 
PAr contre,au niveau de UDP,je voulais savoir comment ou a quel niveau la machine
cible va enregistrer l'adresse source si elle veut repondre a la machine atatquante.
Est au niveau applicatif,transport?

n°786888
l0ky
Posté le 26-02-2006 à 17:55:01  profilanswer
 

Je doute qu'un forum soit l endroit idéal pour que tu puisse apprendre le réseau de ce type
conseil: revoit le model osi (bien qu'un peu obsolete de nos jour). Lis un peu pour savoir comment les différentes couches opère entre elle.
 
 
http://christian.caleca.free.fr/reseaux/mod_osi.htm

n°786889
l0ky
Posté le 26-02-2006 à 17:56:10  profilanswer
 
n°787029
Kyle_Katar​n
Posté le 27-02-2006 à 08:57:31  profilanswer
 

Installe Prelude-IDS !

n°787030
l0ky
Posté le 27-02-2006 à 08:59:02  profilanswer
 

relis le topic...
Il ne cherche pas avoir une réponse toute faite
Il cherche a analyser de lui même les flux réseaux via un sniffer.


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs

  analyse de log et TCP

 

Sujets relatifs
Ouvir port TCP sur squidanalyse de log ?
Detection/analyse d'intrusions IPTables/IPFilteranalyse sur une architecture réseau
conseil d'achat livre : TCP/IP sous GNU/LinuxPort TCP sous red hat 30 ES
TCP et Port source sous linuxméthodes d'analyse des risques 2
méthodes d'analyse des risquesStack TCP/IP et FreeBSD
Plus de sujets relatifs à : analyse de log et TCP

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo
Page générée en 0.028 secondes

Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR