Scan ARP suspect sur mon reseau - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 10-03-2011 à 09:14:38
fais tourner un sniffer dessus ? Tu seras sûr de la machine quand tu auras vérifié la mac address source des requêtes ARP
Marsh Posté le 10-03-2011 à 09:23:09
dreamer18 a écrit : Tu seras sûr de la machine quand tu auras vérifié la mac address source des requêtes ARP |
+1
récupère l'adresse MAC de l'émetteur (normalement tcpdump ou wireshark te le permettra) puis vérifie le constructeur par exemple là : http://www.coffer.com/mac_find/. Si le process effectuant ces requêtes ne spoofe pas l'adresse MAC ça te donnera quelques info.
Je vois généralement ce comportement avec AP wifi ou des petits routeurs à la con.
Marsh Posté le 10-03-2011 à 15:24:53
merci pour votre réponse,
malheureusement, je n'ai pas réussi à capturer l'@MAC:
il ne répond pas au "ARP Request":
15:11:14.414191 ARP, Request who-has 192.168.0.67 tell vesta, length 46 |
15:20:35.517063 ARP, Request who-has 192.168.0.28 (Broadcast) tell 192.168.0.67, length 46 |
Marsh Posté le 10-03-2011 à 17:03:14
il faut que tu captures une requête ARP et que sur la trame ethernet qui contient le paquet ARP tu identifies la mac source.
Ensuite si tu as des switchs administrables que tu regardes sur quel port cette mac address est apprise.
Marsh Posté le 10-03-2011 à 18:36:12
dreamer18 a écrit : il faut que tu captures une requête ARP et que sur la trame ethernet qui contient le paquet ARP tu identifies la mac source. |
J'ai utilisé wireshark et cela commence à se préciser.
j'ai une @MAC de mon réseau:
992 1007.358850 PcEngine_0d:36:7c Broadcast ARP Who has 192.168.0.239? Tell 192.168.0.67 |
Et j'ai ce message apparu aprés avoir remis une machine sur le réseau::
|
Je connais ces 2 adr. MAC c'est 2 machines différentes qui sont configurées en 192.168.04 et 192.168.0.5.
Je comprends pourquoi j'avais du mal à localiser la machine responsable.
C'est une infection ?
J'ai aussi ce message étrange (pour moi):
845 1007.157033 PcEngine_0d:36:7c Broadcast ARP Gratuitous ARP for 192.168.0.67 (Request) |
Marsh Posté le 10-03-2011 à 18:42:50
oui, ça ressemble à un virus qui tente de se propager à ses voisins ou quelque chose du genre.
Marsh Posté le 11-03-2011 à 13:13:25
dreamer18 a écrit : oui, ça ressemble à un virus qui tente de se propager à ses voisins ou quelque chose du genre. |
Aurais tu une piste pour rechercher sur les serveurs, le programme en cause ?
Au niveau du noyau linux, il doit y avoir une trace de la config. du réseau "parasite" ?
Sinon, je pensais déjà changer ma plage réseau pour voir si les requetes resteraient sur la même sous réseau.
Cela pourrai protéger d'autre machines non contaminées.
merci encore pour ton aide.
Marsh Posté le 11-03-2011 à 13:22:30
regarde les process via un ps aux et éventuellement un netstat -laptnu pour voir les process en écoute "réseau" (en root)
Marsh Posté le 12-03-2011 à 00:40:51
o'gure a écrit : regarde les process via un ps aux et éventuellement un netstat -laptnu pour voir les process en écoute "réseau" (en root) |
Oui, j'ai reagardé les process et les connexions réseau mais je ne vois rien de suspect.
J'ai changé de sous réseau autre que le 192.168.0.0 et le scan se fait toujours avec l'adresse 192.168.0.67 !
Le problème, c'est que le scan n'est pas continu. i peut y avoir plusieurs avant de réaparaitre.
Difficile de voir une connexion ou un process, le scan est cours.
Il faudrait un script qui log la liste des process et les connexions réseau dès que cela apparait.
Marsh Posté le 12-03-2011 à 09:30:08
J'ai trouvé le coupable de ce scan ARP.
En fait c'est le programme netdiscover que j'utilise dans un script. Celui-ci permet justement de scanner le réseau pour trouver les machines connectées.
Il semble qu'il utilise une @IP du reseau en ".67" lors du scan.
Je suis sous Debian/Squeeze, j'ai vérifié avec debsum que les binaires du package netdiscover n'étaient pas comrompus.
Je l'ai réinstallé à partir des sources sur une autre machine et il fonctionne de la même façon.
J'ai trouvé un article qui parle de netdiscover avec copie d'écran: http://picasaweb.google.com/Archan [...] 6575040946
Cela semble être un comportement normale donc mais j'aurais aimé trouver une doc. officiel de netdiscover expliquant l'utilisation de cette IP non utilisée pour le scan.
merci pour votre aide
Marsh Posté le 14-03-2011 à 13:47:42
Faut lire le man et le code source
Citation : -n node |
Sauf que c'est un peu faux, parce qu'en regardant le code source (main.c) :
Code :
|
Marsh Posté le 10-03-2011 à 09:12:46
Bonjour,
En testant tcpdump sur une machine de mon réseau, j'ai relevé un scan ARP étrange sur toute la plage IP de mon réseau local.
Je suis configuré en 192.168.0.0/24 et j'obtiens ceci avec tcpdump:
08:15:49.872395 arp who-has 192.168.0.1 tell 192.168.0.67
08:15:50.091724 arp who-has 192.168.0.2 tell 192.168.0.67
08:15:50.093236 arp who-has 192.168.0.3 tell 192.168.0.67
08:15:50.094008 arp who-has 192.168.0.4 tell 192.168.0.67
08:15:50.095170 arp who-has 192.168.0.5 tell 192.168.0.67
08:15:50.098236 arp who-has 192.168.0.6 tell 192.168.0.67
...
Tout le réseau y passe, 192.168.0.1 => 192.168.0.253 (sauf la passerelle routeur netgear) à interval régulier.
Le problème c'est que cette adresse "192.168.0.67", je ne l'utilise pas et celle-ci ne répond pas au ping ni aux commandes arp ou netdiscover !
J'ai fini pas isoler la machine que je suppose être à l'origine du problème (machine fournissant un service web public et webmin filtré accessible de l'internet.
Je n'ai pas de machine virtuelle d'installées sur le réseau.
Je n'ai pas vu d'autre trafic autre que ces requetes ARP mais comment être sur des machines linux du resau maintenant ?
Comment voir d'où vient cette adresse sur cette machine, ifconfig ne me retournant que son IP officiel ?
Avez vous d'autre outils en tête me permettant de fouiller d'avantage ?
merci d'avance pour toute aide.
Message édité par domos le 10-03-2011 à 09:14:46