Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
GuiGui
Bonjour,
Bonjour,
Avec grande surprise, j'arrive à intercepter des paquets TCP en src 10.33.24.32 et en dst 10.33.24.67 .... j'ai d'autres ip dans ce cas :-|
Comment se fait-il que via une connexion switché j'arrive à voir ce genre de flux ???
Switch mal configuré, ou qui ne sait plus où il en est dans ses tables de commut et réagit comme un hub.
Remarque le terme 'mal configuré' n'est peut-être pas le bon. Il y a effectivement des possibilités de 'vraie' mauvaise configuration, mais peut-être aussi ton switch a-t-il été configuré pour répliquer le traffic sur le port où tu est branché (fonction utilisée justement pour faire du sniffing ;-)) et celui qui a fait ça a oublié de le désactiver ensuite.
Bonjour,
Bonjour,
Avec grande surprise, j'arrive à intercepter des paquets TCP en src
10.33.24.32 et en dst 10.33.24.67 .... j'ai d'autres ip dans ce cas :-|
Comment se fait-il que via une connexion switché j'arrive à voir ce
genre de flux ???
Switch mal configuré, ou qui ne sait plus où il en est dans ses tables
de commut et réagit comme un hub.
Remarque le terme 'mal configuré' n'est peut-être pas le bon. Il y a
effectivement des possibilités de 'vraie' mauvaise configuration, mais
peut-être aussi ton switch a-t-il été configuré pour répliquer le
traffic sur le port où tu est branché (fonction utilisée justement pour
faire du sniffing ;-)) et celui qui a fait ça a oublié de le désactiver
ensuite.
Avec grande surprise, j'arrive à intercepter des paquets TCP en src 10.33.24.32 et en dst 10.33.24.67 .... j'ai d'autres ip dans ce cas :-|
Comment se fait-il que via une connexion switché j'arrive à voir ce genre de flux ???
Switch mal configuré, ou qui ne sait plus où il en est dans ses tables de commut et réagit comme un hub.
Remarque le terme 'mal configuré' n'est peut-être pas le bon. Il y a effectivement des possibilités de 'vraie' mauvaise configuration, mais peut-être aussi ton switch a-t-il été configuré pour répliquer le traffic sur le port où tu est branché (fonction utilisée justement pour faire du sniffing ;-)) et celui qui a fait ça a oublié de le désactiver ensuite.
SkyFox
"Toto" a écrit dans le message de news: 416641fc$0$335$
Bonjour,
J'ai remarqué un comportement etrange de mon switch Cisco lors d'une analyse réseau avec Ethereal ..
Je lance un sniffe sur un serveur avec une adresse ip en 10.33.24.64.
Avec grande surprise, j'arrive à intercepter des paquets TCP en src 10.33.24.32 et en dst 10.33.24.67 .... j'ai d'autres ip dans ce cas :-|
Comment se fait-il que via une connexion switché j'arrive à voir ce genre de flux ???
Ne sous-estimes pas le pouvoir des broadcasts en environnement switché mon ami! Un switch te prémunit des collisions, mais pas des broadcasts, qui sont par définition balancés sur toutes les portes du bridge (tous les ports du switch). Des broadcasts, il y en a à chaque seconde, surtout sur des postes Windows!
Regarde dans ta capture TCP si les adresses IP destination sont 10.33.24.255 par hasard!
"Toto" <toto@nospam.fr> a écrit dans le message de news:
416641fc$0$335$4d4eb98e@read.news.fr.uu.net...
Bonjour,
J'ai remarqué un comportement etrange de mon switch Cisco lors d'une
analyse réseau avec Ethereal ..
Je lance un sniffe sur un serveur avec une adresse ip en 10.33.24.64.
Avec grande surprise, j'arrive à intercepter des paquets TCP en src
10.33.24.32 et en dst 10.33.24.67 .... j'ai d'autres ip dans ce cas :-|
Comment se fait-il que via une connexion switché j'arrive à voir ce genre
de flux ???
Ne sous-estimes pas le pouvoir des broadcasts en environnement switché mon
ami!
Un switch te prémunit des collisions, mais pas des broadcasts, qui sont par
définition balancés sur toutes les portes du bridge (tous les ports du
switch).
Des broadcasts, il y en a à chaque seconde, surtout sur des postes Windows!
Regarde dans ta capture TCP si les adresses IP destination sont 10.33.24.255
par hasard!
"Toto" a écrit dans le message de news: 416641fc$0$335$
Bonjour,
J'ai remarqué un comportement etrange de mon switch Cisco lors d'une analyse réseau avec Ethereal ..
Je lance un sniffe sur un serveur avec une adresse ip en 10.33.24.64.
Avec grande surprise, j'arrive à intercepter des paquets TCP en src 10.33.24.32 et en dst 10.33.24.67 .... j'ai d'autres ip dans ce cas :-|
Comment se fait-il que via une connexion switché j'arrive à voir ce genre de flux ???
Ne sous-estimes pas le pouvoir des broadcasts en environnement switché mon ami! Un switch te prémunit des collisions, mais pas des broadcasts, qui sont par définition balancés sur toutes les portes du bridge (tous les ports du switch). Des broadcasts, il y en a à chaque seconde, surtout sur des postes Windows!
Regarde dans ta capture TCP si les adresses IP destination sont 10.33.24.255 par hasard!
Pierre LALET
Avec grande surprise, j'arrive à intercepter des paquets TCP en src 10.33.24.32 et en dst 10.33.24.67 .... j'ai d'autres ip dans ce cas :-|
Comment se fait-il que via une connexion switché j'arrive à voir ce genre de flux ???
Ne sous-estimes pas le pouvoir des broadcasts en environnement switché mon ami!
Ton interlocuteur parle de paquets *TCP* avec une adresse destination qui ne ressemble pas franchement ni à une adresse de broadcast, ni à une adresse de multicast.
Regarde dans ta capture TCP si les adresses IP destination sont 10.33.24.255 par hasard!
Il précise que l'adresse IP de destination est 10.33.24.67. Tu aurais pu lire le post auquel tu répondais en entier, non ?
pierre
-- Pierre LALET http://pierre.droids-corp.org/ Droids Corporation & Team rstack French Honeynet Project
Avec grande surprise, j'arrive à intercepter des paquets TCP en src
10.33.24.32 et en dst 10.33.24.67 .... j'ai d'autres ip dans ce cas :-|
Comment se fait-il que via une connexion switché j'arrive à voir ce genre
de flux ???
Ne sous-estimes pas le pouvoir des broadcasts en environnement switché mon
ami!
Ton interlocuteur parle de paquets *TCP* avec une adresse destination
qui ne ressemble pas franchement ni à une adresse de broadcast, ni à une
adresse de multicast.
Regarde dans ta capture TCP si les adresses IP destination sont 10.33.24.255
par hasard!
Il précise que l'adresse IP de destination est 10.33.24.67. Tu aurais pu
lire le post auquel tu répondais en entier, non ?
pierre
--
Pierre LALET
http://pierre.droids-corp.org/
Droids Corporation & Team rstack
French Honeynet Project
Avec grande surprise, j'arrive à intercepter des paquets TCP en src 10.33.24.32 et en dst 10.33.24.67 .... j'ai d'autres ip dans ce cas :-|
Comment se fait-il que via une connexion switché j'arrive à voir ce genre de flux ???
Ne sous-estimes pas le pouvoir des broadcasts en environnement switché mon ami!
Ton interlocuteur parle de paquets *TCP* avec une adresse destination qui ne ressemble pas franchement ni à une adresse de broadcast, ni à une adresse de multicast.
Regarde dans ta capture TCP si les adresses IP destination sont 10.33.24.255 par hasard!
Il précise que l'adresse IP de destination est 10.33.24.67. Tu aurais pu lire le post auquel tu répondais en entier, non ?
pierre
-- Pierre LALET http://pierre.droids-corp.org/ Droids Corporation & Team rstack French Honeynet Project
SkyFox
"Pierre LALET" a écrit dans le message de news: ckb5i5$nml$
Ton interlocuteur parle de paquets *TCP* avec une adresse destination qui ne ressemble pas franchement ni à une adresse de broadcast, ni à une adresse de multicast.
Un paquet TCP peut également etre adressé en broadcast (exemple Netbios sous Windows). Quant à l'adresse IP destination, je peux te garantir que 10.33.24.67 *est bien* une adresse de broadcast, par exemple pour le subnet 10.33.24.64 /30.
Il précise que l'adresse IP de destination est 10.33.24.67. Tu aurais pu lire le post auquel tu répondais en entier, non ?
Le post initial ne nous indique pas quel est le réseau et le subnet mask utilisés. Les causes de ce "probleme" peuvent etre multiples: - Masques de sous-réseau incohérents (différents) entre les différentes machines du réseau - Port-mirroring activé sur l'un des ports du switch etc...
"Pierre LALET" <pierre@droids-corp.org> a écrit dans le message de news:
ckb5i5$nml$3@news.u-bordeaux.fr...
Ton interlocuteur parle de paquets *TCP* avec une adresse destination qui
ne ressemble pas franchement ni à une adresse de broadcast, ni à une
adresse de multicast.
Un paquet TCP peut également etre adressé en broadcast (exemple Netbios sous
Windows).
Quant à l'adresse IP destination, je peux te garantir que 10.33.24.67 *est
bien* une adresse de broadcast, par exemple pour le subnet 10.33.24.64 /30.
Il précise que l'adresse IP de destination est 10.33.24.67. Tu aurais pu
lire le post auquel tu répondais en entier, non ?
Le post initial ne nous indique pas quel est le réseau et le subnet mask
utilisés.
Les causes de ce "probleme" peuvent etre multiples:
- Masques de sous-réseau incohérents (différents) entre les différentes
machines du réseau
- Port-mirroring activé sur l'un des ports du switch
etc...
"Pierre LALET" a écrit dans le message de news: ckb5i5$nml$
Ton interlocuteur parle de paquets *TCP* avec une adresse destination qui ne ressemble pas franchement ni à une adresse de broadcast, ni à une adresse de multicast.
Un paquet TCP peut également etre adressé en broadcast (exemple Netbios sous Windows). Quant à l'adresse IP destination, je peux te garantir que 10.33.24.67 *est bien* une adresse de broadcast, par exemple pour le subnet 10.33.24.64 /30.
Il précise que l'adresse IP de destination est 10.33.24.67. Tu aurais pu lire le post auquel tu répondais en entier, non ?
Le post initial ne nous indique pas quel est le réseau et le subnet mask utilisés. Les causes de ce "probleme" peuvent etre multiples: - Masques de sous-réseau incohérents (différents) entre les différentes machines du réseau - Port-mirroring activé sur l'un des ports du switch etc...
Pierre LALET
Un paquet TCP peut également etre adressé en broadcast (exemple Netbios sous Windows).
Non. Un paquet TCP est nécessairement unicast. Tu confonds avec UDP.
Quant à l'adresse IP destination, je peux te garantir que 10.33.24.67 *est bien* une adresse de broadcast, par exemple pour le subnet 10.33.24.64 /30.
Certes. Qui est un réseau qui te permet d'accueillir deux machines, donc on ne serait pas surpris, sur l'une d'elles, de recevoir tout le trafic. Le contraire serait même très surprenant. Tu es de mauvaise foi.
Il précise que l'adresse IP de destination est 10.33.24.67. Tu aurais pu lire le post auquel tu répondais en entier, non ?
Le post initial ne nous indique pas quel est le réseau et le subnet mask utilisés.
Et *tu* as dit, dans *ton* post auquel je répondais (mais tu as bien pris soin de supprimer ce passage dans ta réponse) : "Regarde dans ta capture TCP si les adresses IP destination sont 10.33.24.255 par hasard!"
Quand je parlais de mauvaise foi... Tu sais, parfois, il faut savoir reconnaitre qu'on a dit une connerie (tout le monde en dit), plutôt que d'essayer de se ratraper à des branches mortes.
pierre
-- Pierre LALET http://pierre.droids-corp.org/ Droids Corporation & Team rstack French Honeynet Project
Un paquet TCP peut également etre adressé en broadcast (exemple Netbios sous
Windows).
Non. Un paquet TCP est nécessairement unicast. Tu confonds avec UDP.
Quant à l'adresse IP destination, je peux te garantir que 10.33.24.67 *est
bien* une adresse de broadcast, par exemple pour le subnet 10.33.24.64 /30.
Certes. Qui est un réseau qui te permet d'accueillir deux machines, donc
on ne serait pas surpris, sur l'une d'elles, de recevoir tout le trafic.
Le contraire serait même très surprenant. Tu es de mauvaise foi.
Il précise que l'adresse IP de destination est 10.33.24.67. Tu aurais pu
lire le post auquel tu répondais en entier, non ?
Le post initial ne nous indique pas quel est le réseau et le subnet mask
utilisés.
Et *tu* as dit, dans *ton* post auquel je répondais (mais tu as bien
pris soin de supprimer ce passage dans ta réponse) : "Regarde dans ta
capture TCP si les adresses IP destination sont 10.33.24.255 par hasard!"
Quand je parlais de mauvaise foi... Tu sais, parfois, il faut savoir
reconnaitre qu'on a dit une connerie (tout le monde en dit), plutôt que
d'essayer de se ratraper à des branches mortes.
pierre
--
Pierre LALET
http://pierre.droids-corp.org/
Droids Corporation & Team rstack
French Honeynet Project
Un paquet TCP peut également etre adressé en broadcast (exemple Netbios sous Windows).
Non. Un paquet TCP est nécessairement unicast. Tu confonds avec UDP.
Quant à l'adresse IP destination, je peux te garantir que 10.33.24.67 *est bien* une adresse de broadcast, par exemple pour le subnet 10.33.24.64 /30.
Certes. Qui est un réseau qui te permet d'accueillir deux machines, donc on ne serait pas surpris, sur l'une d'elles, de recevoir tout le trafic. Le contraire serait même très surprenant. Tu es de mauvaise foi.
Il précise que l'adresse IP de destination est 10.33.24.67. Tu aurais pu lire le post auquel tu répondais en entier, non ?
Le post initial ne nous indique pas quel est le réseau et le subnet mask utilisés.
Et *tu* as dit, dans *ton* post auquel je répondais (mais tu as bien pris soin de supprimer ce passage dans ta réponse) : "Regarde dans ta capture TCP si les adresses IP destination sont 10.33.24.255 par hasard!"
Quand je parlais de mauvaise foi... Tu sais, parfois, il faut savoir reconnaitre qu'on a dit une connerie (tout le monde en dit), plutôt que d'essayer de se ratraper à des branches mortes.
pierre
-- Pierre LALET http://pierre.droids-corp.org/ Droids Corporation & Team rstack French Honeynet Project
Jacques Caron
On Sun, 10 Oct 2004 13:30:34 +0200, SkyFox wrote:
Un paquet TCP peut également etre adressé en broadcast (exemple Netbios sous Windows).
Comme déjà dit, non. Vu le 3-way handshake, c'est totalement impossible.
Quant à l'adresse IP destination, je peux te garantir que 10.33.24.67 *est bien* une adresse de broadcast, par exemple pour le subnet 10.33.24.64 /30.
Oui mais la source est 10.33.24.32 qui n'est pas dans le même subnet, ce qui rend cette option peu crédible. Et comme déjà dit, un broadcast sur un /30 c'est quand même pas super utile.
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
On Sun, 10 Oct 2004 13:30:34 +0200, SkyFox <pericat-dontspam@altern.org>
wrote:
Un paquet TCP peut également etre adressé en broadcast (exemple Netbios
sous Windows).
Comme déjà dit, non. Vu le 3-way handshake, c'est totalement impossible.
Quant à l'adresse IP destination, je peux te garantir que 10.33.24.67
*est bien* une adresse de broadcast, par exemple pour le subnet
10.33.24.64 /30.
Oui mais la source est 10.33.24.32 qui n'est pas dans le même subnet, ce
qui rend cette option peu crédible. Et comme déjà dit, un broadcast sur un
/30 c'est quand même pas super utile.
Jacques.
--
Interactive Media Factory
Création, développement et hébergement
de services interactifs: SMS, SMS+, Audiotel...
http://www.imfeurope.com/
Un paquet TCP peut également etre adressé en broadcast (exemple Netbios sous Windows).
Comme déjà dit, non. Vu le 3-way handshake, c'est totalement impossible.
Quant à l'adresse IP destination, je peux te garantir que 10.33.24.67 *est bien* une adresse de broadcast, par exemple pour le subnet 10.33.24.64 /30.
Oui mais la source est 10.33.24.32 qui n'est pas dans le même subnet, ce qui rend cette option peu crédible. Et comme déjà dit, un broadcast sur un /30 c'est quand même pas super utile.
Jacques. -- Interactive Media Factory Création, développement et hébergement de services interactifs: SMS, SMS+, Audiotel... http://www.imfeurope.com/
Cedric Blancher
Le Sun, 10 Oct 2004 13:30:34 +0200, SkyFox a écrit :
Un paquet TCP peut également etre adressé en broadcast (exemple Netbios sous Windows).
Non. Clairement pas. TCP est par définition un circuit virtuel entre deux points. Il ne peut donc pas être multicast, par construction.
Et l'exemple que tu prends est (forcément) faux. Les émissions NetBIOS en broadcast sont les résolutions de nom en l'absence de serveurs WINS et se font sur UDP.
-- Tenez-vous bien au code : j'enlève la RAM ! -+- TN in GFA : C'est un informaticien qui repeint son plafond... -+-
Le Sun, 10 Oct 2004 13:30:34 +0200, SkyFox a écrit :
Un paquet TCP peut également etre adressé en broadcast (exemple Netbios sous
Windows).
Non. Clairement pas.
TCP est par définition un circuit virtuel entre deux points. Il ne peut
donc pas être multicast, par construction.
Et l'exemple que tu prends est (forcément) faux. Les émissions NetBIOS
en broadcast sont les résolutions de nom en l'absence de serveurs WINS et
se font sur UDP.
--
Tenez-vous bien au code : j'enlève la RAM !
-+- TN in GFA : C'est un informaticien qui repeint son plafond... -+-
Le Sun, 10 Oct 2004 13:30:34 +0200, SkyFox a écrit :
Un paquet TCP peut également etre adressé en broadcast (exemple Netbios sous Windows).
Non. Clairement pas. TCP est par définition un circuit virtuel entre deux points. Il ne peut donc pas être multicast, par construction.
Et l'exemple que tu prends est (forcément) faux. Les émissions NetBIOS en broadcast sont les résolutions de nom en l'absence de serveurs WINS et se font sur UDP.
-- Tenez-vous bien au code : j'enlève la RAM ! -+- TN in GFA : C'est un informaticien qui repeint son plafond... -+-
Toto
Pour répondre à vos interrogations :
masque utilisé: 255.255.248.0 Réseau: 10.33.0.0 Je n'ai pas de port mirroring configuré sur l'équipement
"Pierre LALET" a écrit dans le message de news: ckb5i5$nml$
Ton interlocuteur parle de paquets *TCP* avec une adresse destination qui ne ressemble pas franchement ni à une adresse de broadcast, ni à une adresse de multicast.
Un paquet TCP peut également etre adressé en broadcast (exemple Netbios sous Windows). Quant à l'adresse IP destination, je peux te garantir que 10.33.24.67 *est bien* une adresse de broadcast, par exemple pour le subnet 10.33.24.64 /30.
Il précise que l'adresse IP de destination est 10.33.24.67. Tu aurais pu lire le post auquel tu répondais en entier, non ?
Le post initial ne nous indique pas quel est le réseau et le subnet mask utilisés. Les causes de ce "probleme" peuvent etre multiples: - Masques de sous-réseau incohérents (différents) entre les différentes machines du réseau - Port-mirroring activé sur l'un des ports du switch etc...
Pour répondre à vos interrogations :
masque utilisé: 255.255.248.0
Réseau: 10.33.0.0
Je n'ai pas de port mirroring configuré sur l'équipement
"Pierre LALET" <pierre@droids-corp.org> a écrit dans le message de news:
ckb5i5$nml$3@news.u-bordeaux.fr...
Ton interlocuteur parle de paquets *TCP* avec une adresse destination qui
ne ressemble pas franchement ni à une adresse de broadcast, ni à une
adresse de multicast.
Un paquet TCP peut également etre adressé en broadcast (exemple Netbios sous
Windows).
Quant à l'adresse IP destination, je peux te garantir que 10.33.24.67 *est
bien* une adresse de broadcast, par exemple pour le subnet 10.33.24.64 /30.
Il précise que l'adresse IP de destination est 10.33.24.67. Tu aurais pu
lire le post auquel tu répondais en entier, non ?
Le post initial ne nous indique pas quel est le réseau et le subnet mask
utilisés.
Les causes de ce "probleme" peuvent etre multiples:
- Masques de sous-réseau incohérents (différents) entre les différentes
machines du réseau
- Port-mirroring activé sur l'un des ports du switch
etc...
masque utilisé: 255.255.248.0 Réseau: 10.33.0.0 Je n'ai pas de port mirroring configuré sur l'équipement
"Pierre LALET" a écrit dans le message de news: ckb5i5$nml$
Ton interlocuteur parle de paquets *TCP* avec une adresse destination qui ne ressemble pas franchement ni à une adresse de broadcast, ni à une adresse de multicast.
Un paquet TCP peut également etre adressé en broadcast (exemple Netbios sous Windows). Quant à l'adresse IP destination, je peux te garantir que 10.33.24.67 *est bien* une adresse de broadcast, par exemple pour le subnet 10.33.24.64 /30.
Il précise que l'adresse IP de destination est 10.33.24.67. Tu aurais pu lire le post auquel tu répondais en entier, non ?
Le post initial ne nous indique pas quel est le réseau et le subnet mask utilisés. Les causes de ce "probleme" peuvent etre multiples: - Masques de sous-réseau incohérents (différents) entre les différentes machines du réseau - Port-mirroring activé sur l'un des ports du switch etc...
Florent
Quand un switch ne sait pas sur quel port envoyer une trame (quand l'adresse MAC ne figure pas dans sa table), il l'envoie en flooding, sur tous les ports.
Cordialement
Florent
Bonjour,
J'ai remarqué un comportement etrange de mon switch Cisco lors d'une analyse réseau avec Ethereal ..
Je lance un sniffe sur un serveur avec une adresse ip en 10.33.24.64.
Avec grande surprise, j'arrive à intercepter des paquets TCP en src 10.33.24.32 et en dst 10.33.24.67 .... j'ai d'autres ip dans ce cas :-|
Comment se fait-il que via une connexion switché j'arrive à voir ce genre de flux ???
J'ai du mal à saisir
Merci d'avance
Tom
Quand un switch ne sait pas sur quel port envoyer une trame (quand
l'adresse MAC ne figure pas dans sa table), il l'envoie en flooding, sur
tous les ports.
Cordialement
Florent
Bonjour,
J'ai remarqué un comportement etrange de mon switch Cisco lors d'une
analyse réseau avec Ethereal ..
Je lance un sniffe sur un serveur avec une adresse ip en 10.33.24.64.
Avec grande surprise, j'arrive à intercepter des paquets TCP en src
10.33.24.32 et en dst 10.33.24.67 .... j'ai d'autres ip dans ce cas :-|
Comment se fait-il que via une connexion switché j'arrive à voir ce
genre de flux ???
Quand un switch ne sait pas sur quel port envoyer une trame (quand l'adresse MAC ne figure pas dans sa table), il l'envoie en flooding, sur tous les ports.
Cordialement
Florent
Bonjour,
J'ai remarqué un comportement etrange de mon switch Cisco lors d'une analyse réseau avec Ethereal ..
Je lance un sniffe sur un serveur avec une adresse ip en 10.33.24.64.
Avec grande surprise, j'arrive à intercepter des paquets TCP en src 10.33.24.32 et en dst 10.33.24.67 .... j'ai d'autres ip dans ce cas :-|
Comment se fait-il que via une connexion switché j'arrive à voir ce genre de flux ???
