Etrange scan...

Etrange scan... - Sécurité - Réseaux grand public / SoHo

Marsh Posté le 10-09-2007 à 16:44:57    

Bonjour à tous,
 
J'aimerai avoir votre avis sur quelque chose que je ne peux m'expliquer....
 
Suite à une importante baisse de mon débit internet, je me suis fais une petite crise de parano et j'ai scanné mon Lan voir si je n'avais rien d'étrange.
J'ai donc scanné le range 192.168.0.1 à 192.168.255.255
En dehors de mes deux machines de visible ( 192.168.0.10 et .20), je trouve également ma freebox (.254) et une série d'ip derrière dont je ne m'explique pas la présence.
 
192.168.4.1  
192.168.4.129
192.168.9.1
192.168.9.129
192.168.10.1
192.168.10.129
192.168.14.1
192.168.14.129
192.168.27.14
192.168.27.30
 
toutes ces IP ont un status Alive, que je ping sous dos, et le resolve me donne C/R (a l'image d'un routeur). en outre, le ping est bas entre 50 et 90.
 
Pour completer l'analyse, mon WIFI est désactivé, et le LAN est dans mon salon, ou se trouve la freebox !
 
Quelqu'un à t'il une idée ?
 
Merci merci !

Reply

Marsh Posté le 10-09-2007 à 16:44:57   

Reply

Marsh Posté le 10-09-2007 à 16:54:40    

t'as scanné avec nmap ?
 
si tu fais un wireshark en meme temps, tu vois bien les echo request ?
 
as tu regardé à qui appartenait les mac address qui te répondent ?
 
si tu refais le meme scan, obtient tu les memes ip ? ya t'il des services sur ces hotes( web, ftp, ssh, telnet ..)?

Reply

Marsh Posté le 10-09-2007 à 18:43:57    

gizmo31 a écrit :

t'as scanné avec nmap ?
 
si tu fais un wireshark en meme temps, tu vois bien les echo request ?
 
as tu regardé à qui appartenait les mac address qui te répondent ?
 
si tu refais le meme scan, obtient tu les memes ip ? ya t'il des services sur ces hotes( web, ftp, ssh, telnet ..)?


 
J'ai scanné avec Advanced IP scanner 1.5
La premiere fois que j'ai scanné j'obtenais la même adresse mac pour toutes les IP trouvées. Lors des scans suivant aucunes adress mac
En refaisant le scan j'obtiens les memes ip
Il n'ai pas trouvé des services HTTP FTP Telnet sur ces ip.
 
Pourraient elles être générées par la freebox ? pour des service internes ?

Reply

Marsh Posté le 10-09-2007 à 22:31:03    

et cette mac, tu peux nous la filer ? elle correspond à quoi au niveau des mac si tu fait un mac lookup sur le net  ( et regarde sur ton pc avec la commande arp)
 
essaie avec NMAP qui est la référence pour le scan réseaux ...

Reply

Marsh Posté le 10-09-2007 à 23:33:12    

curieux ton histoire...
de toute facon toutes les ips que tu citent ne sont pas dans le même réseau que toi...
tu es en 192.168.0.*/24 et pas les autres, ces ip ne peuvent pas communiquer avec tes postes...
 
N'aurait tu pas de machine virtuelles d'installées?
 
fait nous un ipconfig /all et un arp -a

Message cité 1 fois
Message édité par bartounet16 le 10-09-2007 à 23:34:25

---------------
go go go
Reply

Marsh Posté le 11-09-2007 à 00:27:11    

bartounet16 a écrit :

curieux ton histoire...
de toute facon toutes les ips que tu citent ne sont pas dans le même réseau que toi...
tu es en 192.168.0.*/24 et pas les autres, ces ip ne peuvent pas communiquer avec tes postes...
N'aurait tu pas de machine virtuelles d'installées?
fait nous un ipconfig /all et un arp -a


Ne connaissant pas les commandes que vous voulez avec arp et de nmap, voila ce que j'ai sortis (pas forcement util me direz vous...)
 
