Se pourrait-il qu'à la vue de la connexion TCP suivante (venant de votre LAN par exemple), vous (ou vos équipements de sécurité) réagissiez ?
1. Préambule
Les deux ports réseau utilisés sont peu significatifs, cependant ce flux fait partie d'un échange de données « nuisibles », car liées à un bot. L'intérêt étant bien sûr de détecter ce genre de choses le plus rapidement possible, il faut modifier le modus operandi habituellement utilisé par les Network Intrusion Detection Systems dénommés « NIDS » qui s'appuient sur une analyse des échanges réseau pour classifier ceux-ci et éventuellement détecter la présence d'un flux qui serait « hostile » par rapport à la politique de sécurité établie.
Les pirates tentent souvent de dissimuler leurs néfastes activités de façon telle que les administrateurs aient une chance minimale de découvrir leurs méfaits. Un exemple s'il en faut, les trojans installés sur des serveurs ou postes (de monsieur tout le monde) compromis et dont l'utilisation varie entre :
- faire partie d'un botnet [5] employant le...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première