Intrusion réseau ip inconnu détecté

Intrusion réseau ip inconnu détecté - Réseaux - Réseaux grand public / SoHo

Marsh Posté le 04-01-2015 à 12:33:09    

Bonjour,  
 
Je suis entré dans mon modem routeur afin de voir les connexions actives sur mon réseau et j'ai découvert une connexion active que je ne connais pas.  
j'y retrouve 3 connexions à moi et 1 que je ne connais pas.  
il y est indiquée l'adresse IP et lorsque j'ai localisé cette adresse IP elle se trouve dans une ville à 1000 Km de chez moi !  
Comment est-ce possible ?  
ou encore une application en cours peut être sur mon pc qui fait que ?  
 
 
Merci d'avance pour votre aide

Reply

Marsh Posté le 04-01-2015 à 12:33:09   

Reply

Marsh Posté le 04-01-2015 à 12:57:42    

Sans plus d'info, personne ne peut te répondre.
Indique nous où dans ton routeur tu vois ça, une capture d'écran, des caractéristiques de ce que tu appellles une "connexion", voir l'adresse IP elle même.


---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 04-01-2015 à 13:10:43    

Evidemment ..!
 
j'ai un routeur DLINK DIR 615.
dans --) Statut --) session active --) NAPT session active :
 
Il 4 adresse IP indiquée ... 3 qui viennent de chez moi et 1 que je ne connais pas, et lorsque je fais une recherche sur cette adresse IP elle est localisée à + de 1000 km , dans un autre Pays !

Reply

Marsh Posté le 04-01-2015 à 13:46:49    

Reply

Marsh Posté le 04-01-2015 à 14:04:48    

Ce n'est pas le modèle du routeur qu'il faut comme information, ni le nom du menu.
 
Il faut que tu cherches entre quel PC et de chez toi et l'ip externe, la connexion est établie.
Ensuite tu vas sur le pc en question, tu cherches le nom de l'application qui est connectée avec cette ip.
 
Ce n'est probablement pas une intrusion, mais plutot un logiciel qui communique comme un antivirus ou un autre programme qui se met à jour.

Reply

Marsh Posté le 04-01-2015 à 14:37:20    

Lorsque je clique détail j'ai ceci :  
PROTOCOLE : TCP  
PORT SOURCE : 2133  
DEST PORT : 46998  
TEMP LIBRE 6440  
PRIORITE : 3  
 
Merci

Reply

Marsh Posté le 04-01-2015 à 14:38:52    

''tu cherches le nom de l'application qui est connectée avec cette ip''..
 
Comment faire pour vérifier cela ?
 

Reply

Marsh Posté le 04-01-2015 à 15:12:45    

Tu fais un netstat -o qui va t'afficher un process id.
Ensuite tu prends process explorer et tu regardes à quel programme correspond l'id.
Sinon tu ajoutes une colonne id de processus dans le gestionnaire de tâches Windows.

Reply

Marsh Posté le 04-01-2015 à 15:20:56    

je n'ai plus le plus le pc avec moi...
Je vérifierai si la connexion est toujours active comme tu me l'as conseiller de faire...
 
Cela veut dire alors que je ne dois pas m'inquiéter ?
Ce n'est pas forcément malveillant ?

Reply

Marsh Posté le 04-01-2015 à 15:42:55    

non, il y a peu de chances, sinon l'antivirus aurait signalé une intrusion.

Reply

Marsh Posté le 04-01-2015 à 15:42:55   

Reply

Marsh Posté le 04-01-2015 à 16:22:46    


Désolé mais tout le monde n'est pas H24 sur le forum à faire F5 pour voir si tu as répondu....

 
nnwldx a écrit :

non, il y a peu de chances, sinon l'antivirus aurait signalé une intrusion.


Mouarf... si c'était le cas, il n'y aura pas tant de problème de botnet dans le monde...
Ensuite, ce n'est pas forcément un PC avec antivirus, ça peut être une tablette/téléphone/etc...

 

Si c'est dans la partie NAPT, c'est que le flux est sortant, donc il se connecte sur le port 46998. Si c'est un protocole utilisant son propre port de manière officielle:
http://www.speedguide.net/port.php?port=46998
>> sp-remotetablet
Connection between a desktop computer or server and a signature tablet to capture handwritten signatures [SOFTPRO GmbH] (IANA official)
ça te parle ?

 

Tu peux donner l'adresse IP distante ?

  

Juste pour être sûr, tu as configuré du NAT entrant pour un jeu ou autre (p2p) ?


Message édité par o'gure le 04-01-2015 à 16:24:30

---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 04-01-2015 à 16:44:07    

Je ne dis pas que l'antivirus est la protection parfaite.
Mais une connexion établie avec une ip distante n'est pas signe d'intrusion.
Si l'antivirus ne se lance pas non plus.
Il est fort probable que la connexion soit légitime.
Ensuite je n'ai pas assez d'information pour aller plus loin.

Reply

Marsh Posté le 04-01-2015 à 16:56:24    

je venais de télécharger un torrent mais j'avais fermé l'application avant d'aller voir ce qu'il se passe dans les connexions actives...

Reply

Marsh Posté le 04-01-2015 à 17:30:19    

nnwldx a écrit :

JMais une connexion établie avec une ip distante n'est pas signe d'intrusion.


Une connexion vers l'extérieur ne veut absolument rien dire sur une intrusion ou non.
Typiquement, les équipements infectés et faisant parti d'un botnet sont derrière du NAPT. Pour prendre leurs ordres auprès du server C&C ils font une connexion vers un serveur externe. Tout comme l'évasion de donnée lors d'une intrusion va se faire par un canal semblant être légitime, donc par une connexion sortante. On ne peut rien déterminer avec juste "une connexion à une adresse distante". Ca peut être légitime (ie issu d'un soft/process de confiance) tout comme illégtime.
 
Bref, le seul moyen c'est de voir in situ sur l'équipement interne faisant partie de  cette conexion quel est le process derrière comme tu l'as indiqué.


---------------
Relax. Take a deep breath !
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed