Netstat

Modérateur: Modérateurs et Modératrices

Netstat

Messagede Delphine1300 » 04 Aoû 2006, 13:12

Hello !

Que signifie le nom_du_pc.domaine.localhost:0 dans

TCP nom_du_pc.domaine:epmap nom_du_pc.domaine.localhost:0 LISTENING


lorsqu'on fait un netstat -a ?


Merci
Avatar de l’utilisateur
Delphine1300
 
Messages: 354
Inscription: 22 Juin 2005, 11:39

Messagede Delphine1300 » 04 Aoû 2006, 13:38

Autres questions :

1. Pourquoi le PC local est-il parfois représenté par 0.0.0.0, parfois par l'adresse localhost et parfois par son IP (192.168.1.3) ?

TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:2967 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1037 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1041 0.0.0.0:0 LISTENING
TCP 127.0.0.1:62514 0.0.0.0:0 LISTENING
TCP 192.168.1.3:139 0.0.0.0:0 LISTENING
TCP 192.168.1.3:3268 66.249.91.99:80 ESTABLISHED

2. Lorsque je fais un netstat -n, je ne vois que des connexions de type

TCP 192.168.1.3:3268 66.249.91.99:80 ESTABLISHED

Par contre, qd je fais un netstat -an, je vois tout (LISTENING, ESTABLISHED,...).
Bizarrement, chez un ami, il voit tout, peu importe s'il tape netstat -n ou netstat -an.
Pourquoi ces différences ?

3. Comment expliquer la présence parfois de connexions de type :

TCP 127.0.0.1:1025 127.0.0.1:1046 ESTABLISHED
TCP 127.0.0.1:1025 127.0.0.1:1409 ESTABLISHED

Pourquoi une connexion du PC local à lui-même ?
Avatar de l’utilisateur
Delphine1300
 
Messages: 354
Inscription: 22 Juin 2005, 11:39

Messagede Tesgaz » 04 Aoû 2006, 15:14

Salut,

le nom_du_pc.domaine.localhost:0 <-- connexion sur le port 0 sur le pc

1. Pourquoi le PC local est-il parfois représenté par 0.0.0.0, parfois par l'adresse localhost et parfois par son IP (192.168.1.3) ?

tout dépend quel services ou programme demande la connexion

0.0.0.0 ou 127.0.0.1 revient au même (voir la définition que j'explique ici) >> http://speedweb1.free.fr/frames2.php?pa ... 0#fonction

Il existe 2 adresses IP qui sont réservées : 127.0.0.1 et 0.0.0.0, nous avons déja vu que 127.0.0.1 correspond à la boucle locale
- 0.0.0.0 est un adressage IP spécial qui définit l'hôte actuel dans le réseau en cours d'utilisation. Adresser un paquet à 0.0.0.0 revient quasi au même qu'adresser l'adresse de bouclage 127.0.0.1

TCP 192.168.1.3:139 0.0.0.0:0 LISTENING << correspond à une écoute sur le reseau local (netbios ici)


3. Comment expliquer la présence parfois de connexions de type :

TCP 127.0.0.1:1025 127.0.0.1:1046 ESTABLISHED
TCP 127.0.0.1:1025 127.0.0.1:1409 ESTABLISHED

certain firewall ou antivirus travaillent sur la boucle local pour les scans en live, d'ou l'adresse 127.0.0.1 qui correspond à ta machine sur des ports différents, ce qu'on appelle un socket de connexion


d'autre part, je constate que tu n'as pas utilisé zebprotect
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
car cette ligne est ouverte pour tous sur le service RPC
Avatar de l’utilisateur
Tesgaz
 
Messages: 2133
Inscription: 23 Juil 2004, 12:49
Localisation: ici : ---------------------> X

Messagede Tef » 04 Aoû 2006, 17:34

Bonjour,

Je me permet une petite parenthèse. Tesgaz, du propose de fermer le port 135, via "ZebProtect". On comprend tous pourquoi^^ Mais cela implique de fermer certains ports avant. Entre autre, le port Schedule 1024 TCP, ce qui dans mon cas me pose problème vu que j'ai quelques taches planifiées importantes. D'ou mes 2 questions,

    - est-ce vraimment obligatoire de fermer le port 1024 TCP pour fermer le port 135, et perdre la planification de tâches?
    - J'utilise le FW Outpost, qui dans ses régles systèmes, bloque les connections entrantes TCP et UDP sur le port 135, c'est que cela suffit pour se protèger, sans avoir à fermer le ports 135 via "ZebPortect"? (A noté que j'utilise "ProcessGard" pour proteger mon firewall, puisque ma protection de ce port depent de celui-ci).


