Scan ARP suspect sur mon reseau

Scan ARP suspect sur mon reseau - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 10-03-2011 à 09:12:46    

Bonjour,

 

En testant tcpdump sur une machine de mon réseau, j'ai relevé un scan ARP étrange sur toute la plage IP de mon réseau local.

 

Je suis configuré en 192.168.0.0/24 et j'obtiens ceci avec tcpdump:

 

08:15:49.872395 arp who-has 192.168.0.1 tell 192.168.0.67
08:15:50.091724 arp who-has 192.168.0.2 tell 192.168.0.67
08:15:50.093236 arp who-has 192.168.0.3 tell 192.168.0.67
08:15:50.094008 arp who-has 192.168.0.4 tell 192.168.0.67
08:15:50.095170 arp who-has 192.168.0.5 tell 192.168.0.67
08:15:50.098236 arp who-has 192.168.0.6 tell 192.168.0.67
...

 

Tout le réseau y passe, 192.168.0.1 => 192.168.0.253 (sauf la passerelle routeur netgear) à interval régulier.
Le problème c'est que cette adresse "192.168.0.67", je ne l'utilise pas et celle-ci ne répond pas au ping ni aux commandes arp ou netdiscover !

 

J'ai fini pas isoler la machine que je suppose être à l'origine du problème (machine fournissant un service web public et webmin filtré accessible de l'internet.

 

Je n'ai pas de machine virtuelle d'installées sur le réseau.
Je n'ai pas vu d'autre trafic autre que ces requetes ARP mais comment être sur des machines linux du resau maintenant ?

 

Comment voir d'où vient cette adresse sur cette machine, ifconfig ne me retournant que son IP officiel ?
Avez vous d'autre outils en tête me permettant de fouiller d'avantage ?

 

merci d'avance pour toute aide.

  


Message édité par domos le 10-03-2011 à 09:14:46
Reply

Marsh Posté le 10-03-2011 à 09:12:46   

Reply

Marsh Posté le 10-03-2011 à 09:14:38    

fais tourner un sniffer dessus ? Tu seras sûr de la machine quand tu auras vérifié la mac address source des requêtes ARP


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 10-03-2011 à 09:23:09    

dreamer18 a écrit :

Tu seras sûr de la machine quand tu auras vérifié la mac address source des requêtes ARP


+1
récupère l'adresse MAC de l'émetteur (normalement tcpdump ou wireshark te le permettra) puis vérifie le constructeur par exemple là : http://www.coffer.com/mac_find/. Si le process effectuant ces requêtes ne spoofe pas l'adresse MAC ça te donnera quelques info.
 
Je vois généralement ce comportement avec AP wifi ou des petits routeurs à la con.

Reply

Marsh Posté le 10-03-2011 à 15:24:53    

merci pour votre réponse,
 
malheureusement, je n'ai pas réussi à capturer l'@MAC:
 
il ne répond pas au "ARP Request":

15:11:14.414191 ARP, Request who-has 192.168.0.67 tell vesta, length 46
15:11:15.413065 ARP, Request who-has 192.168.0.67 tell vesta, length 46
15:11:16.433926 ARP, Request who-has 192.168.0.67 tell vesta, length 46
15:11:17.429828 ARP, Request who-has 192.168.0.67 tell vesta, length 46
15:11:18.428713 ARP, Request who-has 192.168.0.67 tell vesta, length 46
15:11:18.447211 ARP, Request who-has 192.168.0.1 (Broadcast) tell 192.168.0.67, length 46
15:11:18.448318 ARP, Request who-has 192.168.0.2 (Broadcast) tell 192.168.0.67, length 46
15:11:18.449430 ARP, Request who-has 192.168.0.3 (Broadcast) tell 192.168.0.67, length 46


 
 

