Je rencontre un serieux probleme de sécurité sur notre réseau...
 
Dans mon journal IP je vois des trames provenant de l'adresse IP 1.2.3.4 !!
 
Jusque la rien de bien surprenant seulement voila: l'interface concernée est l'interface INTERNE du firewall !
(c'est à dire la carte réseau branchée sur notre LAN)
 

 
 
Et ensuite, je vois notre PDC tenter de répondre au 1.2.3.4 ... donc tenté de passer par la passerelle vu que cette adresse n'est pas sur notre réseau...
 
D'ou cela peut venir
 
j'ai tenter de configurer ma machine en 1.2.3.5 avec un masque de 255.255.255.0 pour voir si je le voyais ... rien à faire.
 

c'est pas une reponse mais lui aussi a un probleme de client de domaine bizarre :
 
http://forum.hardware.fr/forum2.ph [...] h=&subcat=

heu juste comme ca (c'petre une connerie) mais l'ip 1.2.3.4 elle  n'exsite pas ... ou du moin elle n'est pas routable ... nan?
 
 
SHADOW
 
 

 
C'est pas vrai !!
 
J'ai meme répondu à son topic en + !! c'est magique internet hein ?
 

essayez de rendre service...  
 
amuse toi bien

T'as bcp de machines sur le LAN ?
Une n'aurait pas pu être rajoutée/modifiée ?

 
bah faut pas le prendre comme ca
J'ai répondu à son topic juste avant toi ... donc a priori j'etais au courant ... c'est tout.
 

Grood' : j'en ai 200 environ ... oui ca pourrait etre ca mais je vois pas trop ....

 
       
 
dis donc pims sa serait pas toi qui est chez moi en ce moment et moi je te renvoi 1.2.3.4    
 
c'est pas rigolo    

Disposes tu de switchs administrables ? de l'adresse MAC de la machine en question ?

autre chose:
 
lorsque je ping le 1.2.3.4 depuis mon poste:
 

 
C'est quoi ce binz

 
non ! Je ne suis meme pas sur que celle-ci soit RELLEMENT EN INTERNE
 

 
Oui mais sans l'adresse MAC

 
Euh, tu veux dire que ton firewall laisserait rentrer des requêtes vers ton PDC !?!

 
Ben j'espere pas
 
Mais on sais jamais hein
 
Mon doute vient du ping
 
 
Seulement le blocage du firewall indique bien l'adresse 1.2.3.4 bloque sur l'interface interne ...

....

 
 
 
 
 
 
SHADOW
 
 

 
Ben déja 194.51.174.25 c' est Transpac (Réseaux FT) : http://www.ripe.net/perl/whois?for [...] ced+search

 
zarb...
 
mais :  ton ip 194.51.174.25 vient bien du net !
 

 
C'est normal, 194.51.174.25 est en fait ton routeur par défaut donc tout ce que tes machines connaissent pas, est renvoyé vers celui-ci.
 
En fait, c'est juste un de tes user du réseau qui a changé son @IP en mettant 1.2.3.4, c tout.

pinguer toutes les adresses de ton réseau peut te permettre de voir celle qui ne répond plus...si tous les postes sont connectés  
 
edit : tu as deja essaye de pinger 1.2.3.4 depuis 1.2.3.5...autant pour moi

 
Oui, c'est ca, le 194.51.174.25 est bien un routeur par lequel on passe tout le temps !
 
Ce n'est pas notre routeur en interne mais le 5ème bond ...
 
Ok, si c'est une machine qui est en 1.2.3.4 comment ce fait il que je n'arrive pas à la pinger en mettant mon poste en 1.2.3.5 (255.255.255.0)

Si tu n'a pas le même masque de sous réseaux que lui, tu ne pourras pas avoir son @MAC donc le ping ne marche pas.

D'ailleurs, si le mec a foutu 1.2.3.4, c'est qu'il devait pas être très fufute, donc, il a du mettre un masque de sous réseau farfelue (genre 1.2.3.4 aussi)

pour info y'a des virus qui s'amusent a changer l'@ ip d'une machine le temps de lancer un scan puis remettent l'ip d'origine ...
 
creuse ds ce sens ...
 
 
ping -t 1.2.3.4  
 
depuis une machine que tu re-adresse en 1.2.3.x ... des que ca reponds :  
 
arp -a  
 
& tu recup l'@ mac de ta machine infectée ...
 
