ip spoofing et mldonkey

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server

Modérateur: modos Ixus

ip spoofing et mldonkey

Messagepar statone » 15 Juil 2006 09:58

Bonjour à tous,
depuis que j'ai installé mldonkey sur sme 7 updatée mon client ip dans paramètres change au profit d'un

serveur auquel je suis connecté ; j'ai mis un masq dans le firewall mais rien n'y fait, l'ip de l'autre prend le

dessus sur la mienne même sans apparaitre dans la liste des serveurs connectés.

Est ce de l'ip spoofing ? et si oui quelle est la méthode pour s'en protéger efficacement ?

Bonne journée à tous
statone
Le moment présent a un avantage sur tous les autres : il nous appartient.

Charles Caleb Colton
Avatar de l’utilisateur
statone
Second Maître
Second Maître
 
Messages: 43
Inscrit le: 17 Avr 2005 13:58
Localisation: Paris

Messagepar Franck78 » 15 Juil 2006 12:40

Hello,


Pour l'instant c'est du rien du tout car ton vocabulaire ne correspond a aucune action précise.

D'abord tu pourrais préciser ce qu'est mldonkey.
Ensuite détailler ce qui change d'après toi (et qui devrais pas)
Un masqu? C'est quoi donc?
L'IP prend prend le dessus? Ah et à quel endroit une IP prend le dessus?

bye
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

ip spoofing et mldonkey

Messagepar statone » 15 Juil 2006 20:51

Cher Franck des yvelines,

tu as raison, je vais formuler autrement mon souci :

ma config : sme 7 rc1 et updatée correctement ;

Entre autres contribs, j'ai installé un client p2p qui s'appelle mldonkey (et que beaucoup connaissent sur le

forum, j'imagine). Récemment, je m'aperçois que mon ip client (de mldonkey) change au profit d'un

serveur auquel je suis connecté pour échanger et je vois également que ma bande passante baisse. J'ai eu affaire avec ce genre d'incident auparavant et j'ai donc installé une contrib bien connue : sme-6.0-masq-manager-0.1-3.noarch.rpm,

il existe dans cette contrib une partie traitant de l'ip spoofing, j'ai donc mis un masque avec une adresse

bidon comme indiqué dans la partie "Anti Spoofing Rules".

Malgré ces précautions (sans doute dérisoires)mon ip continue de changer : faut il que je bloque tous les autres ports que le 4462 ? je ne sais point... si vous avez des idées n'hésitez pas.

J'espère avoir été plus clair cette fois-ci.

@bientôt
statone
Le moment présent a un avantage sur tous les autres : il nous appartient.

Charles Caleb Colton
Avatar de l’utilisateur
statone
Second Maître
Second Maître
 
Messages: 43
Inscrit le: 17 Avr 2005 13:58
Localisation: Paris

Messagepar fraedhrim » 16 Juil 2006 12:32

Salut !

Récemment, je m'aperçois que mon ip client (de mldonkey) change au profit d'un serveur auquel je suis connecté


Perso je ne vois pas du tout ce que tu veux dire par là.
Comment ton IP publique pourrait-elle changer quand tu te connectes à un serveur p2p ? Rien n'a ce pouvoir. Je ne vois pas ce qu'il y aurait à faire avec des règles de NAT ou masquerade. Si tu vois dans le client ton IP changer c'est un bug du client ou du serveur. Rien à voir avec la couche de communication IP.
Enfin bref je vois pas trop le truc là...... :-k

A+
Avatar de l’utilisateur
fraedhrim
Amiral
Amiral
 
Messages: 1264
Inscrit le: 27 Jan 2004 01:00
Localisation: Nantes

Messagepar daoud » 16 Juil 2006 16:25

salut,

j'attendrais que statone eut fini de regler son soucis afin de vous demander des infos sur spoofing ( pour ne pas polluer le thread !)

:wink:
____________________________________
Avatar de l’utilisateur
daoud
Vice-Amiral
Vice-Amiral
 
Messages: 628
Inscrit le: 19 Déc 2004 10:16
Localisation: paris

ip spoofing et mldonkey

Messagepar statone » 16 Juil 2006 23:39

Alors pour la Citation:
Récemment, je m'aperçois que mon ip client (de mldonkey, dans la partie "options") change et me met une autre ip que la mienne, celle d'une machine à laquelle je suis connecté dans ma liste "serveurs" ; je n'ai pas dit que mon ip publique changeait.

Au fait, connaissez-vous mldonkey ? sinon j'essaierai de vous faire parvenir des images ;; comment envoyer des images d'ailleurs sur le forum ?

bien à vous
statone
Le moment présent a un avantage sur tous les autres : il nous appartient.

