ZoneAlarm : fausse alerte ou ...?

Répondre
Partager Rechercher
J'ai depuis peu un message d'alerte qui revient :

rating / date and time / type / source IP
high / 2003/07/07 2:57:44 / firewall / 195.93.66.134:53

Apres :
destination IP / /direction /action taken
xxx (la mienne avec le port qui change)/ incoming/ blocked

Apres :
Count/destination dns
1 / ACB 08537.ipt.aol

Sur ce je déco reco
[edit] ca me le fait depuis que je suis en mode "High"
Un des raisons pour lesquelles j'ai viré ZoneAlarm, toujours des centaines d'alertes pour pas grand chose finalement...

Essaye un backtrace ou Whois au cas ou mais bon à mon avis c'est pas grand chose, surtout si tu es en high security
Citation :
Provient du message de Elfette
Qu'est-ce que c'est ?
C'est un système qui te permet de retrouver l'ip d'origine, mais je ne sais plus si ZoneAlarm le fait, le Whois peut-être en faisant click droit sur l'alerte mais je ne suis vraiment pas sûre.

Citation :
Sinon j'ai remis en medium voir et aucun message alerte... j'y comprend + rien
Ca ça ne m'étonne pas, en mode high, le firewall détecte et empêche la moindre "intrusion" même minime sur ton PC, je me souviens qu'il me bloquait même les cookies à une époque le fourbe... Tout est question de configuration mais j'imagine que si tu n'y connais rien ça ne doit pas être simple. D'ailleurs n'y connaissant rien non plus, j'ai opté pour Sygate Personal Firewall qui est tout aussi gratuit et beaucoup moins emmerdant.


Tout ceci n'engage que moi, pauvre novice, bien entendu.
Non il y a pas, par contre je peux cliquer sur "more info" et ça donne : (ça me met sur leur site)
Citation :
ZoneAlarm Pro has blocked a data packet addressed to another computer

ZoneAlarm Pro has successfully prevented local network or Internet traffic from reaching your computer. No breach in your security has occurred. Your computer is safe.
What happened?




ZoneAlarm Pro blocked an incoming data packet that was addressed to port 53 on another computer. The packet was either mistakenly or intentionally routed through your computer. The data packet was sent from port 1418 on a computer whose IP address is 172.186.53.128.





Should I be concerned?




This alert generally occurs either as a result of random routing problems on the Internet or a configuration issue on a local network. If you are in a networked environment using NAT or ICS, make sure you are using ZoneAlarm Pro on the gateway. ZoneAlarm does not support NAT or ICS for gateways but can be used on the other networked machines.





What should I do?




If you are in an environment that uses ICS or NAT routing, you can avoid this alert by using ZoneAlarm Pro which supports NAT and ICS routing. If you are using ZoneAlarm Pro on the gateway computer of a shared Internet connection, check that the computers in your local network have been added to your Trusted Zone. Please refer to the help files to accomplish this task. You may also want to consider lowering the security to medium and see if the alerts go away. The AlertAdvisor has determined your Trusted Zone security level to be High and your Internet Security Level to be High.


C'est en Anglais donc je comprend rien :/
Sinon pourquoi en mode "high" il y a toujours des intrusions bloquées? Même quand je ne fais QUE jouer à DAOC, avec bien sur aol en arrière plant mais en en fenetre baissée.
Citation :
Provient du message de Elric
172.186.53.128 c'est toi je crois.
Nan c'est l'ip d'où vient le packet.

Sinon Mr ZoneAlarm te demande si par hasard tu ne serais pas en réseau et il dit que si c'est le cas tout ça peut venir d'une mauvaise configuration du réseau local.

[edit: Il dit aussi de passer en medium pour voir si les alertes persistent.. Il doit savoir qu'il abuse un peu des fois ]


@ Elric Arrête de me suivre toua! http://216.40.249.192/s/cwm/3dlil/ugh.gif
Bon alors essayons d'expliquer pourquoi le mode High de Zone Alarm est difficilement utilisable dans bien des cas.

Il se déclenche lorsque quelqu'un essaie de se connecter a ma machine, lors d'un scan un peu appuyé par exemple.

Mais alors c'est une attaque ?

Pas du tout, enfin disons que ça peut en être les prémices, parfois, sinon ça peut être aussi une machine infectée avec CodeRed (80), Slammer (1443) ou Randon (445) qui essaie de reproduire le virus. Ou un petit malin qui essaie de voir si un port est ouvert.
Plus couramment, il s'agit de communication ayant été établies, et rompues ou resettées, mais qui n'est pas considérée comme telle par le peer. Par exemple, j'envoie une requête DNS en udp vers un serveur, j'attends le paquet de retour pendant 2 secondes, puis je ferme le port emetteur de la demande, au bout de 3 secondes, le serveur DNS me renvoie les données que j'avais demandées, paf, alerte.

Bon elfette, dans ton cas, une machine AOL (172.186.53.128, j'ai résolu acba3580.ipt.aol.com) essaie de se connecter sur ton port 1418 (port de service Timbuktu, qui dans ce cas est un soft de prise en main a distance), peut etre un coco qui sais comment passer outre au login de timbuktu et qui regarde si quelqu'un l'a installé.
A mon sens, aucune inquiétude a avoir, repasse plutot en Medium.

Pour Info sur mon FW professionnel, j'ai environ 100 alertes/jour (bon il est réglé un peu sérré ) , enfin disons 100 tentatives de communication non reconnues, dont environ un tiers proviennent de machines infectées par codered, slammer ou randon.
__________________
Nouveau: sur le blog technique de Paice: http://paice.info: Un article sur Sophos Secure Email Gateway
J'utilise aussi ZA en mode High et sur Noos (câble) j'ai des alertes en pagaille, jusqu'à + d'une centaine par heure. Je m'en tamponne un peu car cela ne gène en rien mon utilisation de ma machine et des logiciels qui sont dessus, et me rassure sur l'efficacité de celui-ci.
kikoo elfette

Bon je vais essayer d'etre le plus clair possible.

Si tu utilises ton PC comme une passerelle réseau local, tu es obligée d'utiliser ZA en mode "medium", ou d'utiliser ZA Pro en mode high (qui sait gérer NAT et ICS).

Si tu utilises ton PC en monoposte, sans partage de connection ni partage de fichiers, utilise ZA en mode "high".

Les alertes ne sont pas un problème, meme quand il y en a 10+ à la minute.

Pour tout le monde, sachez que en mode "medium" ZA laisse passer les requetes UDP/TCP 137 etc ... (le partage de fichiers Windows) ... donc les machines partagées deviennent visibles depuis le net ...

Oali, oala, bonne journée a tous
Citation :
Provient du message de Liraneve
@ Elric Arrête de me suivre toua! http://216.40.249.192/s/cwm/3dlil/ugh.gif
J'avoue que tu m'as l'air d'avoir de très jolies omoplates mais je ne te suis pas pour autant. Toi par contre, si tu ne cesses pas de me poursuivre de tes assiduités, tu finiras devant le juge pour harcèlement.
Citation :
Provient du message de Paice
Bon elfette, dans ton cas, une machine AOL (172.186.53.128, j'ai résolu acba3580.ipt.aol.com) essaie de se connecter sur ton port 1418 (port de service Timbuktu, qui dans ce cas est un soft de prise en main a distance), peut etre un coco qui sais comment passer outre au login de timbuktu et qui regarde si quelqu'un l'a installé.
Au regret de te contredire Paice mais vu comment le message est formulé sur le firewall de elfette, le packet provient de l'adresse 172.186.53.128:1418 et part en direction d'un DNS d'aol (IPdnsAOL:53). Bref ce n'est en aucun cas une attaque sur le PC d'elfette, et je pari 10g que l'adresse 172.186.53.128 est l'adresse dynamique d'elfette sur AOL.

