Souci ? 239.255.255.250

Depuis un moment je voyais la connexion internet sous windows se faire vers 239.255.255.250.

Maintenant je me suis donné les moyens de bloquer tout flux vers cette adresse.

Connaissez vous cette adresse ?
Est-ce le résultat d’un spyware (pourtant j’ai passé ad-aware et SpyBot) ?

Apparement je ne suis pas le seul à me poser la question mais je n’y connais rien en réseau.[url=“http://www.nthelp.com/upnpscrewup.htm”]

http://www.nthelp.com/upnpscrewup.htm[/url]
http://www.upnp.org/download/draft_cai_ssdp_v1_03.txt

Ou alors je fais de la parano et y’a pas de soucis à se faire ?

Ce message a été édité par phili_b le 02/11/2003

C’est bizarre quand je tente un whois sur cette addresse j’ai pas de réponses correctes…

Knock, knock, Neo.

[quote]C’est bizarre quand je tente un whois sur cette addresse j’ai pas de réponses correctes…

Knock, knock, Neo.[/quote]Ca aboutit dans l’Atlantique au large de la Côte d’Ivoire! Je sais qu’il y a des plate-formes par là mais je pensais pas qu’ils hébergeaient des serveurs
Ce message a été édité par JeeP le 02/11/2003

Les mecs, arretez de pinguer l’Atlantide …

ok,

[quote]Depuis un moment je voyais la connexion internet sous windows se faire vers 239.255.255.250.[/quote]Cette adresse fait partie d’un bloc d’adresses IP qui appartient à un organisme très respectable: IANA (Internet Assigned Numbers Authority).
La requête sur cette adresse IP et son résultat sur un WHOIS:
http://ws.arin.net/cgi-bin/whois.pl?queryi…239.255.255.250

Ce bloc leur sert, comme d’autres, pour des “special purposes”, décrits dans le RFC 3171: IANA Guidelines for IPv4 Multicast Address Assignments
Dans ce RFC, il est indiqué que ce bloc est un Administratively Scoped Block.

A mon avis, ils s’en servent pour faire des tests… mais je ne vois pas pourquoi (et comment) vos PCs lancent une connexion vers cette adresse IP.
C’est marrant, mais je n’ai pas l’impression d’avoir avancer le thread… arf.

… merde, pour une fois, Gator n’y est pour rien

Euh, c’est une IP Multicast de classe D, donc je vois pas vraiment ce qui peut se passer. En même temps, la plupart des FAI ne routent pas le Multicast (si je ne m’abuse).

phili_b, tu peux donner un peu des détails sur cette connexion vers cette adresse IP?
C’est ton firewall qui note cette connexion? via quel port? quel volume de données? Es-tu sûr que cette adresse IP n’est pas déclarée sur ton réseau local?
Parce que je ne vois pas ce que l’IANA pourrait bien faire sur ta machine…

Bon. C’est facile
C’est un multicast local qui est est utilise par UPnP pour annoncer la presence de la machine sur le reseau.

Le texte de specs:

239.255.0.0/16 is defined to be the IPv4 Local Scope. The Local
Scope is the minimal enclosing scope, and hence is not further
divisible. Although the exact extent of a Local Scope is site
dependent, locally scoped regions must obey certain topological
constraints. In particular, a Local Scope must not span any other
scope boundary. Further, a Local Scope must be completely contained
within or equal to any larger scope. In the event that scope regions
overlap in area, the area of overlap must be in its own local scope.
This implies that any scope boundary is also a boundary for the Local
Scope. The more general topological requirements for administratively
scoped regions are discussed below.

Donc en gros c’est normal que ca sorte, mais c’est comme une adresse en 192.168.*, ca doit pas se faire router sur le net. Il se trouve que certains routeurs commerciaux ont un bug dans le sens ou ils ne respectent apparement pas les specs et routent les paquets de ce genre sur le net. En gros, c’est utilise par WinXP+ pour decouvrir d’autre “device”, ordinateurs ou pas, presents sur le reseau et c’est une requete specifique au reseau LOCAL, mais independant de l’ip de la machine (ce qui est malin parceque si le pc est directement dehors avec un masque en 255, on peut pas faire du bcast base sur l’ip). Pas de quoi s’inquieter quoi…

[quote][…]En gros, c’est utilise par WinXP+ pour decouvrir d’autre “device”, ordinateurs ou pas, presents sur le reseau et c’est une requete specifique au reseau LOCAL, mais independant de l’ip de la machine […][/quote]Je me disais aussi que ça devait avoir un rapport avec le réseau local, mais j’avoue que je n’avais pas très très bien compris les docs que j’avais trouvé… Merci pour la traduction/simplification, GloP! 