IPCONFIG -all
Configuration IP de Windows
        Nom de l'hôte . . . . . . . . . . : PC1
        Suffixe DNS principal . . . . . . :  
        Type de nœud . . . . . . . . . . : Inconnu
        Routage IP activé . . . . . . . . : Non
        Proxy WINS activé . . . . . . . . : Non
Carte Ethernet Connexion au réseau local:
        Suffixe DNS propre à la connexion :  
        Description . . . . . . . . . . . : Carte réseau Fast Ethernet PCI Realtek RTL8139 Family
        Adresse physique . . . . . . . . .: **-**-**-**-**-**
        DHCP activé. . . . . . . . . . . : Non
        Adresse IP. . . . . . . . . . . . : 192.168.0.20
        Masque de sous-réseau . . . . . . : 255.255.255.0
        Passerelle par défaut . . . . . . : 192.168.0.254
        Serveurs DNS . . . . . . . . . .  : 212.27.54.252
                                        212.27.53.252
 
arp -a
Aucune entrée ARP trouvée
 
arp -g
Interfaceÿ: 192.168.0.20 --- 0x2
  Adresse Internet      Adresse physique      Type
  192.168.0.10          **-**-**-**-**-**     dynamique  
 
nmap 192.168.4.1 (une des IP suspecte)
Starting Nmap 4.20 ( http://insecure.org ) at 2007-09-11 00:14 Paris, Madrid
Initiating Parallel DNS resolution of 1 host. at 00:14
Completed Parallel DNS resolution of 1 host. at 00:14, 0.03s elapsed
Host 192.168.4.1 appears to be up.
Nmap finished: 1 IP address (1 host up) scanned in 0.344 seconds
               Raw packets sent: 2 (68B) | Rcvd: 1 (48B)
 
Nmap et arp me sont inconnus donc difficilement analysables. Autre chose, en laissant la freebox allumée, et en retirant la prise d'arrivée ADSL, je conserve bel et bien le routage et l'eventuel DHCP (non actif chez moi). A ce moment là, les scans ne montrent aucunes autre IP. En revanche, dès que je reconnecte ma ligne ADSL, instantanément je recupère cette liste d'ip étranges.  
Pour rappel, l'ip de ma machine principale est en IPfixe 192.168.0.20, ma secondaire en 192.168.0.10, et la freebox comme vous le savez en 192.168.0.254
 
Je suis à votre écoute pour les tests qui s'imposent, soyez aimables de m'indiquer la syntaxe à utiliser avec les cmd nécessaires.
 
Merci encore !
 
 
 

Reply

Marsh Posté le 11-09-2007 à 00:33:44    

Sachant que c'est une commande linux tu l'a fait comment ton nmap?
 
cela me parait  bizarre.....
 
fait nous un :
- tracert 192.168.4.1
- tracert 192.168.14.1
-ping 192.168.4.1
 

Reply

Marsh Posté le 11-09-2007 à 00:56:11    

bartounet16 a écrit :

Sachant que c'est une commande linux tu l'a fait comment ton nmap?
cela me parait  bizarre.....
fait nous un :
- tracert 192.168.4.1
- tracert 192.168.14.1
-ping 192.168.4.1


 
nmap existe sous DOS
 
Le tracert 192.168.4.1 donne :
Détermination de l'itinéraire vers 192.168.4.1 avec un maximum de 30 sauts.
  1    <1 ms    <1 ms    <1 ms  192.168.0.254  
  2    28 ms    28 ms    29 ms  xx.xxx.xxx.xxx  
  3    29 ms    29 ms    28 ms  nantes-6k-1-a5.routers.proxad.net [xxx.xxx.xx.xxx]  
  4     *        *        *     D‚lai d'attente de la demande d‚pass‚.
  5     *        *        *     D‚lai d'attente de la demande d‚pass‚.
  6     *        *        *     D‚lai d'attente de la demande d‚pass‚.
  7     *        *        *     D‚lai d'attente de la demande d‚pass‚.
  8     *        *        *     D‚lai d'attente de la demande d‚pass‚.
  9    49 ms    49 ms    48 ms  192.168.4.1  
Itinéraire déterminée
 
Le ping 192.168.4.1 donne :
Envoi d'une requête 'ping' sur 192.168.4.1 avec 32 octets de donn‚esÿ:
Réponse de 192.168.4.1 : octets=32 temps=48 ms TTL=247
Réponse de 192.168.4.1 : octets=32 temps=48 ms TTL=247
Réponse de 192.168.4.1 : octets=32 temps=48 ms TTL=247
Réponse de 192.168.4.1 : octets=32 temps=49 ms TTL=247
 
Statistiques Ping pour 192.168.4.1:
    Paquets : envoyés = 4, refus = 4, perdus = 0 (perte 0%),
Durée approximative des boucles en millisecondes :
    Minimum = 48ms, Maximum = 49ms, Moyenne = 48ms
 
Quelque chose d'autre ?


Message édité par lbn4 le 11-09-2007 à 00:57:09
Reply

Marsh Posté le 11-09-2007 à 09:23:20    

il me semble que j'ai le même soucis, cet activité fait monter UC à 100% et ensuite problème internet et autres joyeusetés


Message édité par lordmaneos le 11-09-2007 à 09:24:17
Reply

Marsh Posté le 11-09-2007 à 09:53:34    

t'as du wifi d'activé sur ta fbx ?
 
TTL=247  ça fait bien 9 sauts .. zarb !!
 

Reply

Marsh Posté le 11-09-2007 à 09:53:34   

Reply

Marsh Posté le 11-09-2007 à 10:21:26    

alors là j'ai du mal à piger...
 
il sort bien de son réseau local, puisque le tracert montre bien qu'il passe par les routeurs de nantes, mais c'est normalement des ip publiques et non privées que tu peux joindre comme ca....
 
Alors je te conseille de telecharger un logiciel comme languard et de scanner cette plage de port, 192.168.4.1
il devrait t'afficher des infos réseaux sur cet hote

Reply

Marsh Posté le 11-09-2007 à 10:26:08    

avec nmap , tu peux faire du finger printing ça te donnera l'OS si cela existe.
 
par contre, je croyais que les DSLAM de free avait mis l'antispoofing pour éviter de faire passer de la RFC1918 dans leur backbone ??

Reply

Marsh Posté le 11-09-2007 à 10:34:29    

tu arrive a expliquer qu'il puisse pinger une ip privée Guizmo?

Reply

Marsh Posté le 11-09-2007 à 10:36:57    

c'est étonnant .. mais interessant, je ferais le test chez moi ce soir avec ma fbx .. chez orange, tu peux y arriver , avec du TCP Traceroute, mais en udp/icmp ça marche pas.
 
et s'il fait un ping 192.168.11.11 par exemple ça marche aussi ? (truc de ouf)

Reply

Marsh Posté le 11-09-2007 à 10:50:33    

bah ui mais tu ping quoi en fait??? a quoi correspondent ces ip publiques?

Reply

Marsh Posté le 11-09-2007 à 10:54:06    

la plupart des équipements réseaux ont des ip RFC1918 dans les backbones, mais normalement, les DSLAM bloquent tout ça.. ptet un pb de conf de ce coté... étonnant en tout cas;)
 

Reply

Marsh Posté le 11-09-2007 à 14:18:32    

gizmo31 a écrit :

la plupart des équipements réseaux ont des ip RFC1918 dans les backbones, mais normalement, les DSLAM bloquent tout ça.. ptet un pb de conf de ce coté... étonnant en tout cas;)
 


 
Bien evidement seules les IP citées dans le debut de ce  post sont pingables.... 192.168.11.11 ne donne bien entendu rien du tout.
 
En surfant sur la toile, je suis tombé sur une analyse qui m'a interpellée... Les IP que je ping et qui apparaissent sur mon LAN comme des C/R, pourraient selon un user être des passerelles annexes de la freebox, correspondant respectivement aux passerelles dédiées usb1, usb2, wifi, ethernet1, ethernet2 etc... Info ou intox ...
 
Y'a til d'autres personnes succeptibles de scanner leur lan pour voir si je suis un cas unique ?
 
Par ailleurs, quelles opérations puis tester désormais ? Guismo, quelle est la cmd du finger printing ?
 
merci merci !

Reply

Marsh Posté le 11-09-2007 à 14:27:09    

ici :
http://insecure.org/nmap/osdetect/
 
moi j'ai pas accès de mon boulot à ce genre d'adresses.
 
mais de mémoire c'est -O je crois dans les paramètres

Reply

Marsh Posté le 11-09-2007 à 14:48:38    

Ce qui nous donne les éléments suivants :
 
Pour l'IP 192.168.4.1
 
Starting Nmap 4.20 ( http://insecure.org ) at 2007-09-11 14:30 Paris, Madrid
Insufficient responses for TCP sequencing (1), OS detection may be less accurate
Insufficient responses for TCP sequencing (0), OS detection may be less accurate
Interesting ports on 192.168.4.1:
Not shown: 1694 closed ports
PORT     STATE    SERVICE      VERSION
25/tcp   filtered smtp
1720/tcp open     H.323/Q.931?
5060/tcp open     sip?
Device type: router|WAP|switch
Running (JUST GUESSING) : Cisco IOS 12.X (88%)
Aggressive OS guesses: Cisco Catalyst 4506 switch running IOS 12.2 (88%), Cisco 820-series router running IOS 12.3 (87%), Cisco AIR-AP1232AG-E-K9 WAP (IOS 12.3(7)) (86%), Cisco Catalyst 3750 switch, IOS 12.2 (86%)
No exact OS matches for host (test conditions non-ideal).
Network Distance: 9 hops
OS and Service detection performed. Please report any incorrect results at http://insecure.org/nmap/submit/ .
Nmap finished: 1 IP address (1 host up) scanned in 177.875 seconds
 
 
Et sur l'ip suivante 192.168.4.129
 
Starting Nmap 4.20 ( http://insecure.org ) at 2007-09-11 14:42 Paris, Madrid
Interesting ports on 192.168.4.129:
Not shown: 1694 closed ports
PORT     STATE    SERVICE      VERSION
25/tcp   filtered smtp
1720/tcp open     H.323/Q.931?
5060/tcp open     tcpwrapped
No exact OS matches for host (If you know what OS is running on it, see http://insecure.org/nmap/submit/ ).
TCP/IP fingerprint:
OS:SCAN(V=4.20%D=9/11%OT=1720%CT=1%CU=33903%PV=Y%DS=9%G=Y%TM=46E68DEF%P=i68
OS:6-pc-windows-windows)SEQ(SP=F7%GCD=1%ISR=101%TI=Z%II=RI%TS=U)OPS(O1=%O2=
OS:%O3=%O4=%O5=%O6=)SEQ(SP=F9%GCD=1%ISR=101%TI=Z%TS=U)OPS(O1=M218%O2=M218%O
OS:3=M218%O4=M218%O5=M218%O6=M109)OPS(O1=%O2=%O3=%O4=%O5=%O6=)WIN(W1=1020%W
OS:2=1020%W3=1020%W4=1020%W5=1020%W6=1020)OPS(O1=%O2=%O3=%O4=%O5=%O6=)WIN(W
OS:1=1020%W2=1020%W3=1020%W4=1020%W5=1020%W6=1020)ECN(R=Y%DF=N%T=100%W=1020
OS:%O=%CC=N%Q=)WIN(W1=1020%W2=1020%W3=1020%W4=1020%W5=1020%W6=1020)ECN(R=Y%
OS:DF=N%T=100%W=1020%O=M218%CC=N%Q=)T1(R=Y%DF=N%T=100%S=O%A=O%F=A%RD=0%Q=)E
OS:CN(R=Y%DF=N%T=100%W=1020%O=%CC=N%Q=)T1(R=Y%DF=N%T=100%S=O%A=S+%F=AS%RD=0
OS:%Q=)T1(R=Y%DF=N%T=100%S=O%A=O%F=AS%RD=0%Q=)T1(R=Y%DF=N%T=100%S=O%A=O%F=A
OS:%RD=0%Q=)T2(R=N)T1(R=Y%DF=N%T=100%S=O%A=O%F=A%RD=0%Q=)T2(R=N)T3(R=N)T2(R
OS:=N)T3(R=N)T4(R=Y%DF=N%T=100%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T3(R=N)T4(R=Y%DF=
OS:N%T=100%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T5(R=Y%DF=N%T=100%W=0%S=A%A=S+%F=AR%O
OS:=%RD=0%Q=)T4(R=Y%DF=N%T=100%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T5(R=Y%DF=N%T=100
OS:%W=0%S=A%A=S+%F=AR%O=%RD=0%Q=)T6(R=Y%DF=N%T=100%W=0%S=A%A=Z%F=R%O=%RD=0%
OS:Q=)T5(R=Y%DF=N%T=100%W=0%S=A%A=S+%F=AR%O=%RD=0%Q=)T6(R=Y%DF=N%T=100%W=0%
OS:S=A%A=Z%F=R%O=%RD=0%Q=)T7(R=N)T6(R=Y%DF=N%T=100%W=0%S=A%A=Z%F=R%O=%RD=0%
OS:Q=)T7(R=N)U1(R=Y%DF=N%T=100%TOS=0%IPL=38%UN=0%RIPL=G%RID=G%RIPCK=G%RUCK=
OS:G%RUL=G%RUD=G)T7(R=N)U1(R=Y%DF=N%T=100%TOS=0%IPL=38%UN=0%RIPL=G%RID=G%RI
OS:PCK=G%RUCK=G%RUL=G%RUD=G)IE(R=Y%DFI=S%T=100%TOSI=Z%CD=S%SI=S%DLI=S)U1(R=
OS:Y%DF=N%T=100%TOS=0%IPL=38%UN=0%RIPL=G%RID=G%RIPCK=G%RUCK=G%RUL=G%RUD=G)I
OS:E(R=Y%DFI=S%T=100%TOSI=Z%CD=S%SI=S%DLI=S)IE(R=Y%DFI=S%T=100%TOSI=Z%CD=S%
OS:SI=S%DLI=S)
Network Distance: 9 hops
OS and Service detection performed. Please report any incorrect results at http://insecure.org/nmap/submit/ .
Nmap finished: 1 IP address (1 host up) scanned in 160.516 seconds
 
 
Et sur l'ip suivante 192.168.9.1
 
Starting Nmap 4.20 ( http://insecure.org ) at 2007-09-11 14:42 Paris, Madrid
Insufficient responses for TCP sequencing (0), OS detection may be less accurate
Interesting ports on 192.168.9.129:
Not shown: 1694 closed ports
PORT     STATE    SERVICE      VERSION
25/tcp   filtered smtp
1720/tcp open     H.323/Q.931?
5060/tcp open     tcpwrapped
Device type: router|WAP|switch
Running (JUST GUESSING) : Cisco IOS 12.X (88%)
Aggressive OS guesses: Cisco Catalyst 4506 switch running IOS 12.2 (88%), Cisco 820-series router running IOS 12.3 (86%), Cisco AIR-AP1232AG-E-K9 WAP (IOS 12.3(7)) (86%), Cisco Catalyst 3750 switch, IOS 12.2 (85%)
No exact OS matches for host (test conditions non-ideal).
Network Distance: 11 hops
OS and Service detection performed. Please report any incorrect results at http://insecure.org/nmap/submit/ .
Nmap finished: 1 IP address (1 host up) scanned in 149.031 seconds
 
 
Je te laisse me dire ce que tu pense de mes logs. Par ailleurs, que pense tu de cette histoire de passerelles dédiées ?
 
 
 
 

Reply

Marsh Posté le 11-09-2007 à 15:39:04    

la folie .. on dirait que t'arrive à choper des AP ou des passerelles/routeurs à travers le réseau !!!!

Reply

Marsh Posté le 11-09-2007 à 16:31:21    

gizmo31 a écrit :

la folie .. on dirait que t'arrive à choper des AP ou des passerelles/routeurs à travers le réseau !!!!


 
...et c'est grave docteur ?  
 
Quelqu'un d'autre a t'il une autre suggestion à apporter ?
 
Y a t"il quelques freenaute en fbx v5.0 pour scanner son LAN svp ?
 
Autrement, pensez vous que mon IP Fai puisse être était atribuée également a d'autres users qui apparaitraient dans mon lan ou c'est farfelu comme suposition ?


Message édité par lbn4 le 11-09-2007 à 19:08:42
Reply

Marsh Posté le 11-09-2007 à 21:05:44    

Alors gismo ? as tu fait le test chez toi avec ta fbx ?
 

Reply

Marsh Posté le 11-09-2007 à 21:13:17    

moi je suis en V4 derriere un linksys .. ça marche po :(

Reply

Marsh Posté le 12-09-2007 à 00:22:10    

On voit clairement sur tes scan que les ip orrespondent a du matos réseaux, switch et routeur cisco...
 
Par contre que tu puisse le pinger je ne l'explique pas...

Reply

Marsh Posté le 12-09-2007 à 02:27:19    

bartounet16 a écrit :

On voit clairement sur tes scan que les ip orrespondent a du matos réseaux, switch et routeur cisco...
 
Par contre que tu puisse le pinger je ne l'explique pas...


 
On le voit clairement....sauf que je n'ai que deux becanne reliées au ma freebox, et que j'ai même tracé la prise de téléphoniquejusqu'au bas d emon imeuble...Il n'y a aucun branchement dessus, en toute logique.
 
D'autres users de la freebox v5 devraient faire le test...je pense que tout le monde doit avoir la même chose.

Reply

Marsh Posté le 12-09-2007 à 08:26:53    

ça doit etre un pb spécifique à ton dslam je pense...

Reply

Marsh Posté le 12-09-2007 à 15:35:58    

Je pingue aussi 192.168.4.1 / FBX v5 routeur crj95.

 

Je me renseigne demain :o


Message édité par Manaloup le 12-09-2007 à 15:59:28
Reply

Marsh Posté le 12-09-2007 à 16:33:17    

truc de ouf ;)

Reply

Marsh Posté le 12-09-2007 à 22:14:37    

Après avoir chercher sur quelques sites, je n'étais pas plus avancé jusqu'a ce que je téléphone à un ami proche qui est admin réseau depuis de trrrèèèsss longues années.
 
Sa réponse fut imédiate :
 
"Il n'y a aucun risque de sécurité. Ces adresses IP multiples sont des passerelles destinées au différentes fonctions et services de la freebox.
On y trouve notament les protocoles SIP etc, des protocoles de voix par IP, interfacage USB.
 
En somme, on pourrait (je dis bien pourrait...) y trouver :
 
Ethernet 1
Ethernet 2
Usb 1
Usb 2
Freephonie
Telephone
Wifi Lan
Wifi dédié box TV
freeTV perso
etc...
 
Etant des passerelles, il est normal de les tracer. Je suppose qu eles passerelles bien que locales sont des passerelles vers mon IP fixe du FAI et non de la box directement.
 
Voila. Si mon ami ne se trompe pas et si j'ai bien relaté ses propos, je suppose qu'il n'y a plus rien a ajouter :)  
 
Si par cotnre cela vous semble incorrecte, faites le moi savoir !
 
Ps : je reste étonné qu'il n'y ai pas d'autres possesseurs de freebox v5 qui aient essayés de leur coté


Message édité par lbn4 le 12-09-2007 à 22:15:29
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed