Occupé au test de mon dernier jouet, un point d'accès wifi, je me rends compte qu'une fois ma mule lancée, je recois un très grand nombre de paquets sur le port standard d'emule : 4662.

Malheureusement pour eux, je n'utilise pas ce port. Je me demande donc si ce sont de trop vieilles mules ou edonkey ou si le gars qui la prog est un manche....

et j'en recois une toutes les 2 secondes.

je viens de faire moi meme un test et je n'ai rien
trouvé sur le port standard
par contre le port que j'ai choisi j'te raconte pas :-)
tu a utilisé quoi pour faire ce test
la commande "netstat" ?

On ne peut pas faire ce test avec netstat, car netstat ne répertorie que les connexions actives. Or, si des paquets arrivent sur un autre port, et que ce port est fermé (donc le cas de bile avec le port 4662), les paquets sont ignorés, et jetés.

Un moyen de savoir si des paquets arrivent sur le port 4662 est de vérifier tous les paquets qui arrivent, ethereal peut le faire. Et après de faire le tri. Mais j'imagine que c'est une option du routeur de bile qui permet de voir ça.

Dans le log de mon routeur DLink j'obtient également un trés grand nombre de packets envoyés sur ce ports, alors qu'évidemment je ne l'utilise pas.
J'ai également remarqué que les packets sont beacoup plus fréquents quand la mule est lancée, ou plutot quasi inexistants quand la mule n'a pas été lancée depuis mon changement d'IP.

Voila une des pages de mon log :


Les autres requètes de connections sont peut être dues a des scanners (ou des attaques de virus) mais je me suis souvent demandé pourquoi il y en a autant sur le port par défaut d'emule.

Edit : Ceci est un "vieux" log.

effectivement je suis passé voir les logs
de mon firewall
et la je m'en tape plein
:-)

Je me demande pourquoi on en recoit autant de ces paquets sur les mauvais ports.

Ah ben je me pose la même question depuis quelques temps...


Quelques exemples de mon kerio...

Pourant moi aussi mon port n'est pas le 4662...
Et c'était la même chose avec lphant

Ben, le coup classique des préparations d'attaques de ver est d'envoyer un tas de paquets sur les ports 1025 à 1030, histoire de trouver un trou vers msn pour arroser ensuite les adresse hotmail.com et msn.com, et répercuter vers les adresses classiques.

En général, les envois débutent par des paquets remplis de \00.

Il serait intéressant de voir le contenu des susdits paquets.


Après les soldes de juin, le blaster 2004 est arrivé :-P :-o :-o :-o :-o :-o

Parce que ce genre de paquets, j'en ai aussi, et pas mal de monde autour de moi.

Une petite explication technique ici sur ce genre de paquets dans une attaque et ce qu'ils peuvent faire : http://www.linklogger.com/TCP1025.htm

Le port 1025 est officiellement "Network blackjack" un port d'accès qui secoue lsass.exe, gestionnaire de sécurité sur W2K et XP (La quoi ? )
http://www.dshield.org/port_report.php?port=1025

Enfin, n'allumez pas nécessairement les auteurs de ces paquets, ils ne sont peut-être ps conscients de ce qu'ils émettent, ça peut être un ver déjà au travail sur leur machine


Moralité, firewall, antivirus, et tout le toutim, comme d'habitude.

Et avant toute chose, fermez ce port, à moins que vous sachiez ce que vous faites.

Je suis assez surpris car je ne suis absolument pas touché par ce problème.
Je suis en IP fixe, j'utilise la mule 24h/24 depuis longtemps et je n'ai en moyenne qu'un paquet tous les 10 jours qui arrive sur le port standard. C'est vraiment très bizarre. Ca ne viendrai pas de votre mule ???

Benh moi j'en reçois en visitant ce site

J'ai pas de mule active sur le réseau


C'est marrant
Voilà ce que je reçois sur le log de mon Modem
8 06/25/2004 18:38:50 ports scan TCP 192.168.X.XX:3387 213.221.132.121:80 ATTACK
9 06/25/2004 18:38:50 ports scan TCP 192.168.X.XX:3386 213.221.132.121:80 ATTACK
10 06/25/2004 18:38:50 ports scan TCP 192.168.X.XX:3385 213.221.132.121:80 ATTACK

Salut tlm !!


Moi aussi ca m'arrive tout le temps. Si on a une ip dynamique, lorsqu'on se connecte, il arrive que le FAI nous attribue une ip fraichement abandonné par un utilisateur de mule. (il suffit que ce dernier vienne juste de couper sa coonection, que l'on se connecte nous-même à ce moment là, et hop ! tous les paquets réseaux initialement destinés à ce type se retrouve dirigés vers nous... ils viennent se cogner à notre firewall si on en a un un et le pire, c'est que ca pourrit un peu la connection internet.)



Depuis 2 semaines je dispose d'une ip fixe et ma mule est configurée pour recevoir des données sur un port bien précis que l'on nommera TOTO pour l'occasion.
La dernière fois que j'ai utilisé Emule, ca date de 4 jours. Dans les logs de mon firewall d'auhjourd'hui, je recois encore des paquets adressés à ce fameux port TOTO (pourtant fermé depuis 4 jours. Ce port a un numéro vraiment peu commun (>20000) donc je suis certain qu'il s'agit de clients emule qui ne sont toujours pas au courant que ma mule a cessé de fonctionner depuis 4 jours, et qui continue de m'envoyer des paquets... )

Voilà, je pense que c'est un défaut de la mule, tout simplement. Il faudrait qu'à la fermeture, la mule envoit un paquet à tous les clients en attente pour leur dire "c'est bon je m'en vais, arreter de me harceler à présent... Le problème, c'est que si on a 10000 mules à contacter, ca risque de prendre un peu de temps la fermeture...

Oulala tout ce que j'écris, je suis en forme moi...

Ah oui dernière idée : certaines mules intègrent une option "sauvegarder les sources " pour les fichiers rares. Je pense que c'est aussi peut-ètre dù à ca qu'on reçoit encore des données emule avec 5 jours de décalage.

Pour finir, lorsque je me connecte avec Kazaa, que je fais mon petit buzinesss et que je me déconnecte, je ne recois aucun paquet en provenance de clients Kazaa une fois passé 10 minutes. Donc je pense que c'est un problème spécifique à emule.


Allez, @+ tlm