Pour arretez ce scan intempestif du reseau, ne suffit il pas de desactiver le service incriminé (UPnP ?) ? A part la domotique, qui n’est pas encore arrivé chez nous, quels appareils peut on brancher par ce biais ?

[quote]Pour
arretez ce scan intempestif du reseau, ne suffit il pas de desactiver
le service incriminé (UPnP ?) ? A part la domotique, qui n’est pas
encore arrivé chez nous, quels appareils peut on brancher par ce biais ?[/quote]C’est pas un scan c’est un avertissement
Ce message a été édité par Donjohn le 04/11/2003

Il y a ausi MSN qui utilise UPnP.

[quote]Il y a ausi MSN qui utilise UPnP.[/quote]Oui surement pour faire des choses avec le firewall Genre “ouvre moi un port pour envoyer un fichier”, ou bien “attention je veux faire de la video conference, j’ai besoin de laisser passer ce port avec tel protocole”, etc.

[quote]phili_b, tu peux donner un peu des détails sur cette connexion vers cette adresse IP?[/quote](Note:
 xxx.xxx.xxx.xxx est mon adresse ip dynamique fourni pour mon ISP
Mon ordi sert aussi de passerelle à internet pour un autre ordi mais d’après mes logs ce phénomène se produisait aussi avant cela.)

LOCK,2002/05/24,19:55:41 +2:00 GMT,Generic Host Process for Win32 Services,239.255.255.250,N/A
LOCK,2002/05/24,19:55:41 +2:00 GMT,Explorateur Windows,239.255.255.250,N/A
FWOUT,2003/11/04,09:12:22 +1:00 GMT,xxx.xxx.xxx.xxx:3012,239.255.255.250:1900,UDP
FWOUT,2003/11/04,09:36:28 +1:00 GMT,xxx.xxx.xxx.xxx:3037,239.255.255.250:1900,UDP
FWOUT,2003/11/04,09:36:28 +1:00 GMT,192.168.0.1:3038,239.255.255.250:1900,UDP
FWIN,2003/11/04,09:38:40 +1:00 GMT,xxx.xxx.xxx.xxx:1027,239.255.255.250:1900,UDP

grosso modo le port de destination est toujours 1900 mais le port de départ est très variable:

4993, 4837, 4836, 4832, 4828, 4827, 4824, 4821, 4820, 4817, 4816, 4812, 4766, 4364, 4287, 4147, 3754, 3719, 3684, 3539, 3538, 3517, 3513, 3512, 3509, 3502, 3493, 3492, 3488, 3453, 3452, 3438, 3437, 3431, 3357, 3354, 3245, 3107, 3106, 3101, 3095, 3091, 3090, 3087, 3084, 3073, 3070, 3054, 3053, 3041, 3040, 3038, 3037, 3035, 3034, 3031, 3029, 3028, 3024, 3015, 3014, 3013, 3012, 3010, 2625, 2084, 1936, 1725, 1664, 1622, 1261, 1143, 1101, 1098, 1063, 1062, 1060, 1059, 1058, 1056, 1055, 1053, 1051, 1050, 1049, 1048, 1047, 1046, 1045, 1041, 1038, 1037, 1035, 1034, 1028, 1027
avec une préférence pour le port 1027.

Du point de vue de la volumétrie, je n’ai pas trop poussé la recherche, mais il semble que juste après le démarrage de windows, quelque chose demande à se connecter à internet pour avoir le 239.255.255.250, ensuite ça semble se calmer. Mais il y a quelques fois des lignes en continues d’essais d’envois sur cette adresse mais je n’ai pas fait de stats de près.

Le protocole est UDP à 95% et ICMP (type:8/subtype:0) pour le reste (sans compter les N/A où le protocole n’a pas pu être déterminé ) .

Merci pour vos éléments de réponses en tout cas.

Ce message a été édité par phili_b le 04/11/2003