"flood" arp

madkarl · Juillet 9, 2010, 3:04

Bonjour,

Je rencontre un problème sur mon réseau d’entreprise que j’ai du mal à analyser.

Via Wireshark, sur n’importe lequel de mes dizaines de serveur, je constate des flood de réponse ARP (voir la capture) ci dessous. Ces réponse ARP ne sont destinées ni en emission, ni en réception, à la machine sur laquelle je sniffe le réseau. Pire que ça, ces réponses se comptabilisent sur un espace de qq secondes, à coup de milliers de paquets.

Ci joint une capture pour vous aider à comprendre. Merci de votre aide !

http://www.basketime.net/ARP1.png

madkarl · Juillet 9, 2010, 3:10

Sur la capture je vois donc depuis une machine que s’appelle TSE-7 que la machine s-lnxxx répond à la machine s-erxxx “10.2.1.58 is at …”

Ce paquet est balancé plusieurs milliers de fois en un bloc. A chaque fois que ce flood ce produit, j’ai un gros pic de charge réseau (voir la courbe à coté)

boss50 · Juillet 9, 2010, 5:34

salut, comment peut on t’aider?

tu ne sait pas ce qu’il te reste a faire ? ^^

madkarl · Juillet 9, 2010, 5:42

Je ne serai pas contre un début de piste sur le pourquoi des questions suivantes :

Pourquoi d’une machine C je reçois des REPONSES de requêtes ARP d’une machine A répondant à une demande de B
et
Pourquoi je reçois ces réponses par flot de 1000,2000,5000 paquets

boss50 · Juillet 9, 2010, 6:14

ha oui c’est vrai, moi en fait je me serai pas posé de question , tu flood, je t’éteins ^^

tu sais ou se trouve la machine physiquement ?

en plus ce qui est bizarre c’est que tes switch ne devraiemnt pas laisser partir ce type de trames sur tout les ports.

un switch est censé envoyer les trames sur les port sur lequel l’adresse mac de destination est présente.

sauf si ton switch est saturé! c’est d’ailleur le principe de l’attaque par buffer overflow me semble t’il.

saturer le switch afin qu’il se comporte comme un hub et que tout le monde voit tout ce qui transite.

enfin la j’avance des choses sans meme que tu m’ai parlé de ce que tu as derrière , bref remonte jusqu’ à la machine et commence par l’éteindre.

une raison qui pourrai expliquer pourquoi il redemande la mac sans arret pour etre la suivante,
une appli tourne dessus et communique avec l’ip indiquée mais le temps attribué pour conserver l’adresse mac en cache est nul donc le pc la demande tout le temps (un gros bug quoi)

remonte jusqu’ a la machine ,elle t’en dira surement plus.

madkarl · Juillet 9, 2010, 11:43

Ce que j’ai peut-être oublié de mentionner, c’est que ce problème se produit avec plusieurs de mes serveurs.
Une dizaine j’ai l’impression.

Ma salle est équipée de plusieurs baies avec à la tête de chacune d’elle des switchs dell 6248.
Je n’ai pas réussi à trouver de corrélation géographique entre les serveurs que j’ai vu envoyer ces blocs de réponses ARP.

Bref, je suis perdu :s
Edité le 09/07/2010 à 23:44

boss50 · Juillet 10, 2010, 8:25

C’est a dire que la source de l’arp varie ? il n’y a pas qu’une seule machine qui envoie ca ?

Il y a des mots bien compliqués pour moi lol
Ils ne seraient pas tous sur un meme vlan ?

au pire tu pourrai lui entrer la correspondance mac-ip de l’ip en question en fixe, une entrée arp fixe voir si ils la demandent toujours ^^

madkarl · Juillet 11, 2010, 6:36

La source de la requete varie. J’ai relevé une demi douzaine de sources.

Pas de Vlan en vu pour le moment :s

Rageant, je ne comprends pas…

boss50 · Juillet 12, 2010, 6:45

tu as essayé d’ajouter une entrée arp pour voir si la machine la demande malgrée qu’elle ai une entrée pour cette ip ?

madkarl · Juillet 12, 2010, 9:47

Sur quelle machine ajouter cette entrée ?
Sur la machine à partir de laquelle je snif le paquet et/ou la machine destinataire de la réponse ARP ?

(Pour rappel je vois passer ces blocs de paquets d’une machine n’étant ni émettrice ni réceptrice du paquet)
Edité le 12/07/2010 à 09:48

boss50 · Juillet 12, 2010, 11:09

attention je ne voudrai pas te faire perdre du temps, je ne suis pas expert réseau non plus ^^

si tu dois ajouter l’entrée arp ce serai sur la machine de destination.

et comme je disais plus au si tu n’as qu’une machine par port du switch tu ne devrai pas voir passer ce type de trames…

tu peux voir l’état de charge du switch ?

tu peux consulter la table des mac address du switch sur lequel est connecté le pc qui a fait la capture pour voir si il vois cette mac quelque part ?

tcp_ip · Juillet 16, 2010, 11:58

Salut.

Fais attention, j’en suis pas totalement sur mais il est possible que ce soit une tentative de spoofing ARP.

Je m’explique:

Dans ce genre d’attaque, une machine pirate fait croire à tes serveurs que par exemple, l’@MAC d’un routeur qu’ils utilisent est en fait l’adresse mac du pirate, grâce à de fausses réponses ARP forgées de toute pièce.

Du coup quand les serveurs communiquent avec ce routeur, les trames passent par la machine pirate qui n’a plus qu’a exécuter un analyseur de protocole pour espionner ce qui se passe. (Elle doit être sur le même réseau IP/branchée au même switch)

Sauf que le cache ARP est limité dans le temps (genre 2 minutes il me semble), donc la machine pirate doit envoyer ses réponses ARP falsifiées très régulièrement.

Ce qui expliquerait le flood incessant.

Pour en être sur il faudrait que tu vérifies que l’@MAC de 10.2.1.58 est vraiment 00:1B:21:*9:CD.

Et dans ton intérêt j’espère me tromper!
Edité le 17/07/2010 à 00:13