Répondre à la discussion
Affichage des résultats 1 à 14 sur 14

Tentative d'intrusion



  1. #1
    Firkhorme

    Tentative d'intrusion


    ------

    Bien le bonjour / bonsoir à vous ,

    Problème :


    Depuis pas mal de temps mon antivirus ( Panda Gold Protection ) me signale dans son rapport des tentatives d'intrusions de type : ( je les aient misent par ordre du jour . La UDP flood est récente tandis que la Smart Arp j'en ai plus )

    - " UDP Flood "
    - " UDP Port Scan "
    - " TCP Flags Check "
    - " Smart Arp "

    Depuis pas mal de temps je recherche des informations sur ca mais sans réellement trouver . Avec des adresses ip changeante ( donc dynamique ) ainsi que des adresse mac différente .

    Solutions apportées :

    - Changement de MDP routeur
    - ipconfig -renew

    Merci d'avoir lu et a la prochaine

    -----

  2. #2
    Firkhorme

    Re : Tentative d'intrusion

    Désoler du double post . Mais pouvons pas delete notre poste ?
    Bref celui si est a delete parce que mal placé .
    Je l'ai déplacer ici " http://forums.futura-sciences.com/se...intrusion.html " .

    > A supprimé içi

    Bien à vous .

  3. #3
    JPL
    Responsable des forums

    Re : Tentative d'intrusion

    Il se peut que ce soit tout simplement du "bruit de fond" dû à l'activité normale d'internet détecté par un pare-feu un peu chatouileux, sauf si l'UDP flood se reproduisait trop souvent. Quand à un risque d'attaque ARP, je ne pense pas que tu risques quelque chose derrière une box qui a certainement son propre pare-feu, plus le pare-feu de Panda. À la limite d'autres appareils de ton réseau local (smartphone par exemple) pourraient être à l'origine de cette activité parasite.

    Mais si quelqu'un, ayant une bonne expérience réseau passe par là tu pourrais avoir des réponses plus sûres.
    Rien ne sert de penser, il faut réfléchir avant - Pierre Dac

  4. #4
    Firkhorme

    Re : Tentative d'intrusion

    Hey ( puisque tu as répondu içi , je post içi ) .
    Ouai je vois , c'est le Pare-feux qui est pointilleux . Mais c'est vrai que si ya le pare feux de la box tout est nickel .
    Je me disait aussi parce que après analyse quand on regarde l'ip " attaquante " , c'est mon routeur . ( Pour les Arp ) Enfin pas tout le temps , par moment c'est lui quoi .
    Cependant pour les UDP c'est régulier , j'en ai eu 21 a partir de 18H16 ...

    Bonne soirée / Journée

  5. A voir en vidéo sur Futura
  6. #5
    quentin08

    Re : Tentative d'intrusion

    Salut,

    Les attaques par ARP ne peuvent se produire que sur ton réseau local car ARP n'est pas un protocole routable. C'est à dire que les routeurs les bloquent, c'est leur comportement par défaut. Ce n'est pas le parefeu intégré qui va les bloquer, mais le routeur lui même.
    Vu que ta box est un routeur (+ NAT si tu est en IPv4), il n'y aucune chance que ça passe, sauf cas très particulier.
    En revanche, si ça vient de ton LAN, les trames ARP ne seront pas bloquées car dans ce cas, ce n'est pas le routeur mais le switch de la box qui est utilisé pour la communication.
    Ainsi, s'il y a un hacker sur ton LAN, il pourra t'attaquer par ARP, mais, il ne pourra pas le faire sur quelqu'un d'autre sur Internet.
    Et l'inverse : Un hacker sur Internet ne pourra pas t'attaquer par ARP sur ton LAN

    A+
    Maximator c'est comme Actimel : ça agit à l'intérieur et ça se voit à l'extérieur

  7. #6
    Firkhorme

    Re : Tentative d'intrusion

    Hey ,

    Merci pour l'éclaircissement .
    Cependant dès que j'ai vu ca , j'ai changer de mot de passe de mon routeur et tout les appareils on été donc déconnecté et ont du remettre le nouveau mot de passe . Même après ca j'en ai encore eu . Donc FAKE ?
    Mais pour le moment je n'ai que des " UDP Flood " et j'ai eu aujourd'hui un " Land Attack " .
    Mais ca me semble bizarre parce que Avast ( version gratos ) ne dit rien alors que Panda Gold Protection ( pas gratos ) me signale et bloque .

    Merci et bonne soirée

  8. #7
    JPL
    Responsable des forums

    Re : Tentative d'intrusion

    Tu as peut-être son pare-feu réglé en mode parano ?
    Rien ne sert de penser, il faut réfléchir avant - Pierre Dac

  9. #8
    bisou10

    Re : Tentative d'intrusion

    Sur un réseau privé personnel ?

