Discussion :

[flamme34]

Bonjour,

Etant dans une petite PME, j'ai a m'occuper du réseaux de notre entreprise malgré que je ne sois pas du tout formée pour.
Depuis quelques semaine, nous subissons régulièrement des ralentissements de débit internet, avec de plus, de temps en temps, l'apparition lors de nos recherches google d'une demande de vérification pour prouvé à google que nous ne sommes pas des robots. Lors de ces "ralentissement" nous passons de 8Mbps à 0.5Mbps.

J'ai fait faire un scan antivirus, anti-malwares, et suppression des extensions et logiciels inconus à tout les PCs de la société. Depuis nous n'avons plus de demande de vérification de google, mais depuis que j'ai activé l'envoi des logs de mon routeur par mail pour pister le problème je reçoit régulièrement des mails de sa part contenant ce genre d'information :

[DoS Attack: NULL Scan] from source: 141.138.133.25, port 443, Friday, November 04, 2016 15:01:01
[DoS Attack: NULL Scan] from source: 95.131.190.72, port 443, Friday, November 04, 2016 15:05:59

Ces mails sont rempli d'environ une 50ène de ces lignes avec des adresses IP différentes. En l'espace de 4h j'en ai reçu 14. Est-ce grave docteur?

Pourriez vous m'expliquer ce que sont exactement ces "NULL Scan" ?
Voici ce que j'ai pu découvrir de moi même , mais je ne suis pas sur de bien comprendre.
Quels sont les solutions pour nous protéger de ce genre "d'attaque"?
J'ai bien compris que les ports doivent être fermés si il n'ont pas de raison d'être ouvert mais comment fait-on ceci ? ( mon routeur est un netgear Genie WNR1000v2) .
Qu'elle sont les ports à ouvrir en dehors du port 21 (pour notre ftp) et du port 80?

Merci d'avance pour votre temps

[stephane78l]

le port 443 est celui de https.....

[flamme34]

Bonjour,
tout d'abord merci d'avoir pris le temps de me répondre

le port 443 est celui de https...

c'est ce que j'avais pu voir sur wikipedia.
qu'es ce que cela peut signifier ?
désolé comme je l'ai précisé je n'y connais vraiment pas grand chose.

[stephane78l]

je ne suis pas expert non plus dans le domaine....vous auriez peut etre un site web dans votre entreprise qui serait en https://www.monentreprise.com ?

[NVCfrm]

Salut, pour commencer, cherche à régler certaines valeurs relatives à la protection contre les scans de ports sur le routeur.
Fais attention. des valeurs très basses auront pour effet de pénaliser les usagers du réseau, voir étouffer les connexions tcp. Très hautes transformera le routeur en une passoire.
Postes les adresses sources ici à l'origine des logs, pour qu'on ai une idée.

[BufferBob]

salut,

Depuis quelques semaine, nous subissons régulièrement des ralentissements de débit internet, avec de plus, de temps en temps, l'apparition lors de nos recherches google d'une demande de vérification pour prouvé à google que nous ne sommes pas des robots. Lors de ces "ralentissement" nous passons de 8Mbps à 0.5Mbps.

c'est symptomatique d'une machine vérolée dans ton réseau qui tente d'effectuer des requêtes automatisées sur google, ce dernier s'en rend compte et considère l'IP de sortie comme "potentiellement pas bonne", d'où le captcha de vérification, effectivement à ce stade l'analyse antivirus de la totalité des machines du parc est la moindre des choses à faire, mais c'est possiblement très insuffisant, à la fois et également pour le problème de débit c'est une investigation technique un peu profonde qu'il faudrait (autant dire que par forum interposé c'est compliqué...)

je reçoit régulièrement des mails de sa part contenant ce genre d'information :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
[DoS Attack: NULL Scan] from source: 141.138.133.25, port 443, Friday, November 04, 2016 15:01:01
[DoS Attack: NULL Scan] from source: 95.131.190.72, port 443, Friday, November 04, 2016 15:05:59

Ces mails sont rempli d'environ une 50ène de ces lignes avec des adresses IP différentes. En l'espace de 4h j'en ai reçu 14. Est-ce grave docteur?

Pourriez vous m'expliquer ce que sont exactement ces "NULL Scan" ?

DoS ça veut dire "refus de service", une attaque dont le but est de bloquer ton service https, ton IP etc., 50 en 4h c'est rien, 50.000 par minute oui, tu pourrais t'inquiéter.

mais en fait le Null Scan servait à la base comme son nom l'indique à scanner, le principe est d'envoyer un paquet TCP (donc sur un port donné) avec tous les flags mis à zéro, ce faisant certains firewalls perdaient la boule et filtraient mal/ne filtraient plus en gros
donc le null scan permettrait en théorie de savoir si ton port 443 est ouvert... en admettant que le vilain pirate connaisse désormais l'état de ton port 443 par le biais de son scan maléfique... tu t'en fous complètement.
avoir un port ouvert sur le firewall ne veut pas dire qu'il y a forcément un service qui tourne derrière, avoir un service en l'air sur ledit port ne signifie pas qu'il est forcément vulnérable, avoir une vulnérabilité -c'est dangereux, mais- ça ne veut pas dire qu'elle est forcément exploitée

bref, les 2 lignes de logs que tu montres ici peuvent être considérées comme relativement insignifiantes dans les proportions que tu cites
en revanche le captcha google et les ralentissements sont des symptômes à prendre au sérieux et sur lesquels il convient d'investiguer avec une certaine expertise