15:20:35.517063 ARP, Request who-has 192.168.0.28 (Broadcast) tell 192.168.0.67, length 46
15:20:35.518181 ARP, Request who-has 192.168.0.29 (Broadcast) tell 192.168.0.67, length 46
15:20:35.519270 ARP, Request who-has 192.168.0.30 (Broadcast) tell 192.168.0.67, length 46
15:20:35.519815 IP alix.54935 > ns3.wanadoo.fr.domain: 54651+ PTR? 30.0.168.192.in-addr.arpa. (43)
15:20:35.520361 ARP, Request who-has 192.168.0.31 (Broadcast) tell 192.168.0.67, length 46
15:20:35.521474 ARP, Request who-has 192.168.0.32 (Broadcast) tell 192.168.0.67, length 46
15:20:35.522589 ARP, Request who-has 192.168.0.33 (Broadcast) tell 192.168.0.67, length 46
15:20:35.523676 ARP, Request who-has 192.168.0.34 (Broadcast) tell 192.168.0.67, length 46
15:20:35.524752 ARP, Request who-has 192.168.0.35 (Broadcast) tell 192.168.0.67, length 46
15:20:35.525851 ARP, Request who-has 192.168.0.36 (Broadcast) tell 192.168.0.67, length 46
15:20:35.526945 ARP, Request who-has 192.168.0.37 (Broadcast) tell 192.168.0.67, length 46
15:20:35.528033 ARP, Request who-has 192.168.0.38 (Broadcast) tell 192.168.0.67, length 46
15:20:35.529119 ARP, Request who-has 192.168.0.39 (Broadcast) tell 192.168.0.67, length 46
15:20:35.530209 ARP, Request who-has 192.168.0.40 (Broadcast) tell 192.168.0.67, length 46
15:20:35.531296 ARP, Request who-has 192.168.0.41 (Broadcast) tell 192.168.0.67, length 46
15:20:35.532409 ARP, Request who-has 192.168.0.42 (Broadcast) tell 192.168.0.67, length 46
15:20:35.533522 ARP, Request who-has 192.168.0.43 (Broadcast) tell 192.168.0.67, length 46
15:20:35.534633 ARP, Request who-has 192.168.0.44 (Broadcast) tell 192.168.0.67, length 46
15:20:35.535743 ARP, Request who-has 192.168.0.45 (Broadcast) tell 192.168.0.67, length 46
15:20:35.536848 ARP, Request who-has 192.168.0.46 (Broadcast) tell 192.168.0.67, length 46
15:20:35.537961 ARP, Request who-has 192.168.0.47 (Broadcast) tell 192.168.0.67, length 46
15:20:35.539071 ARP, Request who-has 192.168.0.48 (Broadcast) tell 192.168.0.67, length 46
15:20:35.540169 ARP, Request who-has 192.168.0.49 (Broadcast) tell 192.168.0.67, length 46
15:20:35.541283 ARP, Request who-has 192.168.0.50 (Broadcast) tell 192.168.0.67, length 46
15:20:35.542394 ARP, Request who-has 192.168.0.51 (Broadcast) tell 192.168.0.67, length 46
15:20:35.543484 ARP, Request who-has 192.168.0.52 (Broadcast) tell 192.168.0.67, length 46
15:20:35.544602 ARP, Request who-has 192.168.0.53 (Broadcast) tell 192.168.0.67, length 46
15:20:35.545714 ARP, Request who-has 192.168.0.54 (Broadcast) tell 192.168.0.67, length 46
15:20:35.546824 ARP, Request who-has 192.168.0.55 (Broadcast) tell 192.168.0.67, length 46
15:20:35.547915 ARP, Request who-has 192.168.0.56 (Broadcast) tell 192.168.0.67, length 46
15:20:35.549032 ARP, Request who-has 192.168.0.57 (Broadcast) tell 192.168.0.67, length 46
15:20:35.550145 ARP, Request who-has 192.168.0.58 (Broadcast) tell 192.168.0.67, length 46
15:20:35.551259 ARP, Request who-has 192.168.0.59 (Broadcast) tell 192.168.0.67, length 46
15:20:35.554584 ARP, Request who-has 192.168.0.62 (Broadcast) tell 192.168.0.67, length 46
15:20:35.555151 IP alix.37276 > ns3.wanadoo.fr.domain: 4807+ PTR? 31.0.168.192.in-addr.arpa. (43)
15:20:35.589773 ARP, Request who-has 192.168.0.94 (Broadcast) tell 192.168.0.67, length 46
15:20:35.625367 IP alix.47942 > ns3.wanadoo.fr.domain: 59314+ PTR? 33.0.168.192.in-addr.arpa. (43)
15:20:35.660348 IP alix.35120 > ns3.wanadoo.fr.domain: 4563+ PTR? 34.0.168.192.in-addr.arpa. (43)
15:20:35.694794 ARP, Request who-has 192.168.0.190 (Broadcast) tell 192.168.0.67, length 46
15:20:35.730615 IP alix.53916 > ns3.wanadoo.fr.domain: 23186+ PTR? 36.0.168.192.in-addr.arpa. (43)
15:20:35.765619 IP alix.48772 > ns3.wanadoo.fr.domain: 47407+ PTR? 37.0.168.192.in-addr.arpa. (43)
15:20:35.799816 IP alix.37344 > ns3.wanadoo.fr.domain: 44848+ PTR? 38.0.168.192.in-addr.arpa. (43)
15:20:35.834302 IP alix.59139 > ns3.wanadoo.fr.domain: 23738+ PTR? 39.0.168.192.in-addr.arpa. (43)
15:20:35.869036 IP alix.52969 > ns3.wanadoo.fr.domain: 46379+ PTR? 40.0.168.192.in-addr.arpa. (43)
15:20:35.903451 IP alix.57954 > ns3.wanadoo.fr.domain: 35879+ PTR? 41.0.168.192.in-addr.arpa. (43)
15:20:35.938230 IP alix.41114 > ns3.wanadoo.fr.domain: 12427+ PTR? 42.0.168.192.in-addr.arpa. (43)
15:20:35.972207 IP alix.56278 > ns3.wanadoo.fr.domain: 36209+ PTR? 43.0.168.192.in-addr.arpa. (43)
15:20:36.007198 IP alix.53848 > ns3.wanadoo.fr.domain: 23201+ PTR? 44.0.168.192.in-addr.arpa. (43)
15:20:36.041225 IP alix.47000 > ns3.wanadoo.fr.domain: 3638+ PTR? 45.0.168.192.in-addr.arpa. (43)
15:20:36.075684 IP alix.36509 > ns3.wanadoo.fr.domain: 15945+ PTR? 46.0.168.192.in-addr.arpa. (43)
15:20:36.109900 IP alix.46808 > ns3.wanadoo.fr.domain: 15330+ PTR? 47.0.168.192.in-addr.arpa. (43)
15:20:36.144800 IP alix.38978 > ns3.wanadoo.fr.domain: 22498+ PTR? 48.0.168.192.in-addr.arpa. (43)
15:20:36.179779 IP alix.43993 > ns3.wanadoo.fr.domain: 19308+ PTR? 49.0.168.192.in-addr.arpa. (43)
15:20:36.214541 IP alix.37645 > ns3.wanadoo.fr.domain: 2526+ PTR? 50.0.168.192.in-addr.arpa. (43)
15:20:36.249045 IP alix.33685 > ns3.wanadoo.fr.domain: 36822+ PTR? 51.0.168.192.in-addr.arpa. (43)
15:20:36.283492 IP alix.33855 > ns3.wanadoo.fr.domain: 41277+ PTR? 52.0.168.192.in-addr.arpa. (43)
15:20:36.317780 IP alix.48381 > ns3.wanadoo.fr.domain: 42794+ PTR? 53.0.168.192.in-addr.arpa. (43)
15:20:36.352257 IP alix.57104 > ns3.wanadoo.fr.domain: 22678+ PTR? 54.0.168.192.in-addr.arpa. (43)
15:20:36.386506 IP alix.38611 > ns3.wanadoo.fr.domain: 53351+ PTR? 55.0.168.192.in-addr.arpa. (43)
15:20:36.421269 IP alix.59103 > ns3.wanadoo.fr.domain: 7617+ PTR? 56.0.168.192.in-addr.arpa. (43)
15:20:36.455741 IP alix.42218 > ns3.wanadoo.fr.domain: 2953+ PTR? 57.0.168.192.in-addr.arpa. (43)
15:20:36.490634 IP alix.50562 > ns3.wanadoo.fr.domain: 8145+ PTR? 58.0.168.192.in-addr.arpa. (43)
15:20:36.525215 IP alix.60819 > ns3.wanadoo.fr.domain: 27144+ PTR? 59.0.168.192.in-addr.arpa. (43)
15:20:36.559933 IP alix.44538 > ns3.wanadoo.fr.domain: 22215+ PTR? 62.0.168.192.in-addr.arpa. (43)
15:20:36.594453 IP alix.33164 > ns3.wanadoo.fr.domain: 6381+ PTR? 94.0.168.192.in-addr.arpa. (43)

