Réception de paquets non destinés

Réception de paquets non destinés - Réseaux - Systèmes & Réseaux Pro

Marsh Posté le 05-08-2007 à 20:08:53    

Salut à tous,  
 
J'ai actuellement des évènements qui m'interloquent quelque peu :
 
En épluchant quelques captures d'analyse Wireshark, j'ai remarqué que la machine sur laquelle j'effectuais les scans recevait des paquets qui ne le lui étaient pas destinés, et ce sur un réseau uniquement composé de switchs.
 
- Le backbone du réseau local est composé de 3 switchs gigabit
- un routeur est en place pour les accès au net (gateway)
 
Mettons que le routeur reçoit des paquets à transmettre à la machine 1 (IP 10.0.0.1), est-t-il normal de capturer ces paquets sur la machine 2 (10.0.0.2) alors que les entêtes source & destination correspondent bien à celles du routeur et de la machine 1 ?  :??:  
 
J'espère avoir quelques avis pour m'éclairer sur cette bizarrerie.
 
Merci d'avance.
 
 :jap:


Message édité par ANViL le 05-08-2007 à 20:09:14
Reply

Marsh Posté le 05-08-2007 à 20:08:53   

Reply

Marsh Posté le 05-08-2007 à 20:44:55    

ce ne serait pas des requêtes ARP que tu verrais ? ou des broadcast quelconques (au niveau Ethernet) ?


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 05-08-2007 à 23:34:39    

si tu as des vlan sur tes switch tu devrais voir du traffic de toutes les machines du meme vlan ...

Reply

Marsh Posté le 06-08-2007 à 11:20:59    

Merci pour les réponses :)
 
Alors :
 
- @dreamer18 : non ce ne sont pas des requêtes ARP (elles auraient été indiquées comme telles), ce sont des paquets HTTP
- @ gizmo31 : non, aucun vlan de branché sur les switchs (cela dit je ne comprends pas, quand bien même ce serait le cas, pourquoi je verrais le traffic de toutes les machines  :??:  les vlans ne travaillent-ils pas également en commutation ? )
 
Pour en revenir à mon problème initial, j'ai cherché une probable explication, mais ça va à l'encontre de la théorie que j'ai pu apprendre (recevoir des paquets dont le destinataire est une autre machine sur un réseau commuté, ça me dépasse  :ouch: )


Message édité par ANViL le 06-08-2007 à 16:40:27
Reply

Marsh Posté le 06-08-2007 à 11:24:51    

bof, peut etre que la table de commutation de ton switch déconne et envoie des paquets sur plusieurs ports.


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 06-08-2007 à 12:10:28    

Peut-être...mais là ça relève du niveau hardware, donc peu de chance d'y remédier :/
 
Ceci dit, ça voudrait dire que tous les switchs déconnent :
 
- un paquet à destination de la machine 1 arrive sur le réseau en provenance du net
 
Disons que le premier switch foire et le distribue non seulement à la machine 1 qui est branchée directement dessus, mais le forward également vers le switch n°2, qui le forward à son tour vers le switch n° 3, et ce paquet fini par arrivé sur la machine n, alors qu'il est correctement formaté  :heink:  
 
je pensais à un problème de redondance au niveau des MAC (sait-on jamais), mais après analyse, elles sont bien toutes uniques....
 
En tout cas c'est un sérieux problème de sécurité !

Reply

Marsh Posté le 06-08-2007 à 12:12:22    

au niveau des mac address des trames vues tu es sûrs que ce ne sont pas des broadcast ou du multicast ? Sinon c'est que c'est pas un switch, mais que c'est un hub :D c'est quoi comme switch ?


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 06-08-2007 à 16:40:01    

Non non ce ne sont clairement pas des broadcasts / multicast, ça se voit à aux infos des paquets scannés.
 
Les switchs sont des D-Link DGS-1016D, et à priori ne sont pas des hubs  :whistle: (même si tout ça me fait douter du mode de fonctionnement).

Reply

Marsh Posté le 06-08-2007 à 16:59:10    

c'est quel type de paquet que tu recois ? icmp ??? ( genre type3 code 3? )

Reply

Marsh Posté le 06-08-2007 à 18:58:23    

il a dit HTTP. Donc je pense que tes switchs sont pas terribles.


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 06-08-2007 à 18:58:23   

Reply

Marsh Posté le 07-08-2007 à 10:33:08    

Bonjour,  
 
Juste un petit rappel du fonctionnement de wireshark et des switchs.
 
Par défaut wireshark se me en mode promiscious, donc la carte réseau n'emet plus de mac@, le port du  
switch passe en mode hub et redirige tous les fluxs transitant en interne vers le PC.
 
Si on désactive ce mode de fonctionnement, seulements les paquets de multidifusion et cie sont redirigés vers le PC.
 
Mes 2 eurocents.
 
Cordialement,

Reply

Marsh Posté le 07-08-2007 à 11:20:29    

si c'était comme ça , ça serait une putain de faille de sécurité nan ?
comment un  simple poste peux agir sur le port d'un switch  en mettant son interface en promiscious ...
 
bon, je suis paumé avec vos affaire,s je vais me refaire un gros coup de RTFM !

Reply

Marsh Posté le 07-08-2007 à 11:32:20    

be-net-view a écrit :

Par défaut wireshark se me en mode promiscious, donc la carte réseau n'emet plus de mac@, le port du  
switch passe en mode hub et redirige tous les fluxs transitant en interne vers le PC.


 
[:mlc] Tu es sûr de ça ? Je n'ai jamais observé ce comportement...
 
Anvil, l'adresse MAC destination que tu as dans les paquets qui ne te sont pas destinés correspond à ton interface réseau ?
Tu as moyen de te connecter à l'interface du DGS-1016D pour vérifier la conf ?

Reply

Marsh Posté le 07-08-2007 à 11:35:28    

BMenez a écrit :


 
Tu es sûr de ça ? Je n'ai jamais observé ce comportement...
 


 
Oui absoluement, le meilleur test est d'activer ou non le mode promiscious dans wireshark.
Petit test : sous unix impossible de passer une carte en promiscious si on est pas root.
Sous windows l'install de wireshark demande si la pile winpcap doit tourner en administrateur local d'ailleurs.
 
Cordialement,


Message édité par be-net-view le 07-08-2007 à 11:37:02
Reply

Marsh Posté le 07-08-2007 à 13:36:38    

Le fait que la carte passe en promiscious n'a aucun effet sur le switch.


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 07-08-2007 à 13:38:19    

dreamer18 a écrit :

Le fait que la carte passe en promiscious n'a aucun effet sur le switch.


 
je me disais aussi ...
 
 

Reply

Marsh Posté le 07-08-2007 à 13:51:32    

pour qu'un switch passe en mode hub, il faut au contraire saturer la table CAM de mac address


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 07-08-2007 à 13:52:26    

dreamer18 a écrit :

Le fait que la carte passe en promiscious n'a aucun effet sur le switch.


 
 
Petite discution autour de la lib winpcap provoquant cet etat de fait :  
 
http://winpcap.cs.pu.edu.tw/piperm [...] 00398.html
 
Et sinon un petit article expliquant le processus de sniff.
Avec un petit morceau tres interessant sur la partie switché (en anglais désolé) : Sniffing switched Ethernet
 
http://ethernet.industrial-network [...] sp?id=1270
 
 
Donc ne pas oublier la phase d'apprentissage du switch ... et le flood de mac@ comme par exemple le fait le NLB de microsoft.
 
 
Cordialement,

Reply

Marsh Posté le 07-08-2007 à 14:27:25    

ça n'empêche pas qu'une modif sur une carte de PC n'influence pas le fonctionnement de la table de commutation d'un switch. Pour ça, il faudrait saturer la table de CAM de mac address bidons.


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 07-08-2007 à 14:39:37    

+1 pour dreamer18 ...(du moins, de mon experience ..)

Reply

Marsh Posté le 07-08-2007 à 14:53:25    

Wow, le topic vient de passer à la vitesse supérieure !
 
@be-net-view: tu as jeté un gros pavé dans la mare au sujet du mode promiscuous ;)
 
Effectivement ce mode est activé par défaut, mais après avoir lu le lien traitant du sniffing en ethernet commuté, le seul 'trick' qu'ils proposent pour passer outre la limitation sur les ports d'un switch est bien de saturer la table.
 
Sinon ça serait effectivement une énorme faille de sécurité et tout le bénéfice de l'ethernet commuté s'effondrerait.
 
Cela dit on en apprend tous les jours, merci d'avoir contribué à édifier mes connaissances sur Wincap :)
 
@BMenez : les switchs sont non manageables (sauf intervention hardware...) et concernant les MAC contenues dans les paquets non destinés que je reçois sont celles des machines de destination réelles. (d'où mon inquiétude  :heink: ).
 
Cela dit, après avoir effectués les scans sur plusieurs machines différentes, j'ai constaté que seulement qques-unes reçoivent des paquets qui ne leur sont pas destinés, pour les autres, rien à dire, ça ressemble bien à de l'ethernet commuté.
 
Je vais essayer de voir s'il n'y a pas moyen d'effectuer un hard reset....

Reply

Marsh Posté le 07-08-2007 à 15:02:49    

t'as regardé la table  des MAC lookup ? tu tombes sur quel équipementier ?

Reply

Marsh Posté le 07-08-2007 à 15:12:47    

Les chips gigabit sont intégrés aux CM, Wireshark donne comme équipementier Asustek (les CM étant des Asus).
 
Mais en quoi est-ce important ? :)

Reply

Marsh Posté le 08-08-2007 à 14:04:43    

d'où ma question ;)

Reply

Marsh Posté le 12-10-2007 à 18:10:39    

Et il se passe quoi si la machine qui sniff spoof son adresse mac avec celle du switch ? ;)

Reply

Marsh Posté le 12-10-2007 à 21:18:24    

un switch n'a pas d'adresse mac ... (je me comprends)
que d'aneries dites sur ce topic .... quand vous etes pas sur, ne postez pas pour faire des stats, ou pour repeter un truc que vous avez entendu du copain de l'oncle de votre soeur ....
Wireshark qui fait disparaitre les @MAC et transforme un switch en HUB .. mieux que gerard majax.
Si ton switch est administrable, vérifie l'état de la CAM quand tu constates le problème.
Ensuite, tu vois des paquets non voulu, tu vois tout le trafic, ou juste le premier paquet d'une connection (SYN) ??
Parce que si c'est ca, c'est normal, c'est qu'au moment du SYN, le switch n'a pas la correspondance MAC<->port, et donc flood le paquet pour etre sur que la machine concernée le recoit bien.
Une fois que cette derniere ACK, le switch apprend la MAC, et tout le monde est content.
Si tu vois toute la connection, alors oui, t'as un probleme ... et même gérard majax pourra pas t'aider ...


Message édité par trictrac le 12-10-2007 à 21:18:40
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed