Forum général.général scan nmap...

Posté par  .
Étiquettes : aucune
0
2
nov.
2006
Je me demandais, vu que je subit pas mal de scan en ce moment depuis que j'ai lancer mon serveur de partie de quake. Si il était possible de récuperer l'ip d'un mec qui me scan pour le scanner à mon tour avec nmap, histoire de le calmer un peu.

Mais il parait que ça sert à rien vu que le mec pourrai cacher son ip, dans une liste d'ip juste histoire d'embrouiller ou encore qu'il pourrai être derrière tor. apparemnt c possible avec l'option decoy (-D de nmap). mais pour nmap derrière tor ça ma l'air bien difficile à faire. tous ce que j'ai trouver sur google c'est qu'il pourrait utiliser socat : ./socat TCP4-LISTEN:8080,fork SOCKS4:127.0.0.1:10.0.0.1:80,
socksport=9050.
Mais ça parait pas réalise vu qu'il pourrait scanner que le port qu'il paramettre avec socat. et je subit des scans sur toutes sortes de ports...

Ce qui m'interesse c'est de savoir si j'ai une chance que sa vrai ip soit revèllée et comment il ferai pour passer derrière tor ça reste un mistèr pour moi.
  • # Piste ?

    Posté par  (site web personnel) . Évalué à 2.

    Bon, je suis un peu une bille en réseau, donc je peux pas vraiment t'aider, mais comme essayer d'entrer c'est l'étape d'après, y a ce jounal sur un sujet proche:
    https://linuxfr.org/~gnumdk/23015.html

    et notamment ce lien:
    http://wiki.gcu.info/doku.php?id=bsd:pf_et_bruteforce

    Si ça t'avance pas plus, j'aurais au moins essayé ^_^
    • [^] # Re: Piste ?

      Posté par  . Évalué à 1.

      merci liberforce ça m'a au moins permis de savoir qu'il était important de regarder /var/log/messages.

      En faites firestarter qui ma permis de voir qu'il se passait quelque chose de bisarre. Exemple : +- toutes les minutes il y a une connexion venant de l'internet sur le port 139 netbios-ssn (je partage des fichier par samba avec les autres machines du réseaux) et à chaque fois ça change d'ip et c'est toujours sur le même port.

      Mais je n'arrive pas à determiner si c'est tentative de connexion ou bien si ça réussis. voila ce que dit /var/log/message pour une des ip en question :

      Nov 2 16:09:21 clochard kernel: IN=ppp0 OUT= MAC= SRC=86.221.181.225 DST=mon-ip LEN=64 TOS=0x00 PREC=0x00 TTL=41 ID=7231 DF PROTO=TCP SPT=1982 DPT=139 WINDOW=53760 RES=0x00 SYN URGP=0

      (ça ce reperte plusieurs fois et puis pareille avec une autre ip). Ma question : est-ce que ça à fontionner ou il c'est fait rejeter ?
  • # Aïe ! Mes yeux !

    Posté par  . Évalué à 6.

    Je te conseille dans un premier lieu de soigner la rédaction de tes messages si tu veux obtenir de l'aide sur un sujet aussi sensible, parce que là, ça fait vaguement script kiddy, comme attitude, et tu risques d'être le seul à être décrédibilisé.

    Ensuite, sache que les instrusions non autorisées dans un système automatisé peuvent être désormais punies d'une peine allant jusqu'à trois ans de prison et 45 000 euros d'amende. Même si tu ne vas pas jusque là et que ces peines sont de toutes façons largement excessives, une chose est sûre : ce n'est pas parce que tu te fais pirater que cela te donne le droit d'en faire autant en retour (même si, généralement, ce n'est pas l'envie qui nous manque :-).

    Si ton gusse cache son adresse IP, il n'y a pas de commande magique pour déduire sa position réelle, mais si tu en es là, ce n'est plus en termes techniques que tu dois raisonner, car visiblement le gars emploie les grands moyens. Même s'il est possible de forger des paquets avec une fausse adresse IP expéditeur, cela implique que la réponse ne peut lui parvenir, et il faut encore que ce paquet traverse sans encombre les routeurs de son fournisseur. Avec l'option -D de nmap, on peut spécifier une liste de fausses adresses mais la vraie reste forcément dans le lot. C'est donc un peu plus long à retrouver mais ça ne protège certainement pas ton pirate.

    Le plus intelligent à faire dans ce cas est d'extraire une partie de tes logs et d'envoyer le tout en expliquant brièvement l'affaire aux boîtes "abuse" respectives de ton fournisseur d'accès et du sien (que tu retrouves en faisant un host sur les adresses attaquantes).

    Et bien sûr, avant toute chose, il faut se servir un peu de son cerveau. Un scan massif est certes très désagréable et clairement pas conforme à la netiquette, mais ce n'est pas automatiquement une preuve de malveillance. Il se peut tout simplement qu'il s'agisse d'un internaute qui cherche des ressources volontairement ouvertes ou qui découvre un nouveau joujou logiciel d'audit réseau. Il est également fort probable, bien que l'on distingue en général aisément les deux, que tu aies en fait affaire à une machine Windows infectée, que le scan soit complètement automatique (même pas télécommandé) et que son propriétaire ne sache même pas qu'il te porte préjudice.

    Dernier phénomène à prendre en compte avant de sortir l'artillerie : le Wifi. Ma maison est à portée d'une demi-douzaine de *Box de tous fournisseurs, et où que j'aille, il y en a toujours une qui est ouverte. Et pas seulement dans les boulangeries. A dire vrai, la dernière fois que j'ai configuré le Wifi d'un copain sur son WinXP neuf, on est quand même allé vérifier notre adresse IP sur un site quelquonque qui renvoie cette info, suivi d'un petit nslookup. On a bien fait : le pote en question est abonné chez Wanadoo mais son adresse appartenait à Club Internet ...

    Tout ça pour dire que n'importe quel leecher peut aujourd'hui, sans aucune connaissance en informatique, aller acheter un portable à 600 euros, installer e-mule dessus et se balader en ville avec sa voiture pour trouver un relais qui lui permettra d'aller faire ses courses sans jamais être inquiété.

    Devant cet épineux problème, le législateur a su se tirer d'affaire puisqu'il rend pénalement responsable le titulaire de l'accès qui la plupart du temps à déjà bien du mal à faire fonctionner sa boite à trente euros par mois, à moins qu'il fasse preuve de sa bonne foi. Puisque l'on n'est pas protégé par les structures chargées de le faire, c'est donc à toi d'être plus malin que ça si tu veux jouer aux administrateurs réseau.

    Bon courage.
  • # IRC

    Posté par  . Évalué à 2.

    Il faut aussi savoir que si tu utilises un reseau IRC (genre frenode), ceux ci font des scans de ports pour voir si tu n'es pas un relai/proxy.

    Je rejoins l'avis ci dessus, je me pose la question si c'est pas toi qui cherche à te proteger lorsque tu scans massivement.

    Logiquement dans tes logs, tu as des traces, surtout sur les scans de port. C'est comme cela que je m'etais apercu que Freenode verifiait
    un certains nombre de ports.

    Tu peux nous dire _comment_ tu t'es aperçu que tu étais scanné ?

    K.
    • [^] # Re: IRC

      Posté par  . Évalué à 1.

      je l'ai dit quand j'ai repondu à liberforce...

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.