Reply

Marsh Posté le 10-03-2011 à 17:03:14    

il faut que tu captures une requête ARP et que sur la trame ethernet qui contient le paquet ARP tu identifies la mac source.
 
Ensuite si tu as des switchs administrables que tu regardes sur quel port cette mac address est apprise.


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 10-03-2011 à 18:36:12    

dreamer18 a écrit :

il faut que tu captures une requête ARP et que sur la trame ethernet qui contient le paquet ARP tu identifies la mac source.
 
Ensuite si tu as des switchs administrables que tu regardes sur quel port cette mac address est apprise.


 
J'ai utilisé wireshark et cela commence à se préciser.
 
j'ai une @MAC de mon réseau:

992 1007.358850 PcEngine_0d:36:7c Broadcast ARP Who has 192.168.0.239?  Tell 192.168.0.67
Ethernet II, Src: PcEngine_0d:36:7c (00:0d:b9:0d:36:7c), Dst: Broadcast (ff:ff:ff:ff:ff:ff)


 
Et j'ai ce message apparu aprés avoir remis une machine sur le réseau::


Duplicate IP address detected for 192.168.0.67 (20:cf:30:e6:1c:2c) - also in use by 00:0d:b9:0d:36:7c (frame 464)


 
Je connais ces 2 adr. MAC c'est 2 machines différentes qui sont configurées en 192.168.04 et 192.168.0.5.
Je comprends pourquoi j'avais du mal à localiser la machine responsable.
C'est une infection ?
 
J'ai aussi ce message étrange (pour moi):

845 1007.157033 PcEngine_0d:36:7c Broadcast ARP Gratuitous ARP for 192.168.0.67 (Request)


 
 

Reply

Marsh Posté le 10-03-2011 à 18:42:50    

oui, ça ressemble à un virus qui tente de se propager à ses voisins ou quelque chose du genre.


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 11-03-2011 à 13:13:25    

dreamer18 a écrit :

oui, ça ressemble à un virus qui tente de se propager à ses voisins ou quelque chose du genre.

 

Aurais tu une piste pour rechercher sur les serveurs, le programme en cause ?
Au niveau du noyau linux, il doit y avoir une trace de la config. du réseau "parasite" ?

 

Sinon, je pensais déjà changer ma plage réseau pour voir si les requetes resteraient sur la même sous réseau.
Cela pourrai protéger d'autre machines non contaminées.

 

merci encore pour ton aide.

 


Message édité par domos le 11-03-2011 à 13:14:17
Reply

Marsh Posté le 11-03-2011 à 13:22:30    

regarde les process via un ps aux et éventuellement un netstat -laptnu pour voir les process en écoute "réseau" (en root)

Message cité 1 fois
Message édité par o'gure le 11-03-2011 à 13:22:40
Reply

Marsh Posté le 12-03-2011 à 00:40:51    

o'gure a écrit :

regarde les process via un ps aux et éventuellement un netstat -laptnu pour voir les process en écoute "réseau" (en root)


 
Oui, j'ai reagardé les process et les connexions réseau mais je ne vois rien de suspect.
 
J'ai changé de sous réseau autre que le 192.168.0.0 et le scan se fait toujours avec l'adresse 192.168.0.67 !
Le problème, c'est que le scan n'est pas continu. i peut y avoir plusieurs avant de réaparaitre.
Difficile de voir une connexion ou un process, le scan est cours.
Il faudrait un script qui log la liste des process et les connexions réseau dès que cela apparait.

Reply

Marsh Posté le 12-03-2011 à 00:40:51   

Reply

Marsh Posté le 12-03-2011 à 09:30:08    


 
J'ai trouvé le coupable de ce scan ARP.
 
En fait c'est le programme netdiscover que j'utilise dans un script. Celui-ci permet justement de scanner le réseau pour trouver les machines connectées.
Il semble qu'il utilise une @IP du reseau en ".67" lors du scan.
 
Je suis sous Debian/Squeeze, j'ai vérifié avec debsum que les binaires du package netdiscover n'étaient pas comrompus.
Je l'ai réinstallé à partir des sources sur une autre machine et il fonctionne de la même façon.
 
J'ai trouvé un article qui parle de netdiscover avec copie d'écran: http://picasaweb.google.com/Archan [...] 6575040946
 
Cela semble être un comportement normale donc mais j'aurais aimé trouver une doc. officiel de netdiscover expliquant l'utilisation de cette IP non utilisée pour le scan.
 
merci pour votre aide
 
 

Reply

Marsh Posté le 14-03-2011 à 13:47:42    

Faut lire le man et le code source :D

Citation :

-n node
Last ip octet of the source ip used for scanning. You can change it
if the default host is already used. (allowed range: 2 to 253, default 66)


 
Sauf que c'est un peu faux, parce qu'en regardant le code source (main.c) :

Code :
  1. int main(int argc, char **argv)
  2. {
  3.     int c;
  4.     int esniff = 0;
  5.     int erange = 0;
  6.     struct t_data datos;
  7.     
  8.     datos.sip = NULL;
  9.     datos.disp = NULL;
  10.     datos.autos = 0;
  11.     sleept = 99;
  12.     node = 67;
  13.     pcount = 1;


---------------
Ce n'est point ma façon de penser qui a fait mon malheur, c'est celle des autres.
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed