Firewall et attaques massives

[ArseNic]

Salut à tous!

J'ouvre ce petit topic car je vis en ce moment un événement unique depuis que je surfe sur le net. En effet depuis hier soir 20 heures je subis un nombre énorme d'attaques provenant toutes d'IP proches de la mienne. Bien entendu je surfe couvert, protégé par Zone Alarm. Le truc c'est que le nombre de ce que ZA considère comme attaque est vraiment phénoménal. J'ai laissé ma connexion ouverte aujourd"hui de 15h à 20h, et j'ai plus de 1000 "attaques" dans ce laps de temps. Toutes venant d'IP proches de la mienne, ce qui me fait penser que les ordinateurs derrières ces IPs ont étés infectés par un trojan essayant d'aller se propager chez moi en tapant sur la même plage d'IP.

Jusque là ZA fait bien son boulot (enfin je crois), en lançant les antivirus et autre spybot, tout semble être clean sur mon PC. Le hic c'est que je me suis rendu compte du problème hier soir parce que mon routeur a coupé la connexion face à cet afflux de tentatives de connexion sur mon IP. Du coup plus possible de partager la connexion... De plus c'est quand même assez flippant de voir le nombre d'attaques que je subis...

Quelqu'un à déja vécu un truc similaire? Voyez vous un moyen de dire au routeur de ne pas couper la connexion face à ces attaques? Bref j'aimerai savoir ce que vous pensez de cette histoire

Merci d'avance.

[Ksual]

Citation:

Envoyé par ArseNic

Salut à tous!

J'ouvre ce petit topic car je vis en ce moment un événement unique depuis que je surfe sur le net. En effet depuis hier soir 20 heures je subis un nombre énorme d'attaques provenant toutes d'IP proches de la mienne. Bien entendu je surfe couvert, protégé par Zone Alarm. Le truc c'est que le nombre de ce que ZA considère comme attaque est vraiment phénoménal. J'ai laissé ma connexion ouverte aujourd"hui de 15h à 20h, et j'ai plus de 1000 "attaques" dans ce laps de temps. Toutes venant d'IP proches de la mienne, ce qui me fait penser que les ordinateurs derrières ces IPs ont étés infectés par un trojan essayant d'aller se propager chez moi en tapant sur la même plage d'IP.

Jusque là ZA fait bien son boulot (enfin je crois), en lançant les antivirus et autre spybot, tout semble être clean sur mon PC. Le hic c'est que je me suis rendu compte du problème hier soir parce que mon routeur a coupé la connexion face à cet afflux de tentatives de connexion sur mon IP. Du coup plus possible de partager la connexion... De plus c'est quand même assez flippant de voir le nombre d'attaques que je subis...

Quelqu'un à déja vécu un truc similaire? Voyez vous un moyen de dire au routeur de ne pas couper la connexion face à ces attaques? Bref j'aimerai savoir ce que vous pensez de cette histoire

Merci d'avance.

salut, pour xp:

Citation:

Quelques tweaks pour se protéger au mieux contre les DoS attacks :

HKLM/SYSTEM/CurrentControlSet/Services/Tcip/Parameters - Dans le panneau de droite, créer ou modifier les valeurs DWORD :
SynAttackProtect Valeur 2 (la meilleure protection mais peut parfois poser des problèmes de connexions, dans ce cas 1)
EnableDeadGWDetect Valeur 0 (empêche un attaquant de forcer à utiliser la passerelle de son choix)
EnablePMTUDiscovery Valeur 0 (permet que les Transmission Units soient toujours utilisées, rendant plus difficiles les Dos attacks)
HKLM/SYSTEM/CurrentControlSet/Services/Tcip/Parameters/Interfaces - Dans le panneau de droite, créer ou modifier :
NoNameReleaseOnDemand Valeur 1 (protège contre les name release attacks)
PerformRouterDiscovery Valeur 0 (contre le spoofing)

Citation:

désactiver le Service de découvertes SSDP

Citation:

plus d'infos http://support.microsoft.com/?scid=kb%3Bfr%3B324270&x=13&y=12 | http://support.microsoft.com/?scid=kb%3Bfr%3B315669&x=22&y=15

redémarrer la machine.

--

[trattos]

Je ne sais pas si c'est valeurs fonctionnent sous Windows XP.
En tout cas, il ne me parait pas inquiétant d'avoir autant d'attaque en une journée (du moins pas encore) mais tu as quand même bien fait de le remarquer.

[Ksual]

Citation:

Envoyé par trattos

Je ne sais pas si c'est valeurs fonctionnent sous Windows XP.
En tout cas, il ne me parait pas inquiétant d'avoir autant d'attaque en une journée (du moins pas encore) mais tu as quand même bien fait de le remarquer.

si si, pour 2000\XP\2003 sa fonctionne, pour les autres OS je pense pas.

puis non, ce n'est pas normal mais faut voir si il s'agit d'une attaque réelle,

malgré l'effet placebo génère par zone alarm les syn flood souvent cause le crash suite au nombre élevé de paquets reçus.

--

[Celelibi]

1000 notifications en 5 heures ça fait à peine plus de 3 par minutes. Autant dire quedall.
Le jour où tu en aura la même quantité dans un laps de temps d'une minute, là tu pourras te dire que tu te fais attaquer.

Il faut voir aussi le type de notification que te donne ZA, parceque bon, les "firewall personnels" sont toujours en train de te dire qu'ils ont arrêtés "une attaque d'une violence sans précédent" alors qu'il vient de bloquer 3 pings et une connexion sur le port 8080.

bref, t'as rien à craindre à mon avis.

[ArseNic]

Citation:

Envoyé par Celelibi

1000 notifications en 5 heures ça fait à peine plus de 3 par minutes. Autant dire quedall.
Le jour où tu en aura la même quantité dans un laps de temps d'une minute, là tu pourras te dire que tu te fais attaquer.

Il faut voir aussi le type de notification que te donne ZA, parceque bon, les "firewall personnels" sont toujours en train de te dire qu'ils ont arrêtés "une attaque d'une violence sans précédent" alors qu'il vient de bloquer 3 pings et une connexion sur le port 8080.

bref, t'as rien à craindre à mon avis.

Oki, Merci pour vos réponses

Bien qu'au final le nombre d'attaques ne soit pas si énorme, par rapport à ce que j'avais jusque là c'est assez surprenant. Dans l'historique des logs de ZA j'affichais les 50 derniers, et en temps normal je pouvais voir les logs sur 2-3 jours. Donc comprenez mon étonnement face à ces 1000 logs en 5 heures (ZA ne peut m'afficher que les 999 derniers logs ).
Sinon je ne suis pas trop inquiet, j'ai relancé le routeur ce matin, pour le moment il gère, j'espère qu'il ne va pas couper à nouveau le réseau devant ces attaques. Et en passant des scans antivirus, spyware, and co tout a l'air niquel, donc je suis serein.

@+

[damien99]

Mon aussi j'ai ZoneAlarm, pour diverses raisons j'ai été amener a l'installer plusieurs fois (rassurez vous ce n'est pas a cause de la qualité de ce logiciel. J'ai du reformatter pour des changement de matériels...)

Je trouve que dans les premiers lancement du logiciel, les attaques montent très vite (1500 en quelques heures) mais par la suite, elles se font moins nombreuses.....cela n'est qu'un simple constat,
bien que ce soit a se demander si le logiciel ne rajoute pas des attaques dans les stats pour montrer qu'il sert a quelque chose....
j'en dirait pas plus de toute façon moi je n'ai jamais eu de problème avec cette suite antivirus/parefeu

PS: la j'en suis à 60000 attaques pour beaucoup d'heuresss de connection.