JeuxOnLineForumsPlusCréer un compte
Dark Age of Camelot
Technique et Automatisation
Les forums JOL > Dark Age of Camelot > DAoC - Technique et Automatisation > ZoneAlarm : fausse alerte ou ...? RSS
   
Répondre
Partager Outils Rechercher
Avatar de Tulypia LaSoigneuse
Tulypia LaSoigneuse
Bagnard
 
Avatar de Tulypia LaSoigneuse
 
Question

ZoneAlarm : fausse alerte ou ...?

J'ai depuis peu un message d'alerte qui revient :

rating / date and time / type / source IP
high / 2003/07/07 2:57:44 / firewall / 195.93.66.134:53

Apres :
destination IP / /direction /action taken
xxx (la mienne avec le port qui change)/ incoming/ blocked

Apres :
Count/destination dns
1 / ACB 08537.ipt.aol

Sur ce je déco reco
[edit] ca me le fait depuis que je suis en mode "High"
Lien direct vers le message - Vieux
Avatar de Nemi
Nemi
Reine
 
Avatar de Nemi
 
Un des raisons pour lesquelles j'ai viré ZoneAlarm, toujours des centaines d'alertes pour pas grand chose finalement...

Essaye un backtrace ou Whois au cas ou mais bon à mon avis c'est pas grand chose, surtout si tu es en high security
Lien direct vers le message - Vieux
Avatar de Tulypia LaSoigneuse
Tulypia LaSoigneuse
Bagnard
 
Avatar de Tulypia LaSoigneuse
 
Citation:
Essaye un backtrace ou Whois
Qu'est-ce que c'est ?
Sinon j'ai remis en medium voir et aucun message alerte... j'y comprend + rien
Lien direct vers le message - Vieux
Avatar de Nemi
Nemi
Reine
 
Avatar de Nemi
 
Citation:
Provient du message de Elfette
Qu'est-ce que c'est ?
C'est un système qui te permet de retrouver l'ip d'origine, mais je ne sais plus si ZoneAlarm le fait, le Whois peut-être en faisant click droit sur l'alerte mais je ne suis vraiment pas sûre.

Citation:
Sinon j'ai remis en medium voir et aucun message alerte... j'y comprend + rien
Ca ça ne m'étonne pas, en mode high, le firewall détecte et empêche la moindre "intrusion" même minime sur ton PC, je me souviens qu'il me bloquait même les cookies à une époque le fourbe... Tout est question de configuration mais j'imagine que si tu n'y connais rien ça ne doit pas être simple. D'ailleurs n'y connaissant rien non plus, j'ai opté pour Sygate Personal Firewall qui est tout aussi gratuit et beaucoup moins emmerdant.


Tout ceci n'engage que moi, pauvre novice, bien entendu.
Lien direct vers le message - Vieux
Avatar de Elric l'aigri
Elric l'aigri
Bagnard
 
Avatar de Elric l'aigri
 
Resolved 195.93.66.134 to dns-frr-tf.proxy.aol.com
Rassurée ?
Lien direct vers le message - Vieux
Avatar de Tulypia LaSoigneuse
Tulypia LaSoigneuse
Bagnard
 
Avatar de Tulypia LaSoigneuse
 
Non il y a pas, par contre je peux cliquer sur "more info" et ça donne : (ça me met sur leur site)
Citation:
ZoneAlarm Pro has blocked a data packet addressed to another computer

ZoneAlarm Pro has successfully prevented local network or Internet traffic from reaching your computer. No breach in your security has occurred. Your computer is safe.
What happened?




ZoneAlarm Pro blocked an incoming data packet that was addressed to port 53 on another computer. The packet was either mistakenly or intentionally routed through your computer. The data packet was sent from port 1418 on a computer whose IP address is 172.186.53.128.





Should I be concerned?




This alert generally occurs either as a result of random routing problems on the Internet or a configuration issue on a local network. If you are in a networked environment using NAT or ICS, make sure you are using ZoneAlarm Pro on the gateway. ZoneAlarm does not support NAT or ICS for gateways but can be used on the other networked machines.





What should I do?




If you are in an environment that uses ICS or NAT routing, you can avoid this alert by using ZoneAlarm Pro which supports NAT and ICS routing. If you are using ZoneAlarm Pro on the gateway computer of a shared Internet connection, check that the computers in your local network have been added to your Trusted Zone. Please refer to the help files to accomplish this task. You may also want to consider lowering the security to medium and see if the alerts go away. The AlertAdvisor has determined your Trusted Zone security level to be High and your Internet Security Level to be High.


C'est en Anglais donc je comprend rien :/
Sinon pourquoi en mode "high" il y a toujours des intrusions bloquées? Même quand je ne fais QUE jouer à DAOC, avec bien sur aol en arrière plant mais en en fenetre baissée.
Lien direct vers le message - Vieux
Avatar de Elric l'aigri
Elric l'aigri
Bagnard
 
Avatar de Elric l'aigri
 
172.186.53.128 c'est toi je crois.
Lien direct vers le message - Vieux
Avatar de Tulypia LaSoigneuse
Tulypia LaSoigneuse
Bagnard
 
Avatar de Tulypia LaSoigneuse
 
Citation:
Provient du message de Elric
172.186.53.128 c'est toi je crois.
Ha? Je comprend + rien moi....
Et c'est normal que quand je passe en mode "high" j'ai sans arrêt des tentatives d'intrusions bloquées?
Lien direct vers le message - Vieux
Avatar de Nemi
Nemi
Reine
 
Avatar de Nemi
 
Citation:
Provient du message de Elric
172.186.53.128 c'est toi je crois.
Nan c'est l'ip d'où vient le packet.

Sinon Mr ZoneAlarm te demande si par hasard tu ne serais pas en réseau et il dit que si c'est le cas tout ça peut venir d'une mauvaise configuration du réseau local.

[edit: Il dit aussi de passer en medium pour voir si les alertes persistent.. Il doit savoir qu'il abuse un peu des fois ]


@ Elric Arrête de me suivre toua!
Lien direct vers le message - Vieux
Avatar de Tulypia LaSoigneuse
Tulypia LaSoigneuse
Bagnard
 
Avatar de Tulypia LaSoigneuse
 
Non je suis pas en réseau
Lien direct vers le message - Vieux
Avatar de Paice
Paice [SVPPB]
Alpha & Oméga
 
Avatar de Paice
 
Bon alors essayons d'expliquer pourquoi le mode High de Zone Alarm est difficilement utilisable dans bien des cas.

Il se déclenche lorsque quelqu'un essaie de se connecter a ma machine, lors d'un scan un peu appuyé par exemple.

Mais alors c'est une attaque ?

Pas du tout, enfin disons que ça peut en être les prémices, parfois, sinon ça peut être aussi une machine infectée avec CodeRed (80), Slammer (1443) ou Randon (445) qui essaie de reproduire le virus. Ou un petit malin qui essaie de voir si un port est ouvert.
Plus couramment, il s'agit de communication ayant été établies, et rompues ou resettées, mais qui n'est pas considérée comme telle par le peer. Par exemple, j'envoie une requête DNS en udp vers un serveur, j'attends le paquet de retour pendant 2 secondes, puis je ferme le port emetteur de la demande, au bout de 3 secondes, le serveur DNS me renvoie les données que j'avais demandées, paf, alerte.

Bon elfette, dans ton cas, une machine AOL (172.186.53.128, j'ai résolu acba3580.ipt.aol.com) essaie de se connecter sur ton port 1418 (port de service Timbuktu, qui dans ce cas est un soft de prise en main a distance), peut etre un coco qui sais comment passer outre au login de timbuktu et qui regarde si quelqu'un l'a installé.
A mon sens, aucune inquiétude a avoir, repasse plutot en Medium.

Pour Info sur mon FW professionnel, j'ai environ 100 alertes/jour (bon il est réglé un peu sérré ) , enfin disons 100 tentatives de communication non reconnues, dont environ un tiers proviennent de machines infectées par codered, slammer ou randon.
__________________
Nouveau: sur le blog technique de Paice: http://paice.info: Un article sur Sophos Secure Email Gateway
Lien direct vers le message - Vieux
Avatar de Balder
Balder [KE]
Empereur
 
Avatar de Balder
 
Lightbulb
il suffit de desactiver les infos alerte en mode hight et c'est réglé.

PS: moi je l'utilise dans ce mode, et pas de soucis avec DAOC-SI ca marche nickel.
Lien direct vers le message - Vieux
Avatar de Lenclume
Lenclume
Alpha & Oméga
 
Avatar de Lenclume
 
J'utilise aussi ZA en mode High et sur Noos (câble) j'ai des alertes en pagaille, jusqu'à + d'une centaine par heure. Je m'en tamponne un peu car cela ne gène en rien mon utilisation de ma machine et des logiciels qui sont dessus, et me rassure sur l'efficacité de celui-ci.
Lien direct vers le message - Vieux
Avatar de Zakk
Zakk
Roi
 
Avatar de Zakk
 
kikoo elfette

Bon je vais essayer d'etre le plus clair possible.

Si tu utilises ton PC comme une passerelle réseau local, tu es obligée d'utiliser ZA en mode "medium", ou d'utiliser ZA Pro en mode high (qui sait gérer NAT et ICS).

Si tu utilises ton PC en monoposte, sans partage de connection ni partage de fichiers, utilise ZA en mode "high".

Les alertes ne sont pas un problème, meme quand il y en a 10+ à la minute.

Pour tout le monde, sachez que en mode "medium" ZA laisse passer les requetes UDP/TCP 137 etc ... (le partage de fichiers Windows) ... donc les machines partagées deviennent visibles depuis le net ...

Oali, oala, bonne journée a tous
Lien direct vers le message - Vieux
Avatar de Tulypia LaSoigneuse
Tulypia LaSoigneuse
Bagnard
 
Avatar de Tulypia LaSoigneuse
 
Merci pour votre aide, je vais donc laisser ZoneAlarm en mode High
Lien direct vers le message - Vieux
Répondre
Les forums JOL > Dark Age of Camelot > DAoC - Technique et Automatisation > ZoneAlarm : fausse alerte ou ...?
   

Outils Rechercher
Rechercher:

Recherche avancée

Les vidéos de Dark Age of Camelot RSS
Les critiques de Dark Age of Camelot RSS
Thème visuel : Fuseau horaire GMT +1. Il est actuellement 07h10.
   

© JeuxOnLine, le site des MMO, MMORPG et MOBA. Tous droits réservés. - Conditions générales d'utilisation - Conditions d'utilisation des forums - Traitement des données personnelles - ! Signaler un contenu illicite