attaques permanentes sur pare feu pc cillin

Question

Bonjour,
mon pare feu PC Cillin recoit des attaques permanentes en cloaking (et de temps en temps en netbios-browsing ,trace route ou ping attack); est ce normal? (des fois j'ai jusqu'a + de 150 attaque cloaking/minute)! Ai je un virus ou trojan?
je suis sous windows xp avec abonnement adsl 512 tele2.
Merci de votre aide.

Afficher la suite

foobar47 · Answer

Salut,

150 attaque/minutes !?

Utilises-tu des logiciels P2P !?

Les ping, trace route sont des attaques "quotidiennes", il suffit de ne pas les laisser passer !

As-tu un anti virus à jour !?

Fais un scan pour voir !

@++

foobar... le fou du bar !!!

geronimo63 · Answer

salut foobar
je n'ai pas de logiciel peer to peer, mon anti virus est à jour, j'ai scanné mon DD ,rien trouvé ni avec anti virus ni avec ad aware, ni avec spybot, j'ai meme fait scanner mon DD en ligne et je n'ai rien trouvé (j'ai eu Kaaza mais depuis j'ai reformaté mon DD et ne l'ai pas reeinstallé)
Ci joint extrait du rapport pc cillin

Cloaking (dissimulation),00:15:56,ENTRÉE,TCP,81.49.143.143,3569,80.170.9.111,40662,Cloaking,
Cloaking (dissimulation),00:15:59,ENTRÉE,TCP,81.49.143.143,3569,80.170.9.111,40662,Cloaking,
Cloaking (dissimulation),00:16:05,ENTRÉE,TCP,81.49.143.143,3569,80.170.9.111,40662,Cloaking,
Cloaking (dissimulation),00:16:17,ENTRÉE,TCP,81.49.143.143,3569,80.170.9.111,40662,Cloaking,
Cloaking (dissimulation),00:16:49,ENTRÉE,TCP,172.178.69.141,4667,80.170.9.111,4662,Cloaking,
Cloaking (dissimulation),00:16:52,ENTRÉE,TCP,172.178.69.141,4667,80.170.9.111,4662,Cloaking,
Pare-feu,00:16:56,ENTRÉE,TCP,80.170.10.66,4229,80.170.9.111,135,NetBIOS Browsing,
Cloaking (dissimulation),00:16:58,ENTRÉE,TCP,172.178.69.141,4667,80.170.9.111,4662,Cloaking,
Pare-feu,00:16:59,ENTRÉE,TCP,80.170.10.66,4229,80.170.9.111,135,NetBIOS Browsing,
Pare-feu,00:17:05,ENTRÉE,TCP,80.170.10.66,4229,80.170.9.111,135,NetBIOS Browsing,
Pare-feu,00:17:24,ENTRÉE,TCP,80.170.8.96,1794,80.170.9.111,135,NetBIOS Browsing,
Pare-feu,00:17:27,ENTRÉE,TCP,80.170.8.96,1794,80.170.9.111,135,NetBIOS Browsing,
Pare-feu,00:17:33,ENTRÉE,TCP,80.170.8.96,1794,80.170.9.111,135,NetBIOS Browsing,
Cloaking (dissimulation),00:18:00,ENTRÉE,TCP,81.51.251.169,18575,80.170.9.111,4662,Cloaking,
Cloaking (dissimulation),00:18:02,ENTRÉE,TCP,81.51.251.169,18588,80.170.9.111,4662,Cloaking,
Cloaking (dissimulation),00:18:05,ENTRÉE,TCP,81.51.251.169,18617,80.170.9.111,4662,Cloaking,
Cloaking (dissimulation),00:18:37,ENTRÉE,TCP,80.13.233.29,11115,80.170.9.111,4661,Cloaking,
Cloaking (dissimulation),00:18:40,ENTRÉE,TCP,80.13.233.29,11115,80.170.9.111,4661,Cloaking,
Cloaking (dissimulation),00:18:43,ENTRÉE,TCP,81.51.251.169,18820,80.170.9.111,4662,Cloaking,
Cloaking (dissimulation),00:18:43,ENTRÉE,TCP,80.13.233.29,11115,80.170.9.111,4661,Cloaking,
Cloaking (dissimulation),00:18:46,ENTRÉE,TCP,81.51.251.169,18820,80.170.9.111,4662,Cloaking,
Cloaking (dissimulation),00:18:46,ENTRÉE,TCP,80.13.233.29,11115,80.170.9.111,4661,Cloaking,
Cloaking (dissimulation),00:18:48,ENTRÉE,TCP,81.51.251.169,18849,80.170.9.111,4662,Cloaking,
Cloaking (dissimulation),00:18:49,ENTRÉE,TCP,80.13.233.29,11115,80.170.9.111,4661,Cloaking,
Cloaking (dissimulation),00:18:52,ENTRÉE,TCP,80.13.233.29,11115,80.170.9.111,4661,Cloaking,
Cloaking (dissimulation),00:18:58,ENTRÉE,TCP,80.13.233.29,11115,80.170.9.111,4661,Cloaking,

Cloaking (dissimulation),00:19:30,ENTRÉE,TCP,81.51.251.169,19079,80.170.9.111,4662,Cloaking,
Cloaking (dissimulation),00:19:34,ENTRÉE,TCP,81.51.251.169,19120,80.170.9.111,4662,Cloaking,

Merci pour ta réponse

Galsungen · Answer

4662 est l'un de sports par défaut de emule/edonkey :)Gals - Nibelungen

foobar47 · Answer

Heu,

tu rigoles ou quoi !?

les ports 4662 et 4661 sont utilisées par les logiciels P2P comme emule par exemple !