Charles Caleb Colton
Avatar de l’utilisateur
statone
Second Maître
Second Maître
 
Messages: 43
Inscrit le: 17 Avr 2005 13:58
Localisation: Paris

Messagepar fraedhrim » 17 Juil 2006 08:59

Salut !

Utilise la balise IMG.
Par contre je ne suis pas sur que ça soit un problème SME ce que tu décris...

A+
Avatar de l’utilisateur
fraedhrim
Amiral
Amiral
 
Messages: 1264
Inscrit le: 27 Jan 2004 01:00
Localisation: Nantes

Messagepar neodam » 17 Juil 2006 09:25

en gros ce que le monsieur explique et voudrais savoir pourquoi ça fait ça c'est que :

il connecte son client ML donkey au serveur AAA.BBB.CCC.DDD:4462
et que quand il va voir dans ses options du client ML donkey il a WWW.XXX.YYY.ZZZ:4462

alors il est pas content. il comprend pas pourquoi et il aimerait bien savoir ce qui se passe.



si je compare a mumule, je dirais simplement que le serveur en AAA.... est soit indisponible soit apres la connexion il a été déconnecté pr une raison s ou y alors le client ML Donkey relance une connexion automatique vers un autre serveur surement contenu dans une liste.
Du coup il se connecte au serveur WWW.XXX....

voila.

Je ne vois la dedans rien d'anormal et d'alarmant, au contraire cela permet a ML donkey de conserver une connexion active et de ne pas tourner "a vide"...
Maintenant si c'est pas ça, ben, je vois pas non plus alors.
neodam
Enseigne de vaisseau
Enseigne de vaisseau
 
Messages: 176
Inscrit le: 11 Mai 2006 03:40
Localisation: France, 35, Rennes

ip spoofing et mldonkey

Messagepar statone » 17 Juil 2006 12:43

tout d'abord, merci de vos réponses.

Neodam a parfaitement résumé la situation, il suffit de connaître bien sur mldonkey et son fonctionnement.
En effet, dans l'interface web de mldonkey, il y a un onglet "parametres" ou options qui permet de définir certains critères et de paramétrer le clt.

"il connecte son client ML donkey au serveur AAA.BBB.CCC.DDD:4462
et que quand il va voir dans ses options du client ML donkey il a WWW.XXX.YYY.ZZZ:4462"

Oui mais à la différence près (qu'auparavant sur sme 6) je n'avais pas ce genre de chose et mldonkey fonctionnait très bien. Dans les options de mon clt mldonkey, mon ip X.X.X.X ne changeait pas et même si je mettais une autre valeur que la mienne, le clt se réinitialisait et me remettait mon ip.

Le pb ici c'est que mon ip s'efface au profit d'une machine à laquelle je suis connecté et qui n'utilise pas le port "conventionnel" 4462 mais des ports de 5000 à 10000 et j'en passe...

Ce qui m'importe, c'est qu'une machine n'utilise pas la mienne pour faire des $%#&! sous couvert d'anonymat ou bien me parasite ma ligne en faisant fondre ma bande passante !

J'espère avoir été clair.

MErci de vos conseils

statone
Le moment présent a un avantage sur tous les autres : il nous appartient.

Charles Caleb Colton
Avatar de l’utilisateur
statone
Second Maître
Second Maître
 
Messages: 43
Inscrit le: 17 Avr 2005 13:58
Localisation: Paris

Messagepar daoud » 17 Juil 2006 15:18

Voila je pense que la discussion doit-etre fini sur le probleme de statone !

Qui peut me renseigner sur le " système proposée " du spoofing via masq-manager ?
En effet cherchant un peu sur notre ami Gougeule , cela releve de pirates qui scannent vos ports pour des intrusions ou autres...

via les Icmp Rules multiplent proposés quels sont les differentes solutions proposées et surtout si l'on pouvait me traduire ce que ca veut dire et faire ? :? :?

    echo-reply--------------->ACCEPT / DROP / QUEUE / RETURN :?:
    echo-request
    destination-unreachable
    source-quench
    redirect
    router-advertisement
    router-solicitation
    time-exceeded
    parameter-problem
    timestamp-request
    timestamp-reply
    address-mask-request
    address-mask-reply







merci aux adeptes :wink: :roll:
____________________________________
Avatar de l’utilisateur
daoud
Vice-Amiral
Vice-Amiral
 
Messages: 628
Inscrit le: 19 Déc 2004 10:16
Localisation: paris

Messagepar fraedhrim » 17 Juil 2006 20:06

Daoud, je ne pense pas que la discussion soit finie en fait...
:?

Statone, je ne pense pas que ton pb soit lié à SME. Ca m'a l'air d'être lié au logiciel.
Et je ne vois toujours pas le truc. Peux-tu faire un screenshot ?

Pour le danger potentiel le spoofing ne marche pas comme ça. Ce n'est d'ailleurs pas le principe que tu évoques. Il s'agirait plutôt d'agir comme un proxy. Ce n'est pas du spoofing c'est carrément de la backdoor. Es-tu sur de ta version de mldonkey ? N'a-t-elle pas été repackagée par un malhonnète ?

Quel client mldonkey utilises-tu (enfin comme GUI plutôt) ?

A+
Avatar de l’utilisateur
fraedhrim
Amiral
Amiral
 
Messages: 1264
Inscrit le: 27 Jan 2004 01:00
Localisation: Nantes

Messagepar statone » 18 Juil 2006 12:16

fraedhrim a écrit:Daoud, je ne pense pas que la discussion soit finie en fait...
:?

Statone, je ne pense pas que ton pb soit lié à SME. Ca m'a l'air d'être lié au logiciel.
Et je ne vois toujours pas le truc. Peux-tu faire un screenshot ?

Pour le danger potentiel le spoofing ne marche pas comme ça. Ce n'est d'ailleurs pas le principe que tu évoques. Il s'agirait plutôt d'agir comme un proxy. Ce n'est pas du spoofing c'est carrément de la backdoor. Es-tu sur de ta version de mldonkey ? N'a-t-elle pas été repackagée par un malhonnète ?

Quel client mldonkey utilises-tu (enfin comme GUI plutôt) ?

A+


En effet, ça ne fait que commencer.

Je ne veux pas être aussi affirmatif que toi : il existe bien un lien entre mldonkey et sme puisqu'il est installé.
Rappel de l'ip spoofing :
L'IP spoofing se base sur une usurpation d'adresse IP. L'IP spoofing est utilisé lorsque deux hôtes sont en relation de confiance grâce à leurs adresses IP, c'est-à-dire que la seule authentification faite au niveau du serveur consiste en une vérification de l'adresse IP du client.

Ca à l'air de coller à mon pb, non ?

Ecrans : (j'ai mis une ip bidon bien entendu)
Image
Mon pb :

De temps à autres, l'ip de 80.239.200.99:3000 prend la place de l'ip qui doit normalement figurer dans la case ip client plus haut Image
Le moment présent a un avantage sur tous les autres : il nous appartient.

Charles Caleb Colton
Avatar de l’utilisateur
statone
Second Maître
Second Maître
 
Messages: 43
Inscrit le: 17 Avr 2005 13:58
Localisation: Paris

Messagepar fraedhrim » 18 Juil 2006 17:56

Pour moi le spoofing c'est quand quelqu'un se fait passer pour toi en utilisant ton identité.
Au niveau réseau ça peut être de l'IP spoofing. C'est à dire que quelqu'un utilise ton IP.
Là ce serait plutôt toi qui récupère l'IP de quelqu'un d'autre. Enfin si on se fie à l'interface web.
Dans les faits ce n'est pas trop possible. D'abord parce que je ne vois pas comment cela se ferait au niveau de la SME et ensuite parce que je doute que ton accès Internet fonctionnerait avec une IP qui ne correspond pas à ton FAI.

Donc au pire quelqu'un passe par chez toi pour faire des choses. Mais même là je ne vois pas trop pourquoi tu verrais son IP dans ton client MLD. Et il faudrait pour ça que tu ais du code malicieux installé sur ton serveur qui permettrait à quelqu'un d'aller sur Internet en rebondissant chez toi.

D'où ma question sur l'origine de ton logiciel mldonkey et de ta GUI. N'y a aurait-il pas un petit rootkit ou un troyen là-dedans ?

Est-ce les mêmes versions que sur ton install précédente.

Honnètement ça fait plus bug d'affichage qu'autrechose. Parce que niveau fonctionnement IP je ne vois pas trop ce que ça pourrait donner. A part que tu n'aurais plus accès à Internet à cause de cette IP non valide.

Si tu fais un ifconfig quand tu vois cette IP qui n'est pas la tienne dans ton soft ça donne quoi ?

A+
Avatar de l’utilisateur
fraedhrim
Amiral
Amiral
 
Messages: 1264
Inscrit le: 27 Jan 2004 01:00
Localisation: Nantes

Messagepar statone » 18 Juil 2006 21:23

fraedhrim a écrit:Pour moi le spoofing c'est quand quelqu'un se fait passer pour toi en utilisant ton identité.
Au niveau réseau ça peut être de l'IP spoofing. C'est à dire que quelqu'un utilise ton IP.
Là ce serait plutôt toi qui récupère l'IP de quelqu'un d'autre. Enfin si on se fie à l'interface web.
Dans les faits ce n'est pas trop possible. D'abord parce que je ne vois pas comment cela se ferait au niveau de la SME et ensuite parce que je doute que ton accès Internet fonctionnerait avec une IP qui ne correspond pas à ton FAI.

