Depuis quelques jours j’ai ce blocage intempestif de tentative d’intrusion qui scan tous les ports d’affilé pour s’introduire chez moi.
Ça ne se voit pas au premier regard car ils utilisent le protocole P2P, donc faites attention à vos machines et investissez dans un par-feu P2P.
Tu lis à l’envers… Ce n’est pas Halliburton qui te scanne : l’IP qui est prétendument dans le range d’Halliburton est en destination, pas en source, en source c’est une IP de ton réseau local en 192.168.0.0/24… Donc les requêtes partent de chez toi et ciblent cette IP.
Et en plus ton logiciel qui détermine à qui appartiennent les IP est visiblement mal renseigné, le range 34.159.88.0/22 c’est Google Cloud (peut-être un ancien range d’Halliburton repris par Google… historiquement quand Internet est arrivé, des gros range d’IP ont été attribuées aux grosses boîtes de l’époque, mais depuis, ce ne sont pas forcément ces boîtes qui ont eu le plus de besoins d’adresses, et beaucoup de ranges ont été réallouées à d’autres boîtes).
Bref, non, pas d’espionnage venant des USA ou d’Halliburton. Tu utilises simplement des services hébergés dans le cloud Google, ou alors tu es infecté par un malware qui communique avec un backend instancié dans le cloud Google.
Et en l’état, aucun moyen de savoir qui est le client de Google Cloud qui utilise cette IP.
Pour essayer d’avoir plus d’infos, il faudrait à minima connaître le protocole applicatif utilisé (là on a juste le protocole de transport, c’est bien maigre comme info), et s’il n’est pas chiffré, dumper les trames réseau pour voir ce qui est échangé et essayer de deviner à quoi ça peut bien correspondre.
Ça ça ne veut strictement rien dire comme phrase… Il n’y a pas un protocole P2P. Il y en a des dizaines et des dizaines, c’est juste un concept général…
Et rien dans ta capture d’écran ne permet d’identifier formellement le protocole utilisé. Les numéros de port utilisés en destination, 6666 et 6667, ce ne sont pas les ports par défaut d’un protocole P2P connu, ce sont des ports par défaut du protocole de chat IRC (ce qui ne veut pas dire que c’est de l’IRC, n’importe quel protocole applicatif par dessus TCP peut utiliser n’importe quel port TCP, le port par défaut d’un protocole n’est qu’indicatif).
Bref, le seul truc qui semble correct dans ton analyse, c’est le fait que la machine qui utilise actuellement cette IP est en Allemagne (dans le DC de Google Cloud de Francfort). Et encore… Même ça c’est incertain. Certaines bases WHOIS indiquent que cette IP est localisée en Allemagne, mais c’est dépendant de la déclaration de Google sur la localisation de ses IP, et elle est loin d’être toujours correcte.
Par exemple celle du serveur qui héberge l’appli sur laquelle je travaille, serveur qu’on a instanciée dans la zone GCP Europe de l’Ouest, est mentionnée comme étant à Kansas City dans la base Whois qui dit que 34.159.88.99 est à Francfort… or le serveur de notre appli répond en 10 ms depuis la France, donc c’est physiquement impossible qu’il soit hébergé aux USA (12 000 km minimum pour l’aller-retour, donc le temps de réponse d’un serveur aux USA depuis la France ne peut physiquement pas être inférieur à 60 ms).
Dans le cas de 34.159.88.99 le temps de réponse depuis la France (20 ms) garanti que c’est bien un serveur hébergé localisé en Europe et est donc compatible avec une localisation à Francfort, mais rien de certain, et un traceroute ne donne malheureusement pas assez d’infos pertinentes pour affiner la localisation.
Je sais que c’est du P2P car ça sort de mon pare-feu P2P, et d’habitude il se passe presque rien c’est pour ça.
Faut avouer que par les temps qui court, ce genre d’entreprise (Halliburton) qui a fourni les billes de la guerre en Irak sur de fausses accusations d’un de ses actionnaires me laisse perplexe.
Si l’IP n’est pas fiable j’aime autant mais vu l’actualité c’est pas tranquillisant.
C’est quoi que tu appelles un pare-feu P2P ? Parce que là il n’indique même pas le protocole identifié, s’il identifiait un protocole P2P, la moindre des choses serait de l’indiquer…
Puis bon, de toute façon, P2P ça veut pas dire grand chose, à la base ça design conceptuellement le fait que deux « clients » communiquent directement entre eux sans passer par un « serveur ». Hors là c’est bien vers un « serveur » que tu envoies des requêtes…
Là toute façon y a plein de choses qui vont pas et ça me gonfle, je vais donc refaire une installation net de 0. je vais pour le moment mettre l’ancien OS sur un autre disk pour récupérer et préparer mon disk C: le reformater en GPT et pouvoir entre temp aller sur l’ancien OS si j’ai besoin.
Tout ouvrir pour un nettoyage, je vais en même temps changer le branchement d’un ventilo qui est en entrée de l’ordi pour pouvoir le paramétrer avec le BIOS.