    Ton wifi est piraté ? Ta box est dans son état d'origine ? Tu as un enfant qui fait tourner Metasploit ?

    Tu as des logs de UDP flood par exemple ?

  10. #9
    Firkhorme

    Re : Tentative d'intrusion

    Je sais pas ca , peut être ... j'ai pas toucher x) .

    Alors oui sur un reseau wifi personnel ( enfin wifi ou Ethernet ) .
    Box dans son état de base ( box de l'opérateur ) .
    Pas d'enfant x)
    J'ai pas de log mais j'ai l'adresse MAC / IP .

  11. #10
    bisou10

    Re : Tentative d'intrusion

    Il faut analyser ce qui te floode. Sachant que ca ne passera pas le routeur si tu as la conf d'origine (à moins de t'être fit hacké le routeur, mais peu probable), il faut trouver quelle machine sur ton LAN fait ce bazar.

  12. #11
    Firkhorme

    Re : Tentative d'intrusion

    Logiciel a conseiller ?

  13. #12
    quentin08

    Re : Tentative d'intrusion

    Bonjour,

    Citation Envoyé par Firkhorme
    J'ai pas de log mais j'ai l'adresse MAC / IP .
    C'est déjà une bonne piste
    Avec l'adresse MAC, tu peut faire une recherche OUI :
    http://www.frameip.com/ethernet-oui-...quete-code.php
    Ça te donnera le constructeur de la carte réseau qui te flood UDP (atheros, linksys, dlink ...)

    Une petite info importante : Si l'attaque ne vient pas de ton LAN, l'adresse MAC source visible sera celle de l'interface coté privé de ta box, car comme dit plus haut, ARP n'est pas routable, c'est pour cette raison que l'on ne peut pas connaitre l'adresse MAC d'une carte réseau située de l'autre coté d'un routeur

    Regarde aussi l'adresse IP source de ce qui te flood
    L'adresse IP vient-elle de ton LAN ou d'Internet ?

    Pour le cas où ça vient d'Internet : (adresse IP source en dehors des plages 10.0.0.0->10.255.255.255, 172.16.0.0->172.31.255.255, 192.168.0.0->192.168.255.255)
    As-tu des règles DNAT activées dans la box ? (plus connues sous le nom de redirection/forward de ports)
    As-tu mis ton PC en DMZ ? on fait souvent ça pour accélérer les téléchargement P2P/torrent (je n'incite pas au piratage, c'est illégal selon l'utilisation qu'on a de ces protocoles, comme des autres d'ailleurs)
    Si l'attaque vient d'Internet, le hacker qui te flood te voie par ton adresse publique, donc, c'est ta box qui devrait se prendre le flood, et pas une machine du LAN. Mais si tu as mis ton PC accessible en DMZ, ou, des règles de forward de port actives, ça expliquerait que ce soit lui qui soit touché
    Évidemment, ce raisonnement n'est valable qu'en IPv4.

    Tu as Internet en IPv4 ou IPv6 ?

    Pour info, les hackers préfèrent le flood UDP car c'est moins haut dans le modèle OSI, donc, ça se voit moins dans les logs
    Pour le flood dans les couches plus hautes, ça se voit plus dans les logs, mais la machine est encore plus ralentie car elle a plus de travail d'encapsulation/désencapsulation
    Encore une fois, concernant le piratage, ces infos sont connues et sont données un peu partout sur des sites servant à tester sa sécurité informatique

    Essaye de redémarrer ta box pour obtenir une nouvelle adresse (si tu n'est pas en IP statique chez l'opérateur). Ainsi, le hacker ne te verra plus

    Si ça vient du LAN :

    Alors, c'est facile à identifier, tu peux le savoir avec l'adresse IP source privée
    Aussi, utilise la recherche OUI (voir plus haut) pour connaître la marque du matériel qui te flood, ce sera une piste en plus.
    Si tu ne le reconnais pas, change ta clé WPA, on ne sais jamais, ton LAN est peut être plus étendu que tu ne le penses...

    A+
    Maximator c'est comme Actimel : ça agit à l'intérieur et ça se voit à l'extérieur

  14. #13
    Firkhorme

    Re : Tentative d'intrusion

    Citation Envoyé par quentin08 Voir le message
    Bonjour,



    C'est déjà une bonne piste
    Avec l'adresse MAC, tu peut faire une recherche OUI :
    http://www.frameip.com/ethernet-oui-...quete-code.php
    Ça te donnera le constructeur de la carte réseau qui te flood UDP (atheros, linksys, dlink ...)

