Discussion :

[Rhineauféros]

Bonjour,

Voilà : j'ai entièrement réinstallé mon système ce matin (Debian stable 3.1), en utilisant l'installation par le réseau. Comme je suis sur un petit réseau local et que l'autre PC qui le partage n'est pas très net au niveau de la sécurité (j'ai eu quelques alertes de Norton ces derniers jours), j'ai pris soin d'utiliser iptables avant le téléchargement des paquets, pour interdire toute connexion entrante qui ne serait pas "established" ou "related".

Jusque-là pas de problème. Mais après avoir tout installé, tout configuré et redémarré, j'ai voulu installer un nouveau paquet. J'ai donc rebranché le réseau pour utiliser apt-get.

Or à ce moment-là je n'avais pas encore installé le script du pare-feu dans les services de /etc/init.d... Mon ordinateur a donc été exposé au réseau sans la moindre protection pendant exactement 30 secondes.

Sur le coup, je me suis dit que ce n'était pas grave, et puis je n'avais aucune envie de tout réinstaller et de tout reconfigurer, d'autant que c'est la quatrième fois en trois jours que je le fais (avec à chaque fois la sélection individuelle des 15000 paquets de la Debian... ).

Bon, mais depuis tout à l'heure, voici le genre de lignes que me donne dmesg :

Jun 14 16:33:01 localhost kernel: DENY IN=eth0 OUT= MAC=(...quelquechose...) SRC=192.168.1.105 DST=192.168.1.255 LEN=243 TOS=0x00 PREC=0x00 TTL=128 ID=240 PROTO=UDP SPT=138 DPT=138 LEN=223
Jun 14 16:39:08 localhost kernel: DENY IN=eth0 OUT= (...quelquechose...) SRC=192.168.1.105 DST=192.168.1.255 LEN=231 TOS=0x00 PREC=0x00 TTL=128 ID=241 PROTO=UDP SPT=138 DPT=138 LEN=211
Jun 14 16:43:01 localhost kernel: DENY IN=eth0 OUT= MAC=(...quelquechose...) SRC=192.168.1.105 DST=192.168.1.255 LEN=243 TOS=0x00 PREC=0x00 TTL=128 ID=243 PROTO=UDP SPT=138 DPT=138 LEN=223
Jun 14 16:51:55 localhost kernel: DENY IN=eth0 OUT= MAC=(...quelquechose...) SRC=192.168.1.105 DST=192.168.1.255 LEN=231 TOS=0x00 PREC=0x00 TTL=128 ID=244 PROTO=UDP SPT=138 DPT=138 LEN=211

Le PC sous XP est-il en train de lancer des attaques sur le port netbios, ou y a-t-il une explication normale (peut-être Windows envoie-t-il des requêtes à tout le réseau pour une raison X ou Y) ?

Un grand merci à qui voudra m'éclairer.

P.S. : je devrais peut-être poster ce message sur un forum pour Windows ?

[bster]

à mon avis c'est normal vu que windob est fanatique de netbios et le rend super bavard....mais bon je suis pas sur...il y a peut etre d'autres raisons plus "meusurables" si quelqu'un peu confirmer ....

[Smortex]

Tout depedns de "(...quelquechose...)" ... C'est du broadcast ?

[Rhineauféros]

En fait je ne sais pas du tout à quoi correspond une adresse MAC donc je l'ai censurée au cas où elle représenterait un danger pour la sécurité. Elle commence par six ff et après il y a d'autres nombres... Apparemment l'adresse IP destination correspond à un broadcast du réseau local (le masque de sous-réseau est 255.255.255.0).

[Rhineauféros]

J'ai trouvé la réponse à ma question. Je la poste au cas où elle intéresserait quelqu'un d'autre :

http://www.hn.edu.cn/book/NetWork/Ne...re/ch20_04.htm

The information that Windows machines display in the Network Neighborhood and in other places where you can pick a computer from a list comes from a server known as the Windows Browser. This is a separate service from name resolution and is not just dependent on name resolution, but also intertwined with it. The Browser service is responsible for most of the mysterious broadcast packets to port 138 that you will see on Windows networks, and a significant number of the mysterious headaches suffered by Windows administrators.

ouf...