J'utilise Arpwatch activement depuis plusieurs mois et je dois avouer que
là, il s'est passé quelque chose de surprenant depuis quelques semaines.
En fait, je reçois des mails d'Arpwatch m'indiquant de nouvelles
correspondances entre adresses MAC et adresses IP.
Le problème est que les adresses IP sont publiques et associées à des
providers comme Sympatico au canada ou encore Bellsouth. C'est là que je
me pose des questions. Le laptop sur lequel j'ai reçu les alertes et sur
lequel tourne Arpwatch est relié à la topologie suivante:
Internet <-> Routeur Cisco <-> proxy arp <-> portable
Toutes les machines du réseau sont en adressage publique. Dans tous les
cas, je ne devrais jamais avoir d'adresses MAC de machines au-delà du
Cisco puisque au niveau de la couche liaison de données, c'est l'adresse
MAC de la dernière machine traversée qui est enregistrée dans le champ
prévu à cet effet dans la trame MAC.
Voici un exemple de corps de mail envoyé par le daemon arpwatch:
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Michel Claveau
Bonsoir !
Je suis d'accord avec toi : une adresse MAC ne devrait JAMAIS être changée. Elle doit être unique (au monde), et attribuée une fois pour toutes.
Toutefois, j'ai entendu parler de (rares) cas, où l'adresse MAC d'une carte réseau avait "sauté" lors d'une restauration "hard" et complète de plusieurs machines. Mais cela reste exceptionnel.
Non, là, je ne vois pas plus que toi à quoi rime ce message.
@-salutations
Michel Claveau
Bonsoir !
Je suis d'accord avec toi : une adresse MAC ne devrait JAMAIS être changée.
Elle doit être unique (au monde), et attribuée une fois pour toutes.
Toutefois, j'ai entendu parler de (rares) cas, où l'adresse MAC d'une carte
réseau avait "sauté" lors d'une restauration "hard" et complète de plusieurs
machines. Mais cela reste exceptionnel.
Non, là, je ne vois pas plus que toi à quoi rime ce message.
Je suis d'accord avec toi : une adresse MAC ne devrait JAMAIS être changée. Elle doit être unique (au monde), et attribuée une fois pour toutes.
Toutefois, j'ai entendu parler de (rares) cas, où l'adresse MAC d'une carte réseau avait "sauté" lors d'une restauration "hard" et complète de plusieurs machines. Mais cela reste exceptionnel.
Non, là, je ne vois pas plus que toi à quoi rime ce message.
@-salutations
Michel Claveau
Guillaume Kaddouch
Voici un exemple de corps de mail envoyé par le daemon arpwatch:
hostname: adsl-78-212-240.bhm.bellsouth.net ip address: 216.78.212.240 ethernet address: 52:54:5:f4:78:d2
Peut être est ce une fausse alerte, mais dans le cas contraire je te conseil fortement de vérifier le poste "52:54:5:f4:78:d2" qui pourrait être un poste compromis attirant a lui le traffic d'autres postes afin de le logguer (sniffer) pour ensuite le rediriger aux postes cibles (man in the middle). Vérifies qu'il n'y ait pas de cheval de troie ou autres.
(ca ne serait pas 216.78.212.240 qui aurait changer d'adresse MAC, mais plutot 52:54:5:f4:78:d2 qui se serait approprié son IP).
Guillaume.
Voici un exemple de corps de mail envoyé par le daemon arpwatch:
hostname: adsl-78-212-240.bhm.bellsouth.net
ip address: 216.78.212.240
ethernet address: 52:54:5:f4:78:d2
Peut être est ce une fausse alerte, mais dans le cas contraire je te conseil
fortement de vérifier le poste "52:54:5:f4:78:d2" qui pourrait être un poste
compromis attirant a lui le traffic d'autres postes afin de le logguer
(sniffer) pour ensuite le rediriger aux postes cibles (man in the middle).
Vérifies qu'il n'y ait pas de cheval de troie ou autres.
(ca ne serait pas 216.78.212.240 qui aurait changer d'adresse MAC, mais
plutot 52:54:5:f4:78:d2 qui se serait approprié son IP).
Voici un exemple de corps de mail envoyé par le daemon arpwatch:
hostname: adsl-78-212-240.bhm.bellsouth.net ip address: 216.78.212.240 ethernet address: 52:54:5:f4:78:d2
Peut être est ce une fausse alerte, mais dans le cas contraire je te conseil fortement de vérifier le poste "52:54:5:f4:78:d2" qui pourrait être un poste compromis attirant a lui le traffic d'autres postes afin de le logguer (sniffer) pour ensuite le rediriger aux postes cibles (man in the middle). Vérifies qu'il n'y ait pas de cheval de troie ou autres.
(ca ne serait pas 216.78.212.240 qui aurait changer d'adresse MAC, mais plutot 52:54:5:f4:78:d2 qui se serait approprié son IP).
Guillaume.
Pierre LALET
Le problème est que les adresses IP sont publiques et associées à des providers comme Sympatico au canada ou encore Bellsouth. C'est là que je me pose des questions. Le laptop sur lequel j'ai reçu les alertes et sur lequel tourne Arpwatch est relié à la topologie suivante:
Internet <-> Routeur Cisco <-> proxy arp <-> portable
Toutes les machines du réseau sont en adressage publique. Dans tous les cas, je ne devrais jamais avoir d'adresses MAC de machines au-delà du Cisco puisque au niveau de la couche liaison de données, c'est l'adresse MAC de la dernière machine traversée qui est enregistrée dans le champ prévu à cet effet dans la trame MAC.
Voici un exemple de corps de mail envoyé par le daemon arpwatch:
Est-ce que, par hasard, l'adresse MAC correspond correspond à celle du proxy arp ?
pierre
-- Pierre LALET Elève ingénieur -- ENSEIRB
http://www.enseirb.fr/~lalet
Le problème est que les adresses IP sont publiques et associées à des
providers comme Sympatico au canada ou encore Bellsouth. C'est là que je
me pose des questions. Le laptop sur lequel j'ai reçu les alertes et sur
lequel tourne Arpwatch est relié à la topologie suivante:
Internet <-> Routeur Cisco <-> proxy arp <-> portable
Toutes les machines du réseau sont en adressage publique. Dans tous les
cas, je ne devrais jamais avoir d'adresses MAC de machines au-delà du
Cisco puisque au niveau de la couche liaison de données, c'est l'adresse
MAC de la dernière machine traversée qui est enregistrée dans le champ
prévu à cet effet dans la trame MAC.
Voici un exemple de corps de mail envoyé par le daemon arpwatch:
Le problème est que les adresses IP sont publiques et associées à des providers comme Sympatico au canada ou encore Bellsouth. C'est là que je me pose des questions. Le laptop sur lequel j'ai reçu les alertes et sur lequel tourne Arpwatch est relié à la topologie suivante:
Internet <-> Routeur Cisco <-> proxy arp <-> portable
Toutes les machines du réseau sont en adressage publique. Dans tous les cas, je ne devrais jamais avoir d'adresses MAC de machines au-delà du Cisco puisque au niveau de la couche liaison de données, c'est l'adresse MAC de la dernière machine traversée qui est enregistrée dans le champ prévu à cet effet dans la trame MAC.
Voici un exemple de corps de mail envoyé par le daemon arpwatch:
Est-ce que, par hasard, l'adresse MAC correspond correspond à celle du proxy arp ?
pierre
-- Pierre LALET Elève ingénieur -- ENSEIRB
http://www.enseirb.fr/~lalet
Vincent Chartier
On Thu, 10 Jul 2003 13:45:32 +0000, Guillaume Kaddouch wrote:
(ca ne serait pas 216.78.212.240 qui aurait changer d'adresse MAC, mais plutot 52:54:5:f4:78:d2 qui se serait approprié son IP).
Non, justement j'avais bien vérifié un risque éventuel de compromission et cette adresse MAC n'est attribuée à _aucune_ carte sur le réseau. C'est pour ça que je ne comprends pas d'où peuvent bien venir ces correspondances qu'a capturées Arpwatch.
Vincent Chartier -- Inhale, inhale, you are the victim
On Thu, 10 Jul 2003 13:45:32 +0000, Guillaume Kaddouch wrote:
(ca ne serait pas 216.78.212.240 qui aurait changer d'adresse MAC, mais
plutot 52:54:5:f4:78:d2 qui se serait approprié son IP).
Non, justement j'avais bien vérifié un risque éventuel de compromission et
cette adresse MAC n'est attribuée à _aucune_ carte sur le réseau. C'est
pour ça que je ne comprends pas d'où peuvent bien venir ces
correspondances qu'a capturées Arpwatch.
Vincent Chartier
--
Inhale, inhale, you are the victim
On Thu, 10 Jul 2003 13:45:32 +0000, Guillaume Kaddouch wrote:
(ca ne serait pas 216.78.212.240 qui aurait changer d'adresse MAC, mais plutot 52:54:5:f4:78:d2 qui se serait approprié son IP).
Non, justement j'avais bien vérifié un risque éventuel de compromission et cette adresse MAC n'est attribuée à _aucune_ carte sur le réseau. C'est pour ça que je ne comprends pas d'où peuvent bien venir ces correspondances qu'a capturées Arpwatch.
Vincent Chartier -- Inhale, inhale, you are the victim
Pierre LALET
On Thu, 10 Jul 2003 13:45:32 +0000, Pierre LALET wrote:
Est-ce que, par hasard, l'adresse MAC correspond correspond à celle du proxy arp ? Non, je ne me serais quand-même pas permis de faire un post sans regarder
ça au préalable. Il s'agit autant d'adresses IP d'ISP québécois, français, anglais, etc.
Je parlais d'adresses MAC, pas IP. J'ai bien lu que les IP étaient étrangères au réseau local
pierre
-- Pierre LALET Elève ingénieur -- ENSEIRB
http://www.enseirb.fr/~lalet
On Thu, 10 Jul 2003 13:45:32 +0000, Pierre LALET wrote:
Est-ce que, par hasard, l'adresse MAC correspond correspond à celle du
proxy arp ?
Non, je ne me serais quand-même pas permis de faire un post sans regarder
ça au préalable. Il s'agit autant d'adresses IP d'ISP québécois, français,
anglais, etc.
Je parlais d'adresses MAC, pas IP. J'ai bien lu que les IP étaient
étrangères au réseau local
pierre
--
Pierre LALET
Elève ingénieur -- ENSEIRB
lalet@enseirb.fr
http://www.enseirb.fr/~lalet
On Thu, 10 Jul 2003 13:45:32 +0000, Pierre LALET wrote:
Est-ce que, par hasard, l'adresse MAC correspond correspond à celle du proxy arp ? Non, je ne me serais quand-même pas permis de faire un post sans regarder
ça au préalable. Il s'agit autant d'adresses IP d'ISP québécois, français, anglais, etc.
Je parlais d'adresses MAC, pas IP. J'ai bien lu que les IP étaient étrangères au réseau local
pierre
-- Pierre LALET Elève ingénieur -- ENSEIRB
http://www.enseirb.fr/~lalet
Vincent Chartier
On Mon, 14 Jul 2003 13:31:17 +0000, Pierre LALET wrote:
Est-ce que, par hasard, l'adresse MAC correspond correspond à celle du proxy arp ? Non, je ne me serais quand-même pas permis de faire un post sans regarder
ça au préalable. Il s'agit autant d'adresses IP d'ISP québécois, français, anglais, etc.
Je parlais d'adresses MAC, pas IP. J'ai bien lu que les IP étaient étrangères au réseau local
Ma remarque concernant les adresses IP était un complément d'information, tout simplement. Je sais parfaitement distinquer l'adresse MAC de l'adresse IP.
Vincent Chartier -- Mess with the best, die like the rest
On Mon, 14 Jul 2003 13:31:17 +0000, Pierre LALET wrote:
Est-ce que, par hasard, l'adresse MAC correspond correspond à celle du
proxy arp ?
Non, je ne me serais quand-même pas permis de faire un post sans regarder
ça au préalable. Il s'agit autant d'adresses IP d'ISP québécois, français,
anglais, etc.
Je parlais d'adresses MAC, pas IP. J'ai bien lu que les IP étaient
étrangères au réseau local
Ma remarque concernant les adresses IP était un complément d'information,
tout simplement. Je sais parfaitement distinquer l'adresse MAC de
l'adresse IP.
Vincent Chartier
--
Mess with the best, die like the rest
On Mon, 14 Jul 2003 13:31:17 +0000, Pierre LALET wrote:
Est-ce que, par hasard, l'adresse MAC correspond correspond à celle du proxy arp ? Non, je ne me serais quand-même pas permis de faire un post sans regarder
ça au préalable. Il s'agit autant d'adresses IP d'ISP québécois, français, anglais, etc.
Je parlais d'adresses MAC, pas IP. J'ai bien lu que les IP étaient étrangères au réseau local
Ma remarque concernant les adresses IP était un complément d'information, tout simplement. Je sais parfaitement distinquer l'adresse MAC de l'adresse IP.
Vincent Chartier -- Mess with the best, die like the rest