    Une petite info importante : Si l'attaque ne vient pas de ton LAN, l'adresse MAC source visible sera celle de l'interface coté privé de ta box, car comme dit plus haut, ARP n'est pas routable, c'est pour cette raison que l'on ne peut pas connaitre l'adresse MAC d'une carte réseau située de l'autre coté d'un routeur

    Regarde aussi l'adresse IP source de ce qui te flood
    L'adresse IP vient-elle de ton LAN ou d'Internet ?

    Pour le cas où ça vient d'Internet : (adresse IP source en dehors des plages 10.0.0.0->10.255.255.255, 172.16.0.0->172.31.255.255, 192.168.0.0->192.168.255.255)
    As-tu des règles DNAT activées dans la box ? (plus connues sous le nom de redirection/forward de ports)
    As-tu mis ton PC en DMZ ? on fait souvent ça pour accélérer les téléchargement P2P/torrent (je n'incite pas au piratage, c'est illégal selon l'utilisation qu'on a de ces protocoles, comme des autres d'ailleurs)
    Si l'attaque vient d'Internet, le hacker qui te flood te voie par ton adresse publique, donc, c'est ta box qui devrait se prendre le flood, et pas une machine du LAN. Mais si tu as mis ton PC accessible en DMZ, ou, des règles de forward de port actives, ça expliquerait que ce soit lui qui soit touché
    Évidemment, ce raisonnement n'est valable qu'en IPv4.

    Tu as Internet en IPv4 ou IPv6 ?

    Pour info, les hackers préfèrent le flood UDP car c'est moins haut dans le modèle OSI, donc, ça se voit moins dans les logs
    Pour le flood dans les couches plus hautes, ça se voit plus dans les logs, mais la machine est encore plus ralentie car elle a plus de travail d'encapsulation/désencapsulation
    Encore une fois, concernant le piratage, ces infos sont connues et sont données un peu partout sur des sites servant à tester sa sécurité informatique

    Essaye de redémarrer ta box pour obtenir une nouvelle adresse (si tu n'est pas en IP statique chez l'opérateur). Ainsi, le hacker ne te verra plus

    Si ça vient du LAN :

    Alors, c'est facile à identifier, tu peux le savoir avec l'adresse IP source privée
    Aussi, utilise la recherche OUI (voir plus haut) pour connaître la marque du matériel qui te flood, ce sera une piste en plus.
    Si tu ne le reconnais pas, change ta clé WPA, on ne sais jamais, ton LAN est peut être plus étendu que tu ne le penses...

    A+
    Désolé de l'attente mais j'étais fort occupé avec autre chose .
    Bref !

    Merci pour les quelques notions , cependant j'aimerais savoir comme voir si on est en DMZ et si les règles DNAT sont activées ( Pour le DNAT c'est mit sur la console du routeur mais le reste i don't know ) .

    J'ai déjà reboot la box et ca a reprit de plus belle x) idem pour la clé .
    Je ferai tout tes tests vendredi soir ( fort occupé ) .

    Bonne journée

  15. #14
    quentin08

    Re : Tentative d'intrusion

    Salut,

    Pour voir si tu est en DMZ, il faut fouiller dans les paramètres sur ta box, il y a une option "DMZ" où tu peux entrer une adresse IP. C'est bien de le laisser désactivé à moins de vraiment savoir ce que tu fais car le PC en DMZ est complètement exposé à Internet. C'est dangereux.

    Pour les règles DNAT, souvent dans les box, c'est appelé "redirection de port", "port forwarding".
    Ça se présente souvent de cette façon : on entre un port et un protocole en entrée sur l'interface WAN, et on le redirige vers une IP et un autre port sur le LAN
    Exemple : TCP 8080 -> Redirigé vers 172.20.0.1 port 80

    A+
    Maximator c'est comme Actimel : ça agit à l'intérieur et ça se voit à l'extérieur

Discussions similaires

  1. Intrusion ???
    Par jameswell dans le forum Internet - Réseau - Sécurité générale
    Réponses: 1
    Dernier message: 19/12/2012, 17h52
  2. Intrusion
    Par sasou88 dans le forum Sécurité et malwares : désinfectez votre machine
    Réponses: 0
    Dernier message: 09/05/2011, 02h39
  3. intrusion msn
    Par jadevir dans le forum Sécurité et malwares : désinfectez votre machine
    Réponses: 3
    Dernier message: 02/04/2009, 17h01
  4. Intrusion
    Par Tropique dans le forum Internet - Réseau - Sécurité générale
    Réponses: 5
    Dernier message: 14/09/2006, 16h19
Découvrez nos comparatifs produits sur l'informatique et les technologies.