Salut,
Depuis ce matin gros problèmes sur mon réseau.
Configuration : Ipcop 1.4.10
Pas d'adons
Free non dégroupé
toutes mes machines sur Green (fedora/ubuntu/xp) sont configurées en dhcp. Mon Ipcop fait office de serveur DNS (Normal) Au bout de quelques minutes les paramètres DNS de mes machines cliente sont modifiés :
192.168.0.100 (IP de la patte Green) en 192.168.0.173
[RESOLU]Modofication DNS
Modérateur: modos Ixus
11 messages
• Page 1 sur 1
[RESOLU]Modofication DNS
par Stirner » 26 Fév 2007 18:15
Dernière édition par Stirner le 27 Fév 2007 14:15, édité 1 fois au total.
Sur la boîte était indiqué : compatible windows 98, Win 2000, Win XP ou mieux... j'ai installé Linux
-
Stirner - Vice-Amiral
- Messages: 777
- Inscrit le: 06 Jan 2006 07:45
- Localisation: Calva...Dos...
par fred-info » 26 Fév 2007 18:47
Salut,
j'ai pas bien compris si c'était les machines qui changeaient d'ip ou la patte verte de l'ipcop (ce qui serait beaucoup plus dur).
Pour tester ce que te dis tomtom coupe le service dhcp sur ton serveur et va sur une machine renouveler le bail, tu verras bien ce qui se passe.
A+
j'ai pas bien compris si c'était les machines qui changeaient d'ip ou la patte verte de l'ipcop (ce qui serait beaucoup plus dur).
Pour tester ce que te dis tomtom coupe le service dhcp sur ton serveur et va sur une machine renouveler le bail, tu verras bien ce qui se passe.
A+
- fred-info
- Lieutenant de vaisseau
- Messages: 200
- Inscrit le: 04 Oct 2006 14:57
par Stirner » 26 Fév 2007 18:47
Salut,
Merci tomtom de ta réponse. Ipcop fait DHCP sur le lan mais le problème et qu'il ny'a aucune machine sur mon LAN avec L'IP 192.168.0.173 et de plus les entrés ARP indique un @ mac incomplète ... Malgrés tous ca sans l'attaque à plein nez.
Merci tomtom de ta réponse. Ipcop fait DHCP sur le lan mais le problème et qu'il ny'a aucune machine sur mon LAN avec L'IP 192.168.0.173 et de plus les entrés ARP indique un @ mac incomplète ... Malgrés tous ca sans l'attaque à plein nez.
Sur la boîte était indiqué : compatible windows 98, Win 2000, Win XP ou mieux... j'ai installé Linux
-
Stirner - Vice-Amiral
- Messages: 777
- Inscrit le: 06 Jan 2006 07:45
- Localisation: Calva...Dos...
par Stirner » 26 Fév 2007 19:54
Re:
bon à priori vérole nver avec attaque sur le port 135. Fais chi*z µJe pensé pas qu'on trouvé ces $%#&! sous nux. Installe antivirus et scan des machines.
@+ pour la suite
bon à priori vérole nver avec attaque sur le port 135. Fais chi*z µJe pensé pas qu'on trouvé ces $%#&! sous nux. Installe antivirus et scan des machines.
@+ pour la suite
Sur la boîte était indiqué : compatible windows 98, Win 2000, Win XP ou mieux... j'ai installé Linux
-
Stirner - Vice-Amiral
- Messages: 777
- Inscrit le: 06 Jan 2006 07:45
- Localisation: Calva...Dos...
par fred-info » 26 Fév 2007 20:00
Salut,
désolé j'avais mal lu.
Donc la valeur du champ dns distribué par dhcp passe de 100 à 173. Tu as raison de t'inquiéter c'est plus que curieux.
Ce qui me parait le plus curieux c'est
Je ne connais pas de 'produits' qui annulent les baux dhcp.
Sur un XP essaye :
ipconfig /release
ipconfig /renew
ipconfig /all
et si tu as les moyens de sniffer, lance le sniffer avant.
En tout cas c'est plus bizarre. Je suis impatient d'en connaitre la raison.
A+
désolé j'avais mal lu.
Donc la valeur du champ dns distribué par dhcp passe de 100 à 173. Tu as raison de t'inquiéter c'est plus que curieux.
Ce qui me parait le plus curieux c'est
ce qui indiquerait qu'il y a eu relachement du bail puis renouvelement...Etrange.Au bout de quelques minutes
Je ne connais pas de 'produits' qui annulent les baux dhcp.
Sur un XP essaye :
ipconfig /release
ipconfig /renew
ipconfig /all
et si tu as les moyens de sniffer, lance le sniffer avant.
En tout cas c'est plus bizarre. Je suis impatient d'en connaitre la raison.
A+
- fred-info
- Lieutenant de vaisseau
- Messages: 200
- Inscrit le: 04 Oct 2006 14