Bref que vient de faire ton firewall ? et bien de bloquer une demande de resolution DNS provenant de ta machine et en direction des serveur DNS d'AOL, ce qui est, on en conviendra, completement idiot de la part de ce firewall

Elfette: tu n'as pas fait un partage internet? sinon il s'agit d'une erreur du firewall qui a bloqué un paquet tout a fait autorisé (c'est mon avis en tout cas).
Euh Jashugan, je sais pas, effectivement j'avais mal lu le log alors ça dit

Citation :
ZoneAlarm Pro blocked an incoming data packet that was addressed to port 53 on another computer. The packet was either mistakenly or intentionally routed through your computer. The data packet was sent from port 1418 on a computer whose IP address is 172.186.53.128
En fait après relecture du Log et du message d'erreur du PC d'elfette, j'ai même pas l'impression que ce soit un paquet mal forgé sur son PC, mais plutot le log qui est mal foutu. Le message d'erreur d'elfette c'est :

Citation :
rating / date and time / type / source IP
high / 2003/07/07 2:57:44 / firewall / 195.93.66.134:53

Apres :
destination IP / /direction /action taken
xxx (la mienne avec le port qui change)/ incoming/ blocked
Ce qui correspond exactement a ce que j'explique là :
Citation :
Par exemple, j'envoie une requête DNS en udp vers un serveur, j'attends le paquet de retour pendant 2 secondes, puis je ferme le port emetteur de la demande, au bout de 3 secondes, le serveur DNS me renvoie les données que j'avais demandées, paf, alerte.
<espère s'en être tiré et que personne aie remarqué qu'il ne sais pas lire les logs et qu'il faut que jashugan le lui indique pour qu'il le reconnaisse
Citation :
Provient du message de Paice
<espère s'en être tiré et que personne aie remarqué qu'il ne sais pas lire les logs et qu'il faut que jashugan le lui indique pour qu'il le reconnaisse
Dans ma grande bonté je te pardonne cet ecart Paice, et a ta desserte, le message etait effectivement obscur voir abscond
Citation :
Provient du message de Jashugan
Au regret de te contredire Paice mais vu comment le message est formulé sur le firewall de elfette, le packet provient de l'adresse 172.186.53.128:1418 et part en direction d'un DNS d'aol (IPdnsAOL:53).
[...]
Dans les parametres avancés de ZA, les requetes DNS sont autorisées par défaut.

Si ZA a bloqué ce paquet alors que Elfette a autorisé AOL a accéder a internet, cela veut simplement dire que cette requete provient d'un logiciel ou d'une DLL non autorisée ...

Hummm ...
Non, Zakk, c'est le paquet de retour qui a été bloqué, la réponse du DNS, parce qu'il a dépassé le Timeout, et qu'en plus c'est de l'udp

Ca arrive super souvent, sur les DNS assez chargés, tu envoie une requête et le DNS te réponds au bout de 5 ou 10 secondes, alors que le Timeout classique en resolv.conf c'est 2 secondes. Ca fait longtemps que les process locaux ont envoyer leur requête sur un autre DNS
Citation :
Provient du message de Paice
Non, Zakk, c'est le paquet de retour qui a été bloqué, la réponse du DNS, parce qu'il a dépassé le Timeout, et qu'en plus c'est de l'udp

Ca arrive super souvent, sur les DNS assez chargés, tu envoie une requête et le DNS te réponds au bout de 5 ou 10 secondes, alors que le Timeout classique en resolv.conf c'est 2 secondes. Ca fait longtemps que les process locaux ont envoyer leur requête sur un autre DNS
Mééheuuuuuuuu ooooouiiiiiiiiiiiinnnnnnnnnnn

Je vais aller prendre des cours de TCP/IP chez Paice

Ouin je suis que technicien moua, po ingénieur réseau

Enfin bon c po grave, nunux me gonfle avec IPtables ... mais c po grave ...
Je vais y arriver, à le maitriser, ce @#![~@# de protocole
Répondre

Connectés sur ce fil

 
1 connecté (0 membre et 1 invité) Afficher la liste détaillée des connectés