Amicalement
Tef
 
Messages: 40
Inscription: 04 Juin 2006, 22:51

Messagede Tesgaz » 04 Aoû 2006, 18:06

hello tef,

dans ce cas, il faudrait "fermer" le port 135 à la main, plutot que de le faire avec Zebprotect

je n'utilise pas le planificateur des taches de windows, mais je comprend ton soucis, donc, faut faire un test, en principe, ca doit fonctionner sans soucis

pour mettre des restrictions sur le port 135 en supplément de tes programmes de protection

la page complete ici :
http://speedweb1.free.fr/frames2.php?page=securite1

ce qui te concerne principalement :


Femer le port "135"
Pour fermer ce port qui utilise le service "Appel de procédure distante" qui lui ne peut, en aucun cas être fermé
pour cause de blocage de toutes connexions, il faut modifier plusieurs paramètres dans la base de registre, dont
voici la procédure :
Création des "Restrictions des interfaces d'écoute sur Windows"
Une valeur de la base de registre permet de configurer la liste des interfaces réseau sur lesquelles les services RPC se
placeront en écoute. Cette valeur reçoit une liste d'entiers, correspondant aux index des interfaces réseau.
Cette valeur doit contenir des index d'interfaces réseau, commençant à 1. qui correspond à loopback 127.0.0.1
Pour le faire nous allons créer 2 clés qui n'existent pas :
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rpc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rpc\Linkage]
"Bind"=hex(7):31,00,00,00,00,00

Avec le bloc-notes, vous allez créer un fichier que vous nommez : rpc-bind.reg, vous faites un copier/coller de ces valeurs, et vous le fusionnez dans votre base de registre.

Par défaut, le portmapper RPC se met en écoute sur toutes les interfaces réseau.
Une valeur de la base de registre, "ListenOnInternet", permet de paramétrer si le portmapper RPC se met en écoute sur toutes les interfaces ou non. Par défaut, cette valeur n'existe pas et a une valeur implicite de "Y":
nous allons la créer,
Dans la base de registre, allez à la clé : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs\
Créez la valeur : ListenOnInternet de Type: REG_SZ et donnez lui comme contenu : N

Lorsque ListenOnInternet contient "N", le port TCP 135 devient en écoute uniquement sur les interfaces dont les index apparaissent dans la valeur Bind soit 1 qui correspond à l'interface "Ethernet: MS TCP Loopback interface" 127.0.0.1


Désactiver DCOM
Pour l'instant le port TCP 135 est toujours ouvert car il est utilisé pour recevoir les requêtes d'activation à distance d'objets
COM. Il existe un réglage global dans la base de registres, permettant de désactiver DCOM :
Nous allons modifier une valeur dans la base de registre :
Allez à la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
A la valeur : EnableDCOM de Type: REG_SZ modifiez le contenu : N (pour désactiver)

Désactiver DCOM ne ferme pas le port TCP 135. Pour le fermer, une solution est de supprimer les séquences de protocoles RPC sur lesquels DCOM ne doit plus être accessible. Dans notre cas, il suffit de désactiver la séquence ncacn_ip_tcp, qui correspond au transport sur TCP/IP.
Nous allons modifier une valeur dans la base de registre :
Allez à la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc
A la Valeur : DCOM Protocols de Type : REG_MULTI_SZ, supprimer le contenu de la valeur : ncacn_ip_tcp

Voilà le port 135 est désormais fermé
Avatar de l’utilisateur
Tesgaz
 
Messages: 2133
Inscription: 23 Juil 2004, 12:49
Localisation: ici : ---------------------> X

Messagede Tef » 04 Aoû 2006, 20:09

Re,

Merci pour ta réponse rapide et précise... je vais potacer tout ça tranquille :D

Amicalement
Tef
 
Messages: 40
Inscription: 04 Juin 2006, 22:51

Messagede Delphine1300 » 05 Aoû 2006, 11:31

Un grand merci pour les réponses :D

Pour la question concernant la connexion sur le port 0, je suppose que "port 0" signifie "tous les ports" ?

Autrement dit 0.0.0.0:0 signifie que la connexion sera acceptée en provenance de n'importe quelle IP en utilisant n'importe quel port ?

Par contre, ce que je ne pige pas bien c'est pourquoi faut-il préciser le domaine et localhost : nom_du_pc.domaine.localhost

Pour l'autre question

Tesgaz a écrit:tout dépend quel services ou programme demande la connexion

0.0.0.0 ou 127.0.0.1 revient au même (voir la définition que j'explique ici) >> http://speedweb1.free.fr/frames2.php?pa ... 0#fonction

Il existe 2 adresses IP qui sont réservées : 127.0.0.1 et 0.0.0.0, nous avons déja vu que 127.0.0.1 correspond à la boucle locale
- 0.0.0.0 est un adressage IP spécial qui définit l'hôte actuel dans le réseau en cours d'utilisation. Adresser un paquet à 0.0.0.0 revient quasi au même qu'adresser l'adresse de bouclage 127.0.0.1

TCP 192.168.1.3:139 0.0.0.0:0 LISTENING << correspond à une écoute sur le reseau local (netbios ici)



De ce que j'ai compris grâce à tes bonnes explications, les 3 types d'adresses sont "en gros" la même chose...
Mais je ne saisis pas bien pourquoi le système choisit l'une ou l'autre de préférence.
Est-ce uniquement lié au service ?
Genre Netbios utilise l'IP 192.168.1.3 tandis que Epmap préfère utiliser 0.0.0.0 et les firewalls/antivirus utilisent quant à eux la boucle locale... ?
Avatar de l’utilisateur
Delphine1300
 
Messages: 354
Inscription: 22 Juin 2005, 11:39

Messagede Tesgaz » 05 Aoû 2006, 12:04

hello,

en fait ca depend de qui demande la connexion

0.0.0.0 -> c'est le compte système qui demande la connexion (après cette connexion peut se présenter en 127.0.0.1 en fonction des restriction du compte systeme)
127.0.0.1 -> c'est le compte utilisateur par l'intermédiaire d'un programme qui va tourner en interne (antivirus, pare-feu, defragmenteur, etc..)
192.168.0.xx -> c'est le compte reseau ou netbios qui demande la connexion, ou le programme lui-même si tu es dans un réseau local

voila, pas facile d'être clair avec le reseau :Mouaaarrrrffffffff:
Avatar de l’utilisateur
Tesgaz
 
Messages: 2133
Inscription: 23 Juil 2004, 12:49
Localisation: ici : ---------------------> X

Messagede Delphine1300 » 15 Aoû 2006, 11:32

Tesgaz a écrit:d'autre part, je constate que tu n'as pas utilisé zebprotect
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
car cette ligne est ouverte pour tous sur le service RPC


Salut Tesgaz,

Pourrais-tu me conseiller au sujet des ports à laisser ouverts et à fermer ?

Par exemple, j'ai réussi à bloquer les ports 137, 138 et 139 ainsi que 445.
Mais que se passe-t-il si je les désactive ? Quelles seront les conséquences ?
Je ne pourrai plus accéder au voisinage réseau, au partage de fichiers, etc ???
Avatar de l’utilisateur
Delphine1300
 
Messages: 354
Inscription: 22 Juin 2005, 11:39

Messagede philodoxia » 18 Aoû 2006, 08:48

Bonjour à tous,

bon je vais répondre puisque c'est quand même un des principes du forum, l'échange :)

Le port 135, c'est le serveur RPC, il te permet de déclencher à distance l'éxécution de procédures sur ton ordinateur. Pour se faire, il faut bien sûr avoir les droits "administrateurs". Personnellement, je n'ai pas désactivé cette fonction sur mon ordinateur, par contre, il est bien évident que pour se garantir une certaine sécurité, ce port ne doit pas être accessible de l'internet.

Les ports 137, 138 et 139 sont les ports du service de noms Netbios. Pour résumer succintement, celà correspond à ton voisinage réseau. En désactivant le Netbios, tu désactives ces ports. Por moi, ces ports ne doivent pas être accessibles de l'internet, sauf si tu partages des lecteurs avec d'autres ordinateurs distants, mais c'est pas conseillé d'utiliser ce service sur Internet.

Le port 445, c'est le port du SMB (Server Message Block). C'est un autre service de nom, basé sur des DNS dynamiques. J'vais pas vous faire un cours de trois heures sur la question, donc pour résumer on dira que c'est une autre façon que le Netbios de partager des ressources. Si tu ne partages pas de dossiers ou lecteurs avec des ordinateurs distants, tu peux désactiver ce service.

C'est vrai que c'est pas facile d'être clair avec les réseaux.
philodoxia
 
Messages: 61
Inscription: 18 Aoû 2006, 08:24
Localisation: Partout, dans l'espace infini de la toile

Suivante

Retourner vers Internet (tous navigateurs - navigation) et moi

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 2 invités