[résolu] NIS 2010 signale attaque d'un autre ordinateur sur le même réseau

Bonjour à tous,:smileyhappy:

 

je suis de retour avec le même sujet : deux ordinateurs (Windows Vista home) sur un réseau domestique derrière Freebox. Protection par NIS2010 sur les 2 ordinateurs. Norton Ghost 15.0 sur le portable, Acronis True Image sur le bureau.

 

A chaque démarrage du portable NIS me signalait une attaque "portscan" de la part du bureau, via port 5355.

 

Suite à une discussion avec misstigry (en particulier) j'avais désactivé le "controle à distance" via "mappage réseau" de NIS sur les deux ordinateurs. Je n'avais plus de détection d'intrusion signalée. J'avais donc clos le post.

 

Mais sur une utilisation de Ghost, l'attaque est réapparue, et depuis, à chaque redémarrage du portable, j'ai le signal de détection de tentative d'intrusion.:smileymad:

 

Des analyses complètes sur les 2 ordinateurs ne signalent aucun virus ou autres bébêtes.

 

Je n'ai pas d'inquiétude particulière, je tenais seulement à le signaler.

 

A +

 

 

 

Bonsoir Danlef ,

 

Peux tu nous faire un screen détaillant l'attaque ?

( disponible dans l'histo de NIS 2010 , section " tentative d'intrusion " )

 

Miss

 

Bonjour misstigry,

 

Banderas est sur TF1 ce soir:smileyvery-happy:

 

Je ne trouve pas "insertion d'une image" dans la fenêtre. Je l'envoie donc en "pièce jointe".

 

Hello ,

 

il est amusant de constater que ton attaque est similaire à celle que j'avais démontrée dans ton autre topic  :

Port UDP 5355 .

 

j'espère que le staff du forum va reconsidérer la question , car NIS 2010 semble responsable de ce Portscan :smileymad:

 

Sinon , Domont c'est le Val d'Oise :smileyvery-happy:

 

Misstigry

Oui, oui, Domont est bien mon lieu d'habitation. Je n'ai pas été très original pour nommer mon portable !

 

A+

 

Domont est une petite ville préservée du tumulte de la banlieue parisienne :smileytongue:

 

J'ai vécu dans le Val d'Oise une paire d'années , on se balladait au " château de la chasse " quelque fois.

 

Miss :smileywink:

Du temps où j'étais encore sportif, c'était au château de la chasse que j'allais courir. Il y a 15 ans de celà !

 

Sinon, je suis revenu sur le post précédent : l'attaque que tu as fournie n'est pas le port 3355, mais le port 53.

 

Une chose m'étonne : mes 2 ordinateurs ont chacun NIS 2010, avec les mêmes paramétrages, et les attaques signalées sont toujours dans le même sens : bureau vers portable, jamais l'inverse.

 

Finalement en regardant l'historique je me suis aperçu que ces mêmes attaques existaient déjà depuis longtemps (moins nombreuses), mais les notifications n'étaient pas activées.

 

A+

 

oui , c'était le port 53 , tu as raison.

 

je fatigue :smileyvery-happy:

 

je reste persuadée que NIS est responsable de ces fausses attaques , que l'on peut désactiver le cas échéant.

 

Misstigry

Juste avant de fermer ma session, je désactive effectivement  les notifications des tentatives d'intrusion. Je pense aussi qu'il s'agit d'un problème de NIS 2010. Une mise à jour prochaine...

 

En tous cas merci à toi, et bon repos !

Bonjour Danlef,

 

Merci à misstigry pour ses réponses, bien que ses pensées sur NIS à propos des attaques me laissent quelque peu perplexe :smileytongue:

 

D'après ce que j'ai pu gratter comme information par-ci par-là, je penserais à un problême liê au protocole IPv6.

De plus, en considérant la discussion précédente, il y a donc une configuration entre du "wifi" (sans fil) et du réseau cablé.

Comment est la configuration de la machine en "wifi" dans le mapping de NIS (Norton Internet Security), du pc "cablé" ?

 

Un test rapide serait de désactiver le protocole IPv6 dans les paramètres réseaux de NIS, sur les 2 machines.

Si l'utilisation de l'IPv6 est dispensable, bon on cherchera une autre solution alors :smileywink:

 

<!-- @page { margin: 2cm } P { margin-bottom: 0.21cm } -->

Bonjour Aurele,

:smileyhappy:

Merci de d'intéresser à ce problème bizarre.

 

Tout d'abord : mes deux ordinateurs sont en wifi. Protocole Ipv4.

 

Concernant le port utilisé par l'attaquant (5355), j'avais sur le précédent sujet relevé :

« Ce port est utilisé par LLMNR. (Link-Local Multicast Name Resolution). Visiblement ce service est utilisé pour la reconnaissance des ordinateurs sur un réseau local par leur nom (au lieu de l'adresse IP) et semble être lié au protocole IPV6 que pourtant je n'utilise pas. »

 

J'ai suivi ton conseil et désactivé sur NIS le protocole IPV6 sur les deux ordinateurs. (voir pièce jointe).

Après redémarrage, le problème demeure. :smileymad:

 

Peut-être faut-il aussi sous Windows dans les « propriétés réseau » désactiver le protocole Ipv6 : Procole Internet version 6 (TCP/IPv6).

 

Qu'en penses-tu ?

 

A +

 

 

Bonjour,

 

Effectivement je pense que ce serait un bon test également :smileyhappy:

J'ai oublié le screen du mappage réseau (en pièce jointe).

 

J'ai flouté l'adresse mac.

 

Danlef

Merci :smileyhappy:,

 

On peut noter que l'IPv6 est bien mentionné.

Donc, une désactivation de ce protocole dans les paramètres de Windows me parait un très bon test (ne pas oublier de redémarrer les pcs après la désactivation du protocol)

 

Du nouveau !

 

J'ai effectivement décoché le protocole IPv6 dans les "propriétés réseau" de Windows. J'ai redémarré les deux ordinateurs. Plus d'attaque mentionnée au démarrage, pas plus qu'en exécutant le Ghost.:smileyvery-happy:

 

Aurions-nous trouvé la solution?

 

Il est peut-être plus prudent de ne pas fermer encore le sujet au cas où...

 

Je tiendrai au courant sur les quelques jours à venir.

 

Merci à Misstigry et à Aurele.:smileyhappy:

Merci pour les nouvelles :smileyhappy:

 

Bien entendu, on attendra la confirmation :smileyhappy:

Bonjour à tous:smileyhappy:

 

Ce mercredi 21 Janvier, tout reste OK.

 

A +

Bonjour à tous:smileyhappy:

 

Ce Jeudi 22 Janvier, tout reste OK.

Demain, si aucune attaque n'est signalée,  je consisérerai le problème comme résolu.

 

A +

Bonjour Danlef,

 

Merci pour toutes ces mises à jour :smileyhappy:

 

Par contre, je ne suis pas certain de l'année calendrier mentionnée ;p

En 2010, le 21 Janvier est un Jeudi et le 22 Janvier, logiquement un vendredi ;p

 

Mais, on attendra le résultat pour le samedi 23 Janvier 2010 :smileyhappy:

 

Bonjour Aurele,

 

Faut s'y faire ! C'est comme ça avec les retraités, à ne plus se rendre sur le lieu de travail, on finit par mélanger les jours.

 

Au Samedi 23, donc...