Je rencontre un problème sur mon réseau d’entreprise que j’ai du mal à analyser.
Via Wireshark, sur n’importe lequel de mes dizaines de serveur, je constate des flood de réponse ARP (voir la capture) ci dessous. Ces réponse ARP ne sont destinées ni en emission, ni en réception, à la machine sur laquelle je sniffe le réseau. Pire que ça, ces réponses se comptabilisent sur un espace de qq secondes, à coup de milliers de paquets.
Ci joint une capture pour vous aider à comprendre. Merci de votre aide !
Sur la capture je vois donc depuis une machine que s’appelle TSE-7 que la machine s-lnxxx répond à la machine s-erxxx “10.2.1.58 is at …”
Ce paquet est balancé plusieurs milliers de fois en un bloc. A chaque fois que ce flood ce produit, j’ai un gros pic de charge réseau (voir la courbe à coté)
Je ne serai pas contre un début de piste sur le pourquoi des questions suivantes :
Pourquoi d’une machine C je reçois des REPONSES de requêtes ARP d’une machine A répondant à une demande de B
et
Pourquoi je reçois ces réponses par flot de 1000,2000,5000 paquets
ha oui c’est vrai, moi en fait je me serai pas posé de question , tu flood, je t’éteins ^^
tu sais ou se trouve la machine physiquement ?
en plus ce qui est bizarre c’est que tes switch ne devraiemnt pas laisser partir ce type de trames sur tout les ports.
un switch est censé envoyer les trames sur les port sur lequel l’adresse mac de destination est présente.
sauf si ton switch est saturé! c’est d’ailleur le principe de l’attaque par buffer overflow me semble t’il.
saturer le switch afin qu’il se comporte comme un hub et que tout le monde voit tout ce qui transite.
enfin la j’avance des choses sans meme que tu m’ai parlé de ce que tu as derrière , bref remonte jusqu’ à la machine et commence par l’éteindre.
une raison qui pourrai expliquer pourquoi il redemande la mac sans arret pour etre la suivante,
une appli tourne dessus et communique avec l’ip indiquée mais le temps attribué pour conserver l’adresse mac en cache est nul donc le pc la demande tout le temps (un gros bug quoi)
remonte jusqu’ a la machine ,elle t’en dira surement plus.
Ce que j’ai peut-être oublié de mentionner, c’est que ce problème se produit avec plusieurs de mes serveurs.
Une dizaine j’ai l’impression.
Ma salle est équipée de plusieurs baies avec à la tête de chacune d’elle des switchs dell 6248.
Je n’ai pas réussi à trouver de corrélation géographique entre les serveurs que j’ai vu envoyer ces blocs de réponses ARP.
Bref, je suis perdu :s
Edité le 09/07/2010 à 23:44
Fais attention, j’en suis pas totalement sur mais il est possible que ce soit une tentative de spoofing ARP.
Je m’explique:
Dans ce genre d’attaque, une machine pirate fait croire à tes serveurs que par exemple, l’@MAC d’un routeur qu’ils utilisent est en fait l’adresse mac du pirate, grâce à de fausses réponses ARP forgées de toute pièce.
Du coup quand les serveurs communiquent avec ce routeur, les trames passent par la machine pirate qui n’a plus qu’a exécuter un analyseur de protocole pour espionner ce qui se passe. (Elle doit être sur le même réseau IP/branchée au même switch)
Sauf que le cache ARP est limité dans le temps (genre 2 minutes il me semble), donc la machine pirate doit envoyer ses réponses ARP falsifiées très régulièrement.
Ce qui expliquerait le flood incessant.
Pour en être sur il faudrait que tu vérifies que l’@MAC de 10.2.1.58 est vraiment 00:1B:21:*9:CD.
Et dans ton intérêt j’espère me tromper!
Edité le 17/07/2010 à 00:13