Page 1 sur 1

[Hacking] sentbyte = 600000

Publié : 21 avr 2020, 19:24
par khaled
Bonjour.

Je suis en train d'étudier un fichier de logs où l'IP 192.168.1.1 reçoit des requêtes de différentes IPs sur le port destination 80 et répond par accept ou deny. Dans toutes ces requêtes la quantité de données transitant entre les machines est faible : de quelques centaines à 4000 bytes maximum.

Il y a un seul qui m'intrigue où l'IP 192.168.1.1 joue le rôle du client et envoi une requête sur le port 80 de l'IP 185.83.145.120 qui lui répond avec l'envoi de 600000 bytes!

<189>devname="FWFG240D" type="traffic" subtype="forward" level="notice" vd="root" eventtime=1565129415 srcip=192.168.1.1 srcport=49321 dstip=185.83.145.120 dstport=80 proto=6 action="accept" sentbyte=712
 
<189>devname="FWFG240D" type="traffic" subtype="forward" level="notice" vd="root" eventtime=1565129416 srcip=185.83.145.120 srcport=80 dstip=192.168.1.1 dstport=49321 proto=6 action="accept" sentbyte=628123
Le bout du log que j'ai est limité sur une heure et je ne sais pas si dans le passé il y a eu une connexion entre les deux IPs!

La quantité de données reçue par 192.168.1.1 est immense comparé à ce qui y transite d'habitude (au moins 150 fois plus) et puis voir cette IP se connecter à une machine externe m'intrigue...

Auriez-vous une explication possible svp ?

En vous remerciant d'avance.