D'accord

Donc au pire quelqu'un passe par chez toi pour faire des choses. Mais même là je ne vois pas trop pourquoi tu verrais son IP dans ton client MLD. Et il faudrait pour ça que tu ais du code malicieux installé sur ton serveur qui permettrait à quelqu'un d'aller sur Internet en rebondissant chez toi.

D'où ma question sur l'origine de ton logiciel mldonkey et de ta GUI. N'y a aurait-il pas un petit rootkit ou un troyen là-dedans ? voir plus bas...

Est-ce les mêmes versions que sur ton install précédente. non c'était celle pour sme 6

Honnètement ça fait plus bug d'affichage qu'autrechose. Parce que niveau fonctionnement IP je ne vois pas trop ce que ça pourrait donner. A part que tu n'aurais plus accès à Internet à cause de cette IP non valide.

Si tu fais un ifconfig quand tu vois cette IP qui n'est pas la tienne dans ton soft ça donne quoi ?

A+

voici la version : trouvée sur : http://perso.orange.fr/passionelectro/mldonkey.html
Buildinfo:
MLNet Multi-Network p2p client version 2.7.3
Networks: Global Shares Gnutella G2 Fasttrack FileTP BitTorrent Donkey
Ocaml version: 3.09.1
Build on: Linux i686 2.6.9-22.0.2.EL (little endian) with glibc 2.3.4
Features: threads zlib-1.2.1.2 no-bzip2 no-gd iconv no-check-bounds
Le moment présent a un avantage sur tous les autres : il nous appartient.

Charles Caleb Colton
Avatar de l’utilisateur
statone
Second Maître
Second Maître
 
Messages: 43
Inscrit le: 17 Avr 2005 13:58
Localisation: Paris

ip spoofing et mldonkey

Messagepar statone » 20 Juil 2006 10:39

CE QUE JE CRAIGNAIS EST ARRIVE ... ! MON SME EST DOWN !!!! PB réseau
Je récapitule ma config : sme 7 updatee sans pb
contribs installées :
- sme admin
- masq manager (dans options du firewall, j'ai mis un masq avec une ip comme indiqué et bloqué l'icmp)
- sarg
jusque là tout allait bien hormis mon pb avec mldonkey

contribs installées hier
- danguardian
- awstats
- snort + oinkmaster + guardian + base

J'upgrade et je reboote et .... GROS PB !!! Exactement le même qui m'était arrivé il y a 2 mois et dont j'avais parlé sur le forum.
Au redémarrage du pc (flambant neuf et sans pb hardware) :
- démarrage des services et invite de cmd
- quelques sec + tard message récurrent :
------------------------------------------------------------------------------
ICMP ping xNIX
Classification : Misc activity priority 3
07/20/08 10:06 453550 Mon ip ==> 66.249.25.21
ICMP TTL :64 TOS 0X0 ID :50858 IPLEN: dymlen :88
TYPE CODE 13 DESTINATION UNREACHABLE : ADMINISTRATIVELY PROHIBITED
-----------------------------------------------------------------------------------
ICMP ping xNIX
Classification : Misc activity priority 3
07/20/08 10:06 453550 Mon ip ==> 89.65.22.154
ICMP TTL :64 TOS 0X0 ID :50858 IPLEN: dymlen :88
TYPE CODE 13 DESTINATION UNREACHABLE : ADMINISTRATIVELY PROHIBITED
-----------------------------------------------------------------------------------
ICMP ping xNIX
Classification : Misc activity priority 3
07/20/08 10:06 453550 66.249.25.21 ==> Mon ip
ICMP TTL :64 TOS 0X0 ID :50858 IPLEN: dymlen :88
TYPE CODE 13 DESTINATION UNREACHABLE : ADMINISTRATIVELY PROHIBITED
-------------------------------------------------------------------------
Voilà, et le message se répète indéfiniment. j'ai du tout retranscrire sur papier à la main.
d'un autre pc, je n'ai plus de réseau, rien.
que dois-je faire ???
PLEASE AIDEZ MOI
Dernière édition par statone le 20 Juil 2006 11:37, édité 2 fois au total.
Le moment présent a un avantage sur tous les autres : il nous appartient.

Charles Caleb Colton
Avatar de l’utilisateur
statone
Second Maître
Second Maître
 
Messages: 43
Inscrit le: 17 Avr 2005 13:58
Localisation: Paris

Suivant

Retour vers E-Smith / SME Server

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité