Tentative d'intrusion

[Firkhorme]

Bien le bonjour / bonsoir à vous ,

Problème :

Depuis pas mal de temps mon antivirus ( Panda Gold Protection ) me signale dans son rapport des tentatives d'intrusions de type : ( je les aient misent par ordre du jour . La UDP flood est récente tandis que la Smart Arp j'en ai plus )

- " UDP Flood "
- " UDP Port Scan "
- " TCP Flags Check "
- " Smart Arp "

Depuis pas mal de temps je recherche des informations sur ca mais sans réellement trouver . Avec des adresses ip changeante ( donc dynamique ) ainsi que des adresse mac différente .

Solutions apportées :

- Changement de MDP routeur
- ipconfig -renew

Merci d'avoir lu et a la prochaine
-----

[Firkhorme]

Désoler du double post . Mais pouvons pas delete notre poste ?
Bref celui si est a delete parce que mal placé .
Je l'ai déplacer ici " http://forums.futura-sciences.com/se...intrusion.html " .

> A supprimé içi

Bien à vous .

[JPL]

Il se peut que ce soit tout simplement du "bruit de fond" dû à l'activité normale d'internet détecté par un pare-feu un peu chatouileux, sauf si l'UDP flood se reproduisait trop souvent. Quand à un risque d'attaque ARP, je ne pense pas que tu risques quelque chose derrière une box qui a certainement son propre pare-feu, plus le pare-feu de Panda. À la limite d'autres appareils de ton réseau local (smartphone par exemple) pourraient être à l'origine de cette activité parasite.

Mais si quelqu'un, ayant une bonne expérience réseau passe par là tu pourrais avoir des réponses plus sûres.

[Firkhorme]

Hey ( puisque tu as répondu içi , je post içi ) .
Ouai je vois , c'est le Pare-feux qui est pointilleux . Mais c'est vrai que si ya le pare feux de la box tout est nickel .
Je me disait aussi parce que après analyse quand on regarde l'ip " attaquante " , c'est mon routeur . ( Pour les Arp ) Enfin pas tout le temps , par moment c'est lui quoi .
Cependant pour les UDP c'est régulier , j'en ai eu 21 a partir de 18H16 ...

Bonne soirée / Journée

[A voir en vidéo sur Futura]

[quentin08]

Salut,

Les attaques par ARP ne peuvent se produire que sur ton réseau local car ARP n'est pas un protocole routable. C'est à dire que les routeurs les bloquent, c'est leur comportement par défaut. Ce n'est pas le parefeu intégré qui va les bloquer, mais le routeur lui même.
Vu que ta box est un routeur (+ NAT si tu est en IPv4), il n'y aucune chance que ça passe, sauf cas très particulier.
En revanche, si ça vient de ton LAN, les trames ARP ne seront pas bloquées car dans ce cas, ce n'est pas le routeur mais le switch de la box qui est utilisé pour la communication.
Ainsi, s'il y a un hacker sur ton LAN, il pourra t'attaquer par ARP, mais, il ne pourra pas le faire sur quelqu'un d'autre sur Internet.
Et l'inverse : Un hacker sur Internet ne pourra pas t'attaquer par ARP sur ton LAN

A+

[Firkhorme]

Hey ,

Merci pour l'éclaircissement .
Cependant dès que j'ai vu ca , j'ai changer de mot de passe de mon routeur et tout les appareils on été donc déconnecté et ont du remettre le nouveau mot de passe . Même après ca j'en ai encore eu . Donc FAKE ?
Mais pour le moment je n'ai que des " UDP Flood " et j'ai eu aujourd'hui un " Land Attack " .
Mais ca me semble bizarre parce que Avast ( version gratos ) ne dit rien alors que Panda Gold Protection ( pas gratos ) me signale et bloque .

Merci et bonne soirée

[JPL]

Tu as peut-être son pare-feu réglé en mode parano ?

[bisou10]

Sur un réseau privé personnel ?

Ton wifi est piraté ? Ta box est dans son état d'origine ? Tu as un enfant qui fait tourner Metasploit ?

Tu as des logs de UDP flood par exemple ?

[Firkhorme]

Je sais pas ca , peut être ... j'ai pas toucher x) .

Alors oui sur un reseau wifi personnel ( enfin wifi ou Ethernet ) .
Box dans son état de base ( box de l'opérateur ) .
Pas d'enfant x)
J'ai pas de log mais j'ai l'adresse MAC / IP .

[bisou10]

Il faut analyser ce qui te floode. Sachant que ca ne passera pas le routeur si tu as la conf d'origine (à moins de t'être fit hacké le routeur, mais peu probable), il faut trouver quelle machine sur ton LAN fait ce bazar.

[Firkhorme]

Logiciel a conseiller ?

[quentin08]

Bonjour,

J'ai pas de log mais j'ai l'adresse MAC / IP .

C'est déjà une bonne piste
Avec l'adresse MAC, tu peut faire une recherche OUI :
http://www.frameip.com/ethernet-oui-...quete-code.php
Ça te donnera le constructeur de la carte réseau qui te flood UDP (atheros, linksys, dlink ...)

Une petite info importante : Si l'attaque ne vient pas de ton LAN, l'adresse MAC source visible sera celle de l'interface coté privé de ta box, car comme dit plus haut, ARP n'est pas routable, c'est pour cette raison que l'on ne peut pas connaitre l'adresse MAC d'une carte réseau située de l'autre coté d'un routeur

Regarde aussi l'adresse IP source de ce qui te flood
L'adresse IP vient-elle de ton LAN ou d'Internet ?

