netstat

Sur tout ce qui concerne la sécurité des réseaux et systèmes avec leur protection et comment les contourner.

netstat

Messagepar rvq35 » 06 Mai 2016, 10:02

bonjour
j'ai lu que pour savoir si on ést piraté en temps direct il fallait utiliser la commande netstat avec suffixe -a
effectivement je constate plusieur connextions distantes
comment faire pour supprimer ces connections dès le démarrage du pc donc interdire toute intrusion ?
j'ai pourtant un parefeu actif !
faut il mettre des lignes d'instruction dans le system.ini ? y a t'il un utilitaire ?
est ce normal dès qu'on a une liaison internet ? ou trouver un petit tuto très simple sur la compréhension des protocoles liés à netstat ?
merci d'avance
rvq35
Mega Crackeur !
Mega Crackeur !
 
Messages: 255
Inscription: 07 Mars 2013, 07:21

Re: netstat

Messagepar etherlord » 06 Mai 2016, 14:41

mmm... un peu approximatif tout ça...

Netstat est un outil qui permet effectivement de voir en temps réel les connections TCP.

j'ai lu que pour savoir si on ést piraté en temps direct il fallait utiliser la commande netstat avec suffixe -a


l'option -a permet de voir les connections établies et les ports en écoute. Je te recomande l'option -h qui va te donner une explication sur tous les autres parametres possibles.

Alors, pour répondre à ta question, en théorie oui, en pratique ...... bonne chance.

Tu a probablement fait le test chez toi, et constaté que cela sortait passablement de ligne, non ? il y a en effet les connections établies, mais il y a aussi les ports en écoute,
et les ports qui viennent d'être fermés.

D'un coté ton IP, de l'autre une machine distante. Avec son IP. Comment tu fait pour savoir quel IP uilise le pirate en question ?

Globalement, le problème de base est toujours le même, ou tu connait ta machine (et pourras donc savoir si le port 3427 en écoute est normal ou pas), ou pas, et dnas le dernier
cas aucun moyen de savoir si la liaison établie est malicieuse ou pas.

comment faire pour supprimer ces connections dès le démarrage du pc donc interdire toute intrusion ?


Retirer le cable ethernet et supprimer les connection wifi/bluuetooth. De toute façon, si tu veut supprimer toutes les connections, cela signifie que toi aussi tu ne sera pas
capable de te connecter à internet, alors autant pas cabler 8)

Plus sérieusement, la connection ne se monte pas avant que le PC soit démarré. Si il monte une connection, c'est qu'il y a un bout de code quelque part qui va soit établire une
connection, soit ouvrir un port en écoute. Dans tous les cas, il faut identifier le bout de code responsable et l'éliminer. Anti-malwares, analyse de code, etc...

En passant, le simple fait de te connecter chez ton ISP va ouvrir plusieures connections. Et toutes les petites conneries qui tournent en tâche de fond chez toi aussi
probablement (fait juste le compte du nombre de soft qui sont configurés chez toi pour aller vérifier si une mise à jour est disponible...)

Comme disait un ancien responsable d'un gouvernement, le seul moyen d'être sûr qu'on ne puisse pas pirater un PC, c'est de le couler dans du béton et le balancer au
fond du Pacifique.

C'est moins pratique cu coup pour l'utiliser.

j'ai pourtant un parefeu actif !


C'est mieux qu'un inactif. Et il est configuré comment ton pare-feu ? avec les options par défaut ? tu clique oui quand il te demande si tu doit autoriser un flux ?
tu as autorisé le port 80 en sortie j'imagine ? si ton pare-feux n'est aps apte à reconnaître une application dans un flux TCP, il ne peut pas différencier le fait que
toi tu surf sur internet d'un trojan qui va chercher ses ordres sur le port 80 d'un serveur distant....

faut il mettre des lignes d'instruction dans le system.ini ? y a t'il un utilitaire ?


Tu peut vérifier qu'il n'y ait pas quelque chose de douteux dans system.ini, mais non, pas d'instruction ni d'utilitaire pour cela.

est ce normal dès qu'on a une liaison internet ? ou trouver un petit tuto très simple sur la compréhension des protocoles liés à netstat ?


Oui, c'est normal.

Il n'y a pas de protocoles liés à netstat. Netstat t'affiche des informations au niveau TCP/UDP, c'est un peu plus bas comme couche.

etherlord
etherlord
Triumvirat
Triumvirat
 
Messages: 2476
Inscription: 22 Mars 2004, 16:12

Re: netstat

Messagepar rvq35 » 21 Mai 2016, 10:17

bonjour
pas évident tout ça, là je suis un peu perdu. Je n'ai pas créé de configuration en port 80, ni aucune autre de spéciale. Dans les règles de trafic entrant du pare feu, y a t-il des lignes particulières à mettre en désactivé pour se prémunir?
En allant sur netstat, je vois toujours des adresses distantes avec etat ETABLISHED ou LISTENING ou TIME WAIT. Comment savoir si on est visité en temps réel ? Peut on neutraliser une adresse IP qui s'affiche ?
Je me demande enfin si ces connections sont responsables de la relative lenteur de démarrage complet de l'ordi (temps de connections à distance qui s'expliquerait en partie?).
J'ai déjà du pain sur la planche en reversing aussi je n'avais pas prévu de passer du temps sur des problèmes de réseau et de protocole :D
rvq35
Mega Crackeur !
Mega Crackeur !
 
Messages: 255
Inscription: 07 Mars 2013, 07:21

Re: netstat

Messagepar etherlord » 23 Mai 2016, 08:26

Il n'y a pas de configuration spécifique à supprimer. Cela dépend complétement de ce que tu fait, et de ce que tu a installé.

Le principe de base quand on configure un firewall, c'est tout est bloqué, et on authorise explicitement ce qui doit sortir ou entrer.

Si tu publie un site web chez toi, tu doit ouvrir le port 80 pour que les internautes puissent se connecter à son serveur. Sinon, il n'y a aucun raison d'ouvrir le port en question.

De la même manière, pour savoir si tu est 'visité', il faut connaître ta machine, et savoir ce qui tourne dessus. Dans les options netstat il y en a une qui te dit quel processus
est lié à un trafic. A toi de voir si ce qui tourne correspond à ce que tu a installé.

Pour neutraliser une connexion, il faut trouver le processus qui est à l'origine de la connection et supprimer le processus. Depuis le firewall, suivant le modèle, c'est possible de
couper la connexion de manière plus élégante (reset de la connexion)

Pour ce qui est du démarrage de la machine, encore une fois, dépend de ce qui est installé dessus. Etablir une connexion peut être pénalisant, si le destinataire ne répond pas.
Mais il n'y a pas que cela qui est en cause....

etherlord
etherlord
Triumvirat
Triumvirat
 
Messages: 2476
Inscription: 22 Mars 2004, 16:12


Retourner vers Sécurité informatique

Qui est en ligne

Utilisateurs parcourant ce forum: Yahoo [Bot] et 3 invités