Soit tu ne sais pas que tu en as soit tu te fous de moi !

Ferme le port 135 !
C'est le port des Blasters par exemple !

@++

foobar... le fou du bar !!!

geronimo63 · Answer

re foobar,
non je n'ai ni emule ni kaaza ni aucun P2P (j'avais Kazaa mais g reformaté mon DD et ne l'ai pas reinstallé).
Excuse je suis un peu nul en informatique: on fait comment pour fermé le port 135?
encore merci à toi et à galz.
(vais me coucher, il est tard A+)

geronimo63 · Answer

Ci dessous autre extrait rapport pc cillin(je suis attaqué sous autres ports que 135 et 4662)
A+

Cloaking (dissimulation),01:27:29,ENTRÉE,TCP,81.49.79.222,51031,80.170.9.111,4663,Cloaking,
Cloaking (dissimulation),01:27:29,ENTRÉE,TCP,81.49.79.222,50979,80.170.9.111,4663,Cloaking,
Cloaking (dissimulation),01:27:34,ENTRÉE,TCP,81.250.228.97,4844,80.170.9.111,3500,Cloaking,
Cloaking (dissimulation),01:27:34,ENTRÉE,TCP,81.67.146.103,3060,80.170.9.111,4662,Cloaking,
Cloaking (dissimulation),01:27:36,ENTRÉE,TCP,81.250.228.97,4844,80.170.9.111,3500,Cloaking,
Cloaking (dissimulation),01:27:39,ENTRÉE,TCP,82.65.78.246,3935,80.170.9.111,40662,Cloaking,
Cloaking (dissimulation),01:27:42,ENTRÉE,TCP,81.250.228.97,4844,80.170.9.111,3500,Cloaking,
Cloaking (dissimulation),01:27:42,ENTRÉE,TCP,82.65.78.246,3935,80.170.9.111,40662,Cloaking,
Cloaking (dissimulation),01:27:48,ENTRÉE,TCP,82.65.78.246,3935,80.170.9.111,40662,Cloaking,
Cloaking (dissimulation),01:27:56,ENTRÉE,TCP,217.233.44.187,2712,80.170.9.111,40662,Cloaking,
Cloaking (dissimulation),01:27:59,ENTRÉE,TCP,217.233.44.187,2712,80.170.9.111,40662,Cloaking,
Cloaking (dissimulation),01:28:05,ENTRÉE,TCP,81.67.146.103,3233,80.170.9.111,4662,Cloaking,
Cloaking (dissimulation),01:28:05,ENTRÉE,TCP,217.233.44.187,2712,80.170.9.111,40662,Cloaking,
Cloaking (dissimulation),01:28:08,ENTRÉE,TCP,81.67.146.103,3233,80.170.9.111,4662,Cloaking,
Cloaking (dissimulation),01:28:14,ENTRÉE,TCP,81.67.146.103,3233,80.170.9.111,4662,Cloaking

sebsauvage · Answer

C'est rien, c'est normal.http://sebsauvage.net/safehex.html#r041bTu peux ignorer ces alertes.Ce sont juste des logiciels de P2P sur internet qui essaient de communiquer avec toi.

foobar47 · Answer

Salut Seb !ok mais pourquoi ils essayent de communiquer !?C'est un "réseau" le P2P non !?si tu n'es pas connecté, il ne te voit pas !?je comprends pas !foobar... le fou du bar !!!

Galsungen · Answer

oui la je comprends plus, je veux bien avoir plus d'infos :)Gals - Nibelungen

geronimo63 · Answer

bonjour et merci à tous.

Ca me rassure un peu sebsauvage, mais je voudrais bien savoir pourquoi toutes ces attaques meme si elles n'aboutissent pas.
(G testé mes ports sur le site symantec et ils sont tous bloqués)

sebsauvage · Answer

Ce ne sont pas des attaques !La plupart des protocoles P2P essaient de "découvrir" d'autres ordinateurs partageant aussi des fichiers.Pour cela, ils tentent de se connecter sur des tas d'ordinateurs différents, jusqu'à en trouver qui répondent sur ces ports.Comme il y a beaucoup d'utilisateurs de P2P, ça fait des millions d'ordinateurs qui essaient de se connecter sur des millions d'autres.Même si tu n'utilise pas de P2P, tu verra arriver des tentatives de connexion vers ton ordinateur.Je le répète: ce ne sont pas des attaques, mais de simples tentatives de connexion.

geronimo63 · Answer

ok merci sebsauvage, bien compris ;-)

(juste une précision : est ce normal que ce soit en permanence, du moment ou je me connecte jusqu'a le deconnection (sauf qqus repits de qques minutes de temps en temps))
Encore merci à tous

foobar47 · Answer

Seb,http://www.commentcamarche.net/forum/affich-624789-attaques-permanentes-sur-pare-feu-pc-cillin#8Si tu n'es pas dans le réseaux P2P, pourquoi il te voit !?foobar... le fou du bar !!!

geronimo63 · Answer

ben ouais, comment y font?  :-)

geronimo63 · Answer

Re tout le monde.

J'ai une petite explication, à savoir que mon pare feu (pc cillin était en protection élevée, et donc qu'il détéctait les cloakings (voir définition de pc cillin ci dessous).Je suis passé en protection moyenne et là il ne tient plus compte des fameux cloaking et je n'ai plus d'alerte.
Maintenant la question est : est ce que je dois resté en protection élevée?
J'éspère avoir fait un peu avancé le débat!
Merci à tous ceux qui m'ont répondu (et aux autres aussi)A+

Claoking=Une personne non autorisée a tenté de se connecter à votre ordinateur (probablement à l’aide d’un “ renifleur de paquets ” ou d’un autre outil). Cette requête a été rejetée et votre ordinateur demeure masqué pour les autres ordinateurs.

foobar47 · Answer

il ne scanne pas toutes les plages d'ip quand même !!!:-ofoobar... le fou du bar !!!

geronimo63 · Answer

Apparement si, car g fait un scan sur le site symantec et tous les ports testés sont restés bloqués!

foobar47 · Answer

Bah je ne crois pas quand même !on va attendre seb pour plus d'info !!foobar... le fou du bar !!!

sebsauvage · Answer

Si si, je présume que certains s'amusent à scanner des plages d'adresses IP, en particulier pour le P2P (afin de découvrir de nouvelles machines et de nouveaux réseaux P2P).

Plus généralement, il suffit que tu vienne de récupérer l'IP de quelqu'un qui était en train de faire du P2P:
Son adresse IP (et donc la tienne, maintenant) est donc dans le cache de centaines de serveurs P2P dans le monde.

C'est la raison de toutes ces alertes.

Pour le cloacking:
Quand une demande de connexion arrive sur un port (TCP SYN), l'ordinateur peut avoir 3 réponses:
- accepté (quand il y a un serveur en écoute sur le port)
- refusé (il y a bien un ordinateur présent, mais le port est fermé)
- aucune réponse (il n'y a pas d'ordinateur à cette adresse).

Le "cloacking" proposé par les firewall consiste à donner la réponse n°3 même si l'ordinateur est bien là.
De la vue de celui qui essai de se connecter, c'est comme si il n'y avait pas d'ordinateur à cette adresse.

foobar47 · Answer

Merci pour le complèment d'info !!:-)foobar... le fou du bar !!!

marie · Answer

j'espere que j'arrive pas un peu tard dans la discussion et que qqun me répondra :))j'ai le même pb exactement avec pc-cillin et je suis aussi connectée avec tele2est-ce que çà peut être lié au fournisseur d'acces?pour certaines adresses j'en suis presque sûre car l'adresse IP est proche de celle qu'ils m'envoient ; ce sont des "attaques" de type "netbios browsing"(et je sais pas ce que c'est...)pour les autres...

crapcrap · Answer

bonjourJ'ai effectivement ce type de message avec pc cillin, à croire qu'internet est un endroit mal fréquenté mais il ne faut pas non plus paranïoer (euh ça existe .....) si on a ce type de message c'est que le firewall fait son boulot ... enfin on espère.Petite question donc comment interdire un port avec pc cillin, il y a bien une liste de ports fermés mais on ne peut pas en ajouter ... si quelqu'un a la solution ..Autre chose lorsqu'il y a un ping attack le port spécifié est S/O c'est quoi encore que cette bêbête là ?merci pour vos réponsescrapcrap

chau · Answer

Bonsoir,Je decouvre récemment ce site et ce forum . Donc, si mes questions sont idiotes, veuillez m'en excuser . Merci d'avance ;-)J'ai en fait un pare-feu McAfee fourni par AOL , mon FAI depuis quelques semaines. Les ports les plus "sollicités" (jusqu'à 400fois/15jours) sont : 4662,3842,3962,23327 . D'après vous , les experts, mon PC a beucoup de risques ? Risques potentiells comme Intrus, Vols des données, Virus,.... par exemple.Merci de votre réponse.

BmV · Answer

Salut.Si les "alertes" sont stoppées, que demander de plus ?C'est le travail d'un firewall d'arrêter les tentatives d'intrusion, le tien le fait bien, donc surfe tranquille et oublie ça.Si tu as un antivirus bien à jour "derrière", tu ne devrais pas avoir de souci majeur ...Très bon site à parcourir : http://sebsauvage.net/A+-=O(_BmV_)O=-  L'amour comme épée,      ||       ||       l'humour comme bouclier.

Nico · Answer

Perso, j'ai le cable par EVC, le NetBIOS Browsing est aussi présent sur une adresse IP proche de la mienne

Attaques permanentes sur pare feu pc cillin

25 réponses

Votre réponse

Newsletters