Dos Attack : NULL Scan Fermé

Question

Bonjour, 

Bonjour, 
Etant dans une petite PME, j'ai a m'occuper du réseaux de notre entreprise malgré que je ne sois pas du tout formée pour. 
Depuis quelques semaine, nous subissons régulièrement des ralentissements de débit internet, avec de plus, de temps en temps, l'apparition lors de nos recherches google d'une demande de vérification pour prouvé à google que nous ne sommes pas des robots. Lors de ces "ralentissement" nous passons de 8Mbps à 0.5Mbps.

J'ai fait faire un scan antivirus, anti-malwares, et suppression des extensions et logiciels inconus à tout les PCs de la société. Depuis nous n'avons plus de demande de vérification de google, mais depuis que j'ai activé l'envoi des logs de mon routeur par mail pour pister le problème je reçoit régulièrement des mails de sa part contenant ce genre d'information : 

"[DoS Attack: NULL Scan] from source: 141.138.133.25, port 443, Friday, November 04, 2016 15:01:01 
[DoS Attack: NULL Scan] from source: 95.131.190.72, port 443, Friday, November 04, 2016 15:05:59"
Ces mails sont rempli d'environ une 50ène de ces lignes avec des adresses IP différentes. En l'espace de 4h j'en ai reçu 14. Est-ce grave docteur?

Pourriez vous m'expliquer ce que sont exactement ces "NULL Scan" ?
Quels sont les solutions pour nous protéger de ce genre "d'attaque"? 
J'ai bien compris que les ports doivent être fermés si il n'ont pas de raison d'être ouvert mais comment fait-on ceci ? ( mon routeur est un netgear Genie WNR1000v2) .
Qu'elle sont les ports à ouvrir en dehors du port 21 (pour notre ftp) et du port 80?

Merci d'avance pour votre temps

Configuration: Windows / Chrome 54.0.2840.71

Malekal_morte- · Answer

Salut,

Qu'elle sont les ports à ouvrir en dehors du port 21 (pour notre ftp) et du port 80?  

Ca dépend quel service, tu as besoin de faire tourner.

Y a un site WEB hébergé sur cette connexion ?
Il y a combien d'ordinateurs ?
 
Veuillez appuyer sur une touche pour continuer la désinfection...

flamme34 · Answer

Tout d'abord merci de ta réponse. 
J'héberges un site en local mais seulement pour un accès local.

Concernant les services je ne sais pas trop : Nous utilisons internet pour les recherche, un peu de skype, un peu de teamviewer. Ensuite je ne sais pas si les logiciels que nous utilisons ont besoin ou pas d'ouverture de ports.

Malekal_morte- · Answer

Le fait que vous ayez le captcha qui se lance sur Google.
Ca fait penser à une machine vérolée qui envoie des requêtes automatisées sur Google.

Pour ce qui est des logs du routeur, si c'est toujours le port 443, ça aurait pu faire penser à des tentatives de connexions sur un site WEB en HTTPs.
Genre piraté, et du contenu malicieux est hébergé et distribué.
Du coup bcp de machines s'y connectent et téléchargent et ça fait ramer la connexion.
Mais, si y a pas de site sur internet, tu dis.

Note que ça peut aussi être le routeur qui est piraté.
S'il est pas à jour.
Il est peut-être dans le botnet Mirai :D

~~

Après, je ne sais pas trop si on peut se fier à des alertes d'un routeur, surtout que ça doit être un routeur grand public.

Il y a combien de postes ?
Si tu as genre 5-8, tu peux les vérifier un par un.
Si tu en as plus ça va être compliqué, là faudrait plutôt mettre une machine linux avant le routeur pouvoir ce qui sort de tous les ordinateurs.
Mais ça, faut savoir le faire.

A la limite, éteindre tous les PC.
Tu en mets un autre et vérifie le débit.
Si le débit reste bon : allume quelques 'un et vois si ça chute. On peut en déduire qu'il y en a un vérolé.
Si le débit est mauvais, même tous les PC éteint, ouais une attaque même si j'y crois pas trop... ou alors un problème sur la ligne.


Bref, ca peut être plein de choses et tes marges de manœuvres sont assez limitées par tes connaissances.
A un moment donné, si vous pataugez de trop, faut faire venir quelqu'un.

Dos Attack : NULL Scan

3 réponses

Discussions similaires