 
Amuses-toi bien
 
PS : je suis pas sur que c'est bien ca mais ca coute rien d'essayer ;à

 
Oui, ca depend aussi du sien de masque en effet .....
 
C'est quand meme bizarre ca ...

 
sur de ca    
 
suffit de mettre un mask assez grand, de toute facon sur le lan, a priori y'a pas de routage sauf vlan
 
au pire, tu te mets sur un hub , avec sniffer pro, tu vas bien les voir passer les trames niv 2 ... un bon filtre et zou.

 
Ca marche pas comme ca
C'est pas en agrandissant le masque que ca va marcher.
Les paquets de broadcasts sont différend si tu mets un ff.ff.ff.0 ou un ff.ff.0.0

euh ok pour le broadcast je sais comment ca marche merci ... mais je vois pas le rapport
 
pims parle po de broadcast mais de trames avec ip source 1.2.3.4
 
pour faire un ping ( afin de voir son @ mac ) tu n'utilises pas le broadcast que je sache
 
m'enfin je peux me tromper  

 
Ben si, tu lances un braodcast sur le reseau pour savoir qu'elle est son @MAC ....

ben oui mais non
 
tu as essayé ce que je t'ai dit ?
 

 
oui j'ai deja essayé...

 
Sauf que si ca répond jamais, ben c'est retour case départ.
Si à la base, tu connais pas l'@ MAC, c mort, tu trouveras pas l'IP.
Si tu connais l'IP mais pas le PC c'est pareil.
A moins d'un coup de bol dans le choix du masque, tu ne pourras jamais faire communiquer 2 machines avec des masques différents
 
Et je répette que c'est pas en agrandissant le masque de sous-réseau que tu vas "ratisser" + large dans tes plage d'adresses.
Cf broadcast

1.2.3.4 serai une class A donc avec un mask de sous reseau en 255.0.0.0 si il a pri le mask de sous reseua ke windows a u lui proposé

 
j'avais bien compris merci  
 
mais j'avais aussi espoir que ca repondes a un moment ou un autre ... ( au changement d'ip, meme si il dure une fraction de secondes, avec le -t y' "aurait" moyen d'avoir une reponse ).
 
Sinon tu mets un sniffer, tu vas bien la trouver la machine, si tu recois les packets ip, doit bien y avoir une trame niv2 associé donc une @mac kkpart Sinon je vois po l'interet d'envoyer des packets si on peut po recevoir de reponse
 
Sinon je vais replonger dans mes bouquins

 
ethereal   fait sa trés bien, il est gratuit   en version Win ou linux, Mac, ect....
Son seul défaut, un peu compliqué. Mais trés efficace.
 
http://www.ethereal.com/download.html#binaries
 
 

ethereal, j'ai deja testé mais ca fonctionne sur mon poste mais pas sur le serveur il ne reconnait aucune carte réseau
 
Je voulais m'installer une petite distrib Linux pour faire ce genre de truc  
 
Genre TCPDUMP ...
 
Je suis en recherche
 
 
PS: d'ailleur sous ethereal ? comment creer un filtre qui me capture QUE les trames provenant de 1.2.3.4
 
C'est la galere à saisir ce soft...

 
voila une petite adresse pour une petite aide sur ehtereal
 
http://www.rezalfr.org/index.php?i=ethereal&d=0
 
sinon tu auras + d'aide sur tcpdump, voir moteur de recherche
 
sinon ben comme j'en ai marre de jamais trouvé d'aide sur ethereal et qu'on est jamais mieux servi que par soi même, ben c'est dans le tube (en developpement)    
Mais la faudra attendre un peu encore    
 
courage tu va la  cette IP de daube
 
   
 
 

Merci basca !
 
J'ai deja reussi à filtrer les trames (captures) selon une adresse IP
 
" host 1.2.3.4 " c'etait pas trop dur !!
 
Mais maintenant il faut que je me branche au bon endroit vu qu'on est commuté ... sinon je peux tjrs attendre .... seulement les demandes de 1.2.3.4 sont des broadcast donc je devrais les recevoir ou que je sois normalement !! je test
 
Sinon pourquoi il ne marche pas sur un serveur ?

 
Si à ma connaissance Ethereal peut être installé sur un server. Je crois que son seul prob avec des server concerne la compatibilité entre WinPcap et NT/2Kserv.
 
WinPcap est l'interface obligatoire entre ethereal et Win et il a du mal à interpreter le protocole ppp (sa reste à vérifier)
 
mais à mon avis pour pas polluer ton serve vaut mieux l'installer sur 1 poste.