réception de 600000 octets après une requête non initiée (sentbyte = 600000)

**pocket** · 21/04/2020, 20h34

Bonjour.

Je suis en train d'étudier un fichier de logs où l'IP 192.168.1.1 reçoit des requêtes de différentes IPs sur le port destination 80 et répond par accept ou deny. Dans toutes ces requêtes la quantité de données transitant entre les machines est faible : de quelques centaines à 4000 bytes maximum.

Il y a un seul qui m'intrigue où l'IP 192.168.1.1 joue le rôle du client et envoi une requête sur le port 80 de l'IP 185.83.145.120 qui lui répond avec l'envoi de 600000 bytes!

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
<189>devname="FWFG240D" type="traffic" subtype="forward" level="notice" vd="root" eventtime=1565129415 srcip=192.168.1.1 srcport=49321 dstip=185.83.145.120 dstport=80 proto=6 action="accept" sentbyte=712
 
<189>devname="FWFG240D" type="traffic" subtype="forward" level="notice" vd="root" eventtime=1565129416 srcip=185.83.145.120 srcport=80 dstip=192.168.1.1 dstport=49321 proto=6 action="accept" sentbyte=628123

Le bout du log que j'ai est limité sur une heure et je ne sais pas si dans le passé il y a eu une connexion entre les deux IPs!

La quantité de données reçue par 192.168.1.1 est immense comparé à ce qui y transite d'habitude (au moins 150 fois plus) et puis voir cette IP se connecter à une machine externe m'intrigue...

Auriez-vous une explication possible svp ?

En vous remerciant d'avance.

**Ti-Slackeux** · 22/04/2020, 02h27

Bah, voilà déjà pour l'ip 185.83.145.120 :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
 
 Abuse contact for '185.83.145.0 - 185.83.145.255' is 'abuse@corelux.com.tr'
 
inetnum:        185.83.145.0 - 185.83.145.255
netname:        Corelux
descr:          Corelux Internet Hizmetleri
country:        TR
admin-c:        CX
tech-c:         cx
geoloc:         37.787104 29.082111
status:         ASSIGNED PA
mnt-by:         MNT-NETINTERNET
created:        2015-01-26T13:02:43Z
last-modified:  2015-01-26T13:29:07Z
source:         RIPE
 
person:         Mehmet A.
address:        Denizli
phone:          +908505320233
remarks:        *********************************************
remarks:        *** Abuse Reports to: abuse@corelux.com.tr ***
remarks:        *** This IP block is used for web hosting,***
remarks:        *** dedicated and co-located servers. In ***
remarks:        *** case of spam, please only deal with ***
remarks:        *** originator IP only. ***
remarks:        *** DO NOT DEAL WITH THE WHOLE IP BLOCK ***
remarks:        *********************************************
nic-hdl:        CX
mnt-by:         MNT-NETINTERNET
created:        2015-01-08T09:24:31Z
last-modified:  2019-09-25T19:14:59Z
source:         RIPE # Filtered
 
% Information related to '185.83.144.0/22AS51559'
 
route:          185.83.144.0/22
descr:          Netinternet Datacenter
origin:         AS51559
mnt-by:         MNT-NETINTERNET
created:        2015-01-09T12:46:57Z
last-modified:  2015-01-09T12:46:57Z
source:         RIPE
 
% This query was served by the RIPE Database Query Service version 1.97 (ANGUS)

hth,