Pour le cas où ça vient d'Internet : (adresse IP source en dehors des plages 10.0.0.0->10.255.255.255, 172.16.0.0->172.31.255.255, 192.168.0.0->192.168.255.255)
As-tu des règles DNAT activées dans la box ? (plus connues sous le nom de redirection/forward de ports)
As-tu mis ton PC en DMZ ? on fait souvent ça pour accélérer les téléchargement P2P/torrent (je n'incite pas au piratage, c'est illégal selon l'utilisation qu'on a de ces protocoles, comme des autres d'ailleurs)
Si l'attaque vient d'Internet, le hacker qui te flood te voie par ton adresse publique, donc, c'est ta box qui devrait se prendre le flood, et pas une machine du LAN. Mais si tu as mis ton PC accessible en DMZ, ou, des règles de forward de port actives, ça expliquerait que ce soit lui qui soit touché
Évidemment, ce raisonnement n'est valable qu'en IPv4.

Tu as Internet en IPv4 ou IPv6 ?

Pour info, les hackers préfèrent le flood UDP car c'est moins haut dans le modèle OSI, donc, ça se voit moins dans les logs
Pour le flood dans les couches plus hautes, ça se voit plus dans les logs, mais la machine est encore plus ralentie car elle a plus de travail d'encapsulation/désencapsulation
Encore une fois, concernant le piratage, ces infos sont connues et sont données un peu partout sur des sites servant à tester sa sécurité informatique

Essaye de redémarrer ta box pour obtenir une nouvelle adresse (si tu n'est pas en IP statique chez l'opérateur). Ainsi, le hacker ne te verra plus

Si ça vient du LAN :

Alors, c'est facile à identifier, tu peux le savoir avec l'adresse IP source privée
Aussi, utilise la recherche OUI (voir plus haut) pour connaître la marque du matériel qui te flood, ce sera une piste en plus.
Si tu ne le reconnais pas, change ta clé WPA, on ne sais jamais, ton LAN est peut être plus étendu que tu ne le penses...

A+

[Firkhorme]

Bonjour,



C'est déjà une bonne piste
Avec l'adresse MAC, tu peut faire une recherche OUI :
http://www.frameip.com/ethernet-oui-...quete-code.php
Ça te donnera le constructeur de la carte réseau qui te flood UDP (atheros, linksys, dlink ...)

Une petite info importante : Si l'attaque ne vient pas de ton LAN, l'adresse MAC source visible sera celle de l'interface coté privé de ta box, car comme dit plus haut, ARP n'est pas routable, c'est pour cette raison que l'on ne peut pas connaitre l'adresse MAC d'une carte réseau située de l'autre coté d'un routeur

Regarde aussi l'adresse IP source de ce qui te flood
L'adresse IP vient-elle de ton LAN ou d'Internet ?

Pour le cas où ça vient d'Internet : (adresse IP source en dehors des plages 10.0.0.0->10.255.255.255, 172.16.0.0->172.31.255.255, 192.168.0.0->192.168.255.255)
As-tu des règles DNAT activées dans la box ? (plus connues sous le nom de redirection/forward de ports)
As-tu mis ton PC en DMZ ? on fait souvent ça pour accélérer les téléchargement P2P/torrent (je n'incite pas au piratage, c'est illégal selon l'utilisation qu'on a de ces protocoles, comme des autres d'ailleurs)
Si l'attaque vient d'Internet, le hacker qui te flood te voie par ton adresse publique, donc, c'est ta box qui devrait se prendre le flood, et pas une machine du LAN. Mais si tu as mis ton PC accessible en DMZ, ou, des règles de forward de port actives, ça expliquerait que ce soit lui qui soit touché
Évidemment, ce raisonnement n'est valable qu'en IPv4.

Tu as Internet en IPv4 ou IPv6 ?

Pour info, les hackers préfèrent le flood UDP car c'est moins haut dans le modèle OSI, donc, ça se voit moins dans les logs
Pour le flood dans les couches plus hautes, ça se voit plus dans les logs, mais la machine est encore plus ralentie car elle a plus de travail d'encapsulation/désencapsulation
Encore une fois, concernant le piratage, ces infos sont connues et sont données un peu partout sur des sites servant à tester sa sécurité informatique

Essaye de redémarrer ta box pour obtenir une nouvelle adresse (si tu n'est pas en IP statique chez l'opérateur). Ainsi, le hacker ne te verra plus

Si ça vient du LAN :

Alors, c'est facile à identifier, tu peux le savoir avec l'adresse IP source privée
Aussi, utilise la recherche OUI (voir plus haut) pour connaître la marque du matériel qui te flood, ce sera une piste en plus.
Si tu ne le reconnais pas, change ta clé WPA, on ne sais jamais, ton LAN est peut être plus étendu que tu ne le penses...

A+

Désolé de l'attente mais j'étais fort occupé avec autre chose .
Bref !

Merci pour les quelques notions , cependant j'aimerais savoir comme voir si on est en DMZ et si les règles DNAT sont activées ( Pour le DNAT c'est mit sur la console du routeur mais le reste i don't know ) .

J'ai déjà reboot la box et ca a reprit de plus belle x) idem pour la clé .
Je ferai tout tes tests vendredi soir ( fort occupé ) .

Bonne journée

[quentin08]

Salut,

Pour voir si tu est en DMZ, il faut fouiller dans les paramètres sur ta box, il y a une option "DMZ" où tu peux entrer une adresse IP. C'est bien de le laisser désactivé à moins de vraiment savoir ce que tu fais car le PC en DMZ est complètement exposé à Internet. C'est dangereux.

Pour les règles DNAT, souvent dans les box, c'est appelé "redirection de port", "port forwarding".
Ça se présente souvent de cette façon : on entre un port et un protocole en entrée sur l'interface WAN, et on le redirige vers une IP et un autre port sur le LAN
Exemple : TCP 8080 -> Redirigé vers 172.20.0.1 port 80

A+