Connexions louches ? - Sécurité - Réseaux grand public / SoHo
Marsh Posté le 12-07-2007 à 09:53:20
alors on te rassure tout de suite, tout va très bien
la commande netstat affiche les connexions locale de ta machine
et cette fameuse ip appartient à Akamai, une simple requete WHOIS le démontre :
inetnum: 80.15.236.128 - 80.15.236.255
netname: AKAMAI-FT-FR
descr: Akamai Technologies
ta commande netstat montre rien de particulier. l'état ESTABLISHED des socket indique une connexion établie vers le serveur de google.
n'oublies pas que ta livebox ne fait que filtrage, c'est évidemment normale que tu la traverse ! et la livebox autorise toutes les connexions sortantes..
touti va béné !
plus tard, lance la commande NETSTAT -AN , tu verras d'autres trucs
Marsh Posté le 12-07-2007 à 15:22:13
Merci bien =) !
J'ai aussi pensé à faire un WHOIS y'a peu et j'ai découvert que ça venait de divers DNS en quelquechose.deploy.akamaitechnologies.com
Mais Akamai, ça me dit rien qui vaille. Je sais qu'ils ont plein de serveurs nécéssaires à plein de programmes et plein de sites, et donc que ça arrive qu'on se retrouve avec des connexions vers eux.
Mais alors le fait qu'elle se lance automatiquement directement avec Firefox même si ma page de démarrage c'est rien (about:blank quoi), ça viendrait d'où... de la barre d'outils google ? Mais alors comment expliquer que tout fonctionne alors que j'ai totalement banni toute connexion de la plage en 80.15.236.xxx avec mon PC ?
Parceque Google c'est plutôt ces IP's là (ce petit outil de KIS est magnifique, on peut voir toutes les connexions existantes et elles s'actualisent bien vite)
(les 209. et les 72.)
Bon là je dois aussi avoir des connex avec les serveurs MSN et probablement avec celle du forum, mais je sais que à la seconde même où je désactive ma règle pour bannir les 80.15.236.xxx et que je chargerai une nouvelle page, elles vont tout de suite m'envahir à nouveau ><.
Apparement selon mes recherches, y'a pas tellement de monde quand même qui ont des connexions vers Akamai.
Et puis il me semble que des russes avaient fait du spoofing d'Akamai à un moment.
Bref, je suis déjà plus serein car je sais que c'est très probablement bien Akamai donc rien de dangeureux, mais je reste persuadé qu'Akamai ne sont que de vilains profiteurs qui profitent de leur position nécéssaire pour faire de la saloperie de spyware incrusté =D.
Marsh Posté le 12-07-2007 à 17:41:09
akamai est le principal service sur internet de contenu distribué, la plupart des grands éditeurs et sociétés utilisent ce service, en général pour le contenue multimédia.
cette technologie est dite distribuée, ce qui évite d'avoir le contenu répliqué : il est mis dans des gros caches et est distribué a la demande.
donc t'inquiete pas.. firefox, IE et c.. utilise akamai pour tout , les extensions , les mise à jour des programmes etc..
les connexion en 127.0.0.1 sont du localhost, c'est à dire LOCALES à ta machine
Marsh Posté le 12-07-2007 à 20:29:48
Ah oui c'est du local merde j'ai même pas fait gaffe.
Merci !
Mais je me demande bien à quoi ça sert ces connexions en local, vu qu'en les bloquant tout fonctionne pareillement...
Marsh Posté le 12-07-2007 à 20:42:48
je te conseille d'utiliser process explorer, tu pourras voir quel processus utilise quelle socket.
les bind en local permettent au programme d'utiliser les lib wininet par exemple et de bosser ...
Marsh Posté le 11-07-2007 à 23:46:55
Bonsoir.
Après avoir eu quelques problèmes de connexion avec ma Livebox (connecté mais aucun accès à aucune page) j'ai décidé de faire un netstat pour voir ce qui passait.
A mon grand étonnement j'étais connecté à une IP louche en 80.15.236.xxx, mais aussi les connexions à quelques serveurs de google (j'essayais d'aller sur google), mais Firefox n'affiche rien et continue de charger...
En la tappant dans Firefox, j'obtiens ça :
Ce qui ne me parait pas très normal.
Après quelques temps, j'ai de nouveau accès normal à toutes les pages.
Cependant j'ai toujours ces connexions louches en 80.15.236.xxx
D'abord quelques unes, puis là, une floppée :
Bizarrement, quand je ferme Firefox, elles disparaissent (enfin, se mettent en TIME_WAIT), mais réapparait (une seule) aussitôt que je le rouvre...
Paranoïa ou hack ? Via google, j'ai pu trouver quelques pages qui mentionnent des fois ces IP, mais rien de concret...
EDIT : Le fait qu'elles s'ouvrent et se ferment avec Firefox vient du fait qu'elles se font PAR Firefox. (Port distant 80, port local variable).
Le fait qu'elles soient en port 80 (HTTP) en distant faisait que Kaspersky les acceptait toujours, peu importe la règle que je créais (les règles qu'on crée se mettent en dessous de celle d'origine de Firefox qui dit d'accepter tout ce qui est en distant 80), mais j'ai montée ma règle dans la hiérarchie et maintenant j'ai plus ces connexions...
Bon ben c'est une solution temporaire (version d'éval de Kaspersky de 30 jours), mais j'aimerais quand même être au clair avec ça... Ce qui me tracasse, c'est qu'il a réussi à passer la Livebox, alors que j'avais pas de DMZ activée. Bon ok j'avais mon firewall sur minimal par souci de compatibilité avec certaines applications, mais même après avoir coupé la connexion et m'être mis en maximal, la connexion se faisait encore...
D'autres utilisateurs de Orange ont déjà eu ces connexions ? Quelqu'un sait ce que c'est ? Je suis assez parano, donc si quelqu'un pouvait me rassurer =D
Message édité par LBoy le 12-07-2007 à 00:59:09