Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 24/12/2017, à 12:28

Oosfalte

[Résolu] Identifier programme en connexion avec googleusercontent.com

Bonjour,
en lançant Etherape je me suis aperçu que mon PC lançait régulièrement des requêtes HTTP vers 2 IP appartenant à Googleusercontent.
Captures d'écran:  IP_107_198_143_177 et IP_104_197_3_80

Je precise qu'aucun programme n'était lancé, je ne possède aucun compte en ligne sur ce PC, aucun service en arrière plan (Google ou autre).
Ce genre de requête n'a donc aucune raison d'apparaître puisque aucune activité sur le PC à ce moment là.

Avec netstat j'ai tenté d'identifier quelle application pouvait contacter googleusercontent, en vain :

tcp        0      0 192.168.0.26:43357      104.198.143.177:80      TIME_WAIT   -                   
tcp        0      0 192.168.0.26:43357      104.198.143.177:80      TIME_WAIT   -                   
tcp        0      0 192.168.0.26:43357      104.198.143.177:80      TIME_WAIT   -                   

Avez vous une idée d'où partent ces requêtes, comment identifier leurs sources ?
Merci.

Dernière modification par Oosfalte (Le 08/01/2018, à 20:13)

Hors ligne

#2 Le 24/12/2017, à 13:57

lejurassien40

Re : [Résolu] Identifier programme en connexion avec googleusercontent.com

Virgin media ça te parle ??
Parce que comme tu peux constater c'est leurs serveurs



1514120187.png


"De tous ceux qui n'ont rien à dire, les plus agréables sont ceux qui se taisent !" Ubuntu 20.04, Debian Buster, W10 LTS pour jouer.
"Ne vous trompez pas entre ma personnalité et mon attitude. Ma personnalité est "qui je suis", mon attitude dépend de "qui vous êtes".

Hors ligne

#3 Le 24/12/2017, à 14:08

Brunod

Re : [Résolu] Identifier programme en connexion avec googleusercontent.com

Essaie un peu

sudo watch -n1 -d netstat -pantu

et tu laisses tourner pour tenir à l'oeil


Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis

Hors ligne

#4 Le 24/12/2017, à 17:41

Oosfalte

Re : [Résolu] Identifier programme en connexion avec googleusercontent.com

@lejurassien40,
il ne s'agit pas de l'IP 80.3.197.104 (Virgin Media) mais de l'adresse 104.197.3.80 qui apparaît 'inversée' à l'affichage dans Etherape.
C'est bien 104.197.3.80 dans le suivi netstat, et un whois confirme bien qu'il s'agit d'une adresse google-cloud

@Brunod,
la commande watch/netstat ne m'a pa permis d'identifier le PID associé à l'adresse 104.197.3.80:

Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale          Adresse distante        Etat       PID/Program name    
tcp        0      0 0.0.0.0:5355            0.0.0.0:*               LISTEN      849/systemd-resolve 
tcp        0      0 127.0.0.1:631           0.0.0.0:*               LISTEN      778/cupsd           
tcp        0      0 192.168.0.26:34965      104.197.3.80:80         TIME_WAIT   -                   
tcp6       0      0 :::5355                 :::*                    LISTEN      849/systemd-resolve 
tcp6       0      0 ::1:631                 :::*                    LISTEN      778/cupsd           
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           762/avahi-daemon: r 
udp        0      0 0.0.0.0:5355            0.0.0.0:*                           849/systemd-resolve 
udp        0      0 0.0.0.0:46458           0.0.0.0:*                           762/avahi-daemon: r 
udp        0      0 127.0.0.53:53           0.0.0.0:*                           849/systemd-resolve 
udp        0      0 0.0.0.0:68              0.0.0.0:*                           1111/dhclient       
udp        0      0 0.0.0.0:631             0.0.0.0:*                           814/cups-browsed    
udp6       0      0 :::5353                 :::*                                762/avahi-daemon: r 
udp6       0      0 :::5355                 :::*                                849/systemd-resolve 
udp6       0      0 :::44377                :::*                                762/avahi-daemon: r 

Par contre la commande lsof -i me retourne ceci pour la 2eme adresse google 104.198.143.177:

COMMAND   PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
NetworkMa 798 root   20u  IPv4  79457      0t0  TCP casa:38287->177.143.198.104.bc.googleusercontent.com:http (SYN_SENT)

Utilisateur Root, PID NetworkManager, que faut-il en déduire ?

J'ajoute un extrait de capture Tcpdump entre mon PC (casa) et googleusercontent:

16:23:49.504099 IP casa.45139 > 177.143.198.104.bc.googleusercontent.com.http: Flags [S], seq 579944465, win 29200, options [mss 1460,sackOK,TS val 795917977 ecr 0,nop,wscale 7], length 0
16:23:49.619627 IP 177.143.198.104.bc.googleusercontent.com.http > casa.45139: Flags [S.], seq 3536289709, ack 579944466, win 28160, options [mss 1420,sackOK,TS val 3586795216 ecr 795917977,nop,wscale 7], length 0
16:23:49.619687 IP casa.45139 > 177.143.198.104.bc.googleusercontent.com.http: Flags [.], ack 1, win 229, options [nop,nop,TS val 795918092 ecr 3586795216], length 0
16:23:49.619785 IP casa.45139 > 177.143.198.104.bc.googleusercontent.com.http: Flags [P.], seq 1:88, ack 1, win 229, options [nop,nop,TS val 795918092 ecr 3586795216], length 87: HTTP: GET / HTTP/1.1
16:23:49.733655 IP 177.143.198.104.bc.googleusercontent.com.http > casa.45139: Flags [.], ack 88, win 220, options [nop,nop,TS val 3586795244 ecr 795918092], length 0
16:23:49.733666 IP 177.143.198.104.bc.googleusercontent.com.http > casa.45139: Flags [P.], seq 1:149, ack 88, win 220, options [nop,nop,TS val 3586795244 ecr 795918092], length 148: HTTP: HTTP/1.1 204 No Content
16:23:49.733680 IP casa.45139 > 177.143.198.104.bc.googleusercontent.com.http: Flags [.], ack 149, win 237, options [nop,nop,TS val 795918206 ecr 3586795244], length 0
16:23:49.733758 IP casa.45139 > 177.143.198.104.bc.googleusercontent.com.http: Flags [F.], seq 88, ack 149, win 237, options [nop,nop,TS val 795918206 ecr 3586795244], length 0
16:23:49.735969 IP 177.143.198.104.bc.googleusercontent.com.http > casa.45139: Flags [F.], seq 149, ack 88, win 220, options [nop,nop,TS val 3586795244 ecr 795918092], length 0
16:23:49.735980 IP casa.45139 > 177.143.198.104.bc.googleusercontent.com.http: Flags [.], ack 150, win 237, options [nop,nop,TS val 795918208 ecr 3586795244], length 0
16:23:49.850844 IP 177.143.198.104.bc.googleusercontent.com.http > casa.45139: Flags [.], ack 89, win 220, options [nop,nop,TS val 3586795273 ecr 795918206], length 0

Dernière modification par Oosfalte (Le 24/12/2017, à 18:31)

Hors ligne

#5 Le 24/12/2017, à 19:08

moko138

Re : [Résolu] Identifier programme en connexion avec googleusercontent.com

Contournements :
- Bloquer googleusercontent.com dans noscript (ce que je fais chez moi).
- Bloquer ces 2 IP dans /etc/hosts (ce que je n'ai pas testé).

  - -

whois 104.198.143.177
NetRange:       104.196.0.0 - 104.199.255.255
CIDR:           104.196.0.0/14
NetName:        GOOGLE-CLOUD
Organization:   Google LLC (GOOGL-2)
Comment:        Complaints can also be sent to the GC Abuse desk 
Comment:        (google-cloud-compliance@google.com) 
Comment:        but may have longer turnaround times.

%NOINDEX%
Un utilitaire précieux : ncdu
Photo, mini-tutoriel :  À la découverte de dcraw

Hors ligne

#6 Le 24/12/2017, à 19:45

Oosfalte

Re : [Résolu] Identifier programme en connexion avec googleusercontent.com

@moko138,
le problème est que ces requêtes HTTP partent vers  googleusercontent.com sans que Firefox ou un autre client 'réseau'  ne soit démarré.
Les bloquer ok, mais j'aurais aimé trouver quelle appli lance ces requêtes, à mon insu, et vers ... Google hmm

Hors ligne

#7 Le 24/12/2017, à 22:07

moko138

Re : [Résolu] Identifier programme en connexion avec googleusercontent.com

Débusquer l'appli qui lance ces requêtes, je ne sais pas faire.
J'ai eu jadis - cf. ./viewtopic.php?pid=20485591#p20485591 - un problème similaire, dû à une extension. Mais dmesg et autres logs devraient t'aider, non ?

En revanche, hosts bloque les sorties de ton système vers les IP de ton choix, qu'un navigateur soit lancé ou pas.


%NOINDEX%
Un utilitaire précieux : ncdu
Photo, mini-tutoriel :  À la découverte de dcraw

Hors ligne

#8 Le 25/12/2017, à 09:20

lejurassien40

Re : [Résolu] Identifier programme en connexion avec googleusercontent.com

Désolé, je savais pas que etherape mettait les IP à l'envers....
Un joyeux Noël et une chouette fin d'année pour tous !!!


"De tous ceux qui n'ont rien à dire, les plus agréables sont ceux qui se taisent !" Ubuntu 20.04, Debian Buster, W10 LTS pour jouer.
"Ne vous trompez pas entre ma personnalité et mon attitude. Ma personnalité est "qui je suis", mon attitude dépend de "qui vous êtes".

Hors ligne

#9 Le 08/01/2018, à 20:12

Oosfalte

Re : [Résolu] Identifier programme en connexion avec googleusercontent.com

J'ai ma réponse.
Avec Wireshark j'ai noté que les requêtes se faisaient vers http://connectivity-check.com.
Un ping vers cette adresse me renvoie vers googleusercontent, un domaine appartenant bien à Google
mais à disposition de ses clients (genre CDN ... suis pas expert).

~$ ping connectivity-check.ubuntu.com
PING connectivity-check.ubuntu.com (104.197.3.80) 56(84) bytes of data.
64 bytes from 80.3.197.104.bc.googleusercontent.com (104.197.3.80): icmp_seq=1 ttl=55 time=115 ms
64 bytes from 80.3.197.104.bc.googleusercontent.com (104.197.3.80): icmp_seq=2 ttl=55 time=115 ms

En fait il s'agit d'une fonctionnalité d'Ubuntu 17.10 destinée à vérifier sa connectivité et découvrir
des 'portails captifs' en Wifi public.
Ce qui conduit NetworkManager a interrogé ce serveur régulièrement (ttes les 5 min exactement).
Inutile dans mon cas, donc désactivée illico.
Info ici: disable-network-connectivity-checking-ubuntu-17-10

Hors ligne