Discussion :

[mistify]

bonsoir tout le monde!

Je me fais tout le temps scan les ports 1026 1027 1028 1029 1030 1032

meme si mon firewall les bloques j'aurais bien aimé savoir par curiosité a quoi ces ports sont alloués.

j'arrive pas trop a comprendre en cherchant sur le net donc si quelqu'un a une bonne explication a donner je suis preneur ^^

merci d'avance

a bientot

[ArHacKnIdE]

Salut,

Regardes sur cette page il y a tous les ports avec leur correspondances.

http://www.iana.org/assignments/port-numbers

[mistify]

ok merci je viens de regardé, apparement il y a un truc en rapport avec access et aprés "solid mux server" et BBN IAD que je connais pas

[ArHacKnIdE]

the BBN (Bolt, Beranek and Newman) Interface Access Device

[LaChips]

D'après http://www.iana.org/assignments/port-numbers :
1026 : Calendar Access Protocol
1027 : Unassigned (Removed on 2005-09-16)
1028 : Deprecated February 2004
1029 : Solid Mux Server
1030 : BBN IAD
1031 : BBN IAD
1032 : BBN IAD

Edit : grillé de peu !

[David.Schris]

bonsoir tout le monde!

Je me fais tout le temps scan les ports 1026 1027 1028 1029 1030 1032

meme si mon firewall les bloques j'aurais bien aimé savoir par curiosité a quoi ces ports sont alloués.

j'arrive pas trop a comprendre en cherchant sur le net donc si quelqu'un a une bonne explication a donner je suis preneur ^^

merci d'avance

a bientot

Bonsoir,

A la question "j'aurais bien aimé savoir par curiosité a quoi ces ports sont alloués", j'avoue que je serai tenté de répondre "ça dépend où".

Mais commençons par le commencement...

Premièrement, les numéros de ports sont une chose...maintenant il faudrait préciser de quel protocole il s'agit : j'y reviendrai.

Ensuite, tu (<-pas de pb pour le tutoiement ?) parles de "scan"...mais s'agit-il réellement d'un scan ?

"Mais où veut-il en venir ?"

En fait, je me suis posé la même question il y a quelques années et moi non plus je n'ai pas trouvé de réponse sur internet (il y avait des réponses mais j'avais mal cherché).
J'ai regardé les logs de mon pare-feu et ai vu que ce qui arrivait sur ces ports (de 1025 à 1029 et des poussières) étaient des datagrammes UDP (avec un "P" comme "Protocol", j'avais dit que j'y reviendrai ).
Alors j'ai écrit un petit programme (en Java si ça intéresse quelqu'un) qui permettait d'écouter ce qui arrivait (via UDP) sur une série de ports et enregistrait le contenus de ces datagrammes dans un fichier texte (sous forme de texte avec l'équivalent en hexadécimal à côté), j'ai lancé mon programme et j'ai paramétré mon pare-feu pour que les ports concernés soient ouverts.
Si tu as un peu de temps et es en train d'apprendre à programmer, tu peux faire pareil : cela peut être un bon exercice (pas difficile et "utile").
Si tu n'as pas de temps, pas envie de programmer, peur de modifier les paramétrages de ton pare-feu...tu peux utiliser un "sniffer" comme Wireshark pour enregistrer ces datagrammes (en tous cas, sous linux...je n'ai pas essayé sous windows et je ne saurais garantir que winpcap se comporte exactement comme libpcap dans tous les cas).

Ensuite, j'ai regardé ce qu'il y avait dedans. Extrait :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
00000000: 04 00 28 00 10 00 00 00  00 00 00 00 00 00 00 00 | ..(.............
00000010: 00 00 00 00 00 00 00 00  f8 91 7b 5a 00 ff d0 11 | ..........{Z....
00000020: a9 b2 00 c0 4f b6 e6 fc  00 00 00 00 00 00 00 00 | ....O...........
00000030: 00 00 00 00 00 00 00 00  00 00 00 00 01 00 00 00 | ................
00000040: 00 00 00 00 00 00 ff ff  ff ff 57 01 00 00 00 00 | ..........W.....
00000050: 10 00 00 00 00 00 00 00  10 00 00 00 53 45 43 55 | ............SECU
00000060: 52 49 54 59 00 00 00 00  00 00 00 00 10 00 00 00 | RITY............
00000070: 00 00 00 00 10 00 00 00  41 4c 45 52 54 00 00 00 | ........ALERT...
00000080: 00 00 00 00 00 00 00 00  13 01 00 00 00 00 00 00 | ................
00000090: 13 01 00 00 53 59 53 54  45 4d 20 45 52 52 4f 52 | ....SYSTEM ERROR
000000a0: 3a 20 57 69 6e 64 6f 77  73 20 68 61 73 20 64 65 | : Windows has de
000000b0: 74 65 63 74 65 64 20 53  70 79 77 61 72 65 20 72 | tected Spyware r
000000c0: 75 6e 6e 69 6e 67 20 6f  6e 20 79 6f 75 72 20 63 | unning on your c
000000d0: 6f 6d 70 75 74 65 72 2e  0a 0a 53 70 79 77 61 72 | omputer...Spywar
000000e0: 65 20 63 61 6e 20 64 61  6d 61 67 65 20 63 72 69 | e can damage cri
000000f0: 74 69 63 61 6c 20 73 79  73 74 65 6d 20 66 69 6c | tical system fil
00000100: 65 73 20 2c 20 74 72 61  63 6b 20 79 6f 75 72 20 | es , track your 
00000110: 6f 6e 6c 69 6e 65 20 61  63 74 69 76 69 74 69 65 | online activitie
00000120: 73 20 61 6e 64 20 64 69  73 70 6c 61 79 20 70 6f | s and display po
00000130: 70 2d 75 70 73 2e 0a 0a  41 6e 74 69 2d 56 69 72 | p-ups...Anti-Vir
00000140: 75 73 20 61 6e 64 20 46  69 72 65 77 61 6c 6c 20 | us and Firewall 
00000150: 73 6f 66 74 77 61 72 65  20 63 61 6e 20 6e 6f 74 | software can not
00000160: 20 70 72 6f 74 65 63 74  20 79 6f 75 2e 0a 0a 56 |  protect you...V
00000170: 69 73 69 74 3a 20 20 77  77 77 2e 77 69 6e 2d 66 | isit:  www.win-f
00000180: 69 78 2e 63 6f 6d 20 20  66 6f 72 20 66 72 65 65 | ix.com  for free
00000190: 20 72 65 6d 6f 76 61 6c  20 69 6e 66 6f 72 6d 61 |  removal informa
000001a0: 74 69 6f 6e 21 0a 00                             | tion!..

Oh ! Un message ! On m'écrit !

Ensuite, je me suis dit : "il est bien joli mon programme, mais il ne me décode pas tout"... Alors j'ai utilisé Ethereal (l'ancêtre de Wireshark) et ce dernier a disséqué tout ça et m'a appris que dans ces datagrammes UDP était encapsulé du MSRPC (un protocole de plus haut niveau qui, en gros et en schématisant, permet à un programme tournant sur une machine d'appeler une fonction tournant sur une autre machine...un peu comme du SOAP ou du Corba [1] mais différent), que la fonction appelée était une fonction destinée à afficher des messages sur la machine cible et qu'elle était appelée sans authentification.
Comme j'avais déjà vu ce style de messages s'afficher sur l'écran d'une machine (Windows [2]) mal configurée, je savais que ces derniers s'affichaient de la même façon que ceux qu'on envoie avec la commande "net send" (sauf que là, ça ne passe pas par NetBIOS).

"Oui, mais c'est quoi sans parler technique ?"
C'est du spam. Tu pourras trouver le terme de "net send spammer" sur certains sites.
Des gens utilisent des programmes qui envoient des paquets MSRPC sur un grand nombre de machines dans l'espoir que le message qu'ils contiennent s'affiche devant les yeux d'un utilisateur crédule qui croira ce qu'il lit.
Dans mon cas, c'était relativement "drôle" puisque le message me disait que Windows avait détecté un spyware sur ma machine...alors que j'étais sous linux...
Pour d'autres personnes, c'est moins drôle : elles sont sous Windows, croient ce qui est écrit et vont visiter le site mentionné dans le message...site qui leur installe un spyware, justement.

Voilà-voilà...
Que dire de plus ?

Mmmhhh... Quelques détails pas si anodins :
- c'est de l'UDP donc l'adresse source peut être "spoofée" (et l'est dans la majorité des cas), inutile donc d'interdire cette adresse via ton pare-feu ;
- quand on analyse le contenu de ces paquets dans le détail, on s'aperçoit que les outils utilisés par ces "spammers" sont mal écrits ;
- il n'y a pas de port prédéfini pour MSRPC, le numéro de port est attribué dynamiquement à chaque début de "session", or les "spammers" n'établissent pas de "session" dans les règles (ils envoient directement leur message)...ce qui explique qu'ils envoient les datagrammes sur des ports au hasard compris dans la plage habituellement utilisée pour MSRPC en espérant tomber sur le bon.

Ai-je été clair ?

PS : Tu verras d'autres ports (toujours en UDP) apparaître dans tes logs : le 1434 (généralement un "vieux" vers qui se ballade toujours), 137 (souvent une tentative d'obtenir des infos sur une machine Windows (partages, etc)), etc...il faut aller voir ce qu'il y a dedans pour être sûr de ce dont il s'agit...

[1] : engueulez-moi si je dis une con..rie, mais n'oubliez pas que je simplifie...
[2] : le "MS" de "MSRPC", c'est pour "MicroSoft".

[ArHacKnIdE]

Jolie message

Maintenant à la chasse aux conneries (blague)

Pour obtenir le même resultat tu branches ethereal ou qqchose dans le genre et ça suffit, qu'il faut configurer à sa convenance bien sur

Je pense que ce que detecte ton firewall c'est simplement les requetes SYN des clients mais peut être je me trompe

C'est un genre de SPAM

Je me suis fait un scanner de port en C# et j'avoue avoir était étonné par la multitude de ports qui sont ouverts et qui n'aparaissent pas dans nmap

A une epoque(AOL) je recevai c'est message sous le service messenger de Windows(net start/stop messenger et net send...) alors je l'ai désactivé à chaque démarrage pour arreter de les recevoirs

Enfin Voilà ^^

EDIT : C'est pas plutot le port 139 -> Netbios et le 135 -> MSRPC

[David.Schris]

Jolie message

Merci

Maintenant à la chasse aux conneries (blague)

Pas de problème (blague (blague)).

Pour obtenir le même resultat tu branches ethereal ou qqchose dans le genre et ça suffit, qu'il faut configurer à sa convenance bien sur

C'est sympa de dire que mon message est "jolie" (sans "e" normalement) sans l'avoir lu

Je pense que ce que detecte ton firewall c'est simplement les requetes SYN des clients mais peut être je me trompe

Si c'est de l'UDP et qu'il y a un flag SYN d'activé, surtout tu m'appelles en urgence ! (blague)

C'est un genre de SPAM

A priori oui.

Je me suis fait un scanner de port en C# et j'avoue avoir était étonné par la multitude de ports qui sont ouverts et qui n'aparaissent pas dans nmap

Et que fait ton scanner que ne sait pas faire nmap ? (pas blague)

[ArHacKnIdE]

En fait c'est jour de BLAGUE

Pour mon scanner il est très basique mais le truc qui me trouble, c'est qu'il va detecter plus de ports de connexions que nmap

Avec mon scanner je peux voir les ports de connexions de mes serveurs de jeux en "Listen", mon messenger perso reseau... tandis que avec nmap, on voit pas

On s'ecarte...

[David.Schris]

Pour mon scanner il est très basique mais le truc qui me trouble, c'est qu'il va detecter plus de ports de connexions que nmap

Avec mon scanner je peux voir les ports de connexions de mes serveurs de jeux en "Listen", mon messenger perso reseau... tandis que avec nmap, on voit pas

Excuse-moi mais ça manque un peu de données techniques précises... Genre : le fonctionnement de ton scanner (si ce n'est pas ultra-secret, bien sûr), les options de nmap utilisées, des infos sur les services trouvés ou pas (protocole, etc), des infos sur le/les pare-feu sur la machine hébergeant les services trouvés ou pas et sur la machine sur laquelle tournait ton scanner (au fait : la même machine ?), etc...
Sinon, si tu as du code source à nous montrer...

EDIT : C'est pas plutot le port 139 -> Netbios et le 135 -> MSRPC

TCP/IP ? UDP/IP ? Il va falloir apprendre à préciser (Je suppose que tu parles de TCP mais je préfère être exigeant, ça peut éviter des malentendus sur d'autres sujets)
Pour ce qui est de MSRPC, tout ne se limite pas à un port car, comme écrit dans mon premier message, certains sont alloués dynamiquement. Si vraiment tu es motivé, tu peux lire ça (bon courage...et c'est sincère).

[_solo]

Et que fait ton scanner que ne sait pas faire nmap ? (pas blague)

Le mien il sait modifier les TTLs si un paquet ne reviens pas apres X sec , modifie les Flags , et fait meme dusource routing bref il peut modifier presque tous les champs d'un entet TCP et meme UDP de maniere pseudo automatique et pour scanner derriere les firewalls et autres BOX woooo !