Tulypia LaSoigneuse |
Voir le profil public |
Trouver plus de messages par Tulypia LaSoigneuse |
Aller à la page... |
ZoneAlarm : fausse alerte ou ...?
Suivre Répondre |
|
Partager | Rechercher |
|
Citation :
Sinon j'ai remis en medium voir et aucun message alerte... j'y comprend + rien |
07/07/2003, 03h30 |
|
Tulypia LaSoigneuse |
Voir le profil public |
Trouver plus de messages par Tulypia LaSoigneuse |
|
Resolved 195.93.66.134 to dns-frr-tf.proxy.aol.com
Rassurée ? |
07/07/2003, 03h50 |
|
Tulypia LaSoigneuse |
Voir le profil public |
Trouver plus de messages par Tulypia LaSoigneuse |
|
172.186.53.128 c'est toi je crois.
|
07/07/2003, 04h01 |
|
Tulypia LaSoigneuse |
Voir le profil public |
Trouver plus de messages par Tulypia LaSoigneuse |
|
Non je suis pas en réseau
|
07/07/2003, 04h09 |
|
Tulypia LaSoigneuse |
Voir le profil public |
Trouver plus de messages par Tulypia LaSoigneuse |
|
Bon alors essayons d'expliquer pourquoi le mode High de Zone Alarm est difficilement utilisable dans bien des cas.
Il se déclenche lorsque quelqu'un essaie de se connecter a ma machine, lors d'un scan un peu appuyé par exemple. Mais alors c'est une attaque ? Pas du tout, enfin disons que ça peut en être les prémices, parfois, sinon ça peut être aussi une machine infectée avec CodeRed (80), Slammer (1443) ou Randon (445) qui essaie de reproduire le virus. Ou un petit malin qui essaie de voir si un port est ouvert. Plus couramment, il s'agit de communication ayant été établies, et rompues ou resettées, mais qui n'est pas considérée comme telle par le peer. Par exemple, j'envoie une requête DNS en udp vers un serveur, j'attends le paquet de retour pendant 2 secondes, puis je ferme le port emetteur de la demande, au bout de 3 secondes, le serveur DNS me renvoie les données que j'avais demandées, paf, alerte. Bon elfette, dans ton cas, une machine AOL (172.186.53.128, j'ai résolu acba3580.ipt.aol.com) essaie de se connecter sur ton port 1418 (port de service Timbuktu, qui dans ce cas est un soft de prise en main a distance), peut etre un coco qui sais comment passer outre au login de timbuktu et qui regarde si quelqu'un l'a installé. A mon sens, aucune inquiétude a avoir, repasse plutot en Medium. Pour Info sur mon FW professionnel, j'ai environ 100 alertes/jour (bon il est réglé un peu sérré ) , enfin disons 100 tentatives de communication non reconnues, dont environ un tiers proviennent de machines infectées par codered, slammer ou randon.
__________________
Nouveau: sur le blog technique de Paice: http://paice.info: Un article sur Sophos Secure Email Gateway |
07/07/2003, 10h06 |
|
|
il suffit de desactiver les infos alerte en mode hight et c'est réglé.
PS: moi je l'utilise dans ce mode, et pas de soucis avec DAOC-SI ca marche nickel. |
07/07/2003, 12h22 |
|
|
Merci pour votre aide, je vais donc laisser ZoneAlarm en mode High
|
07/07/2003, 15h25 |
|
Tulypia LaSoigneuse |
Voir le profil public |
Trouver plus de messages par Tulypia LaSoigneuse |
Suivre Répondre |
Connectés sur ce fil1 connecté (0 membre et 1 invité)
Afficher la liste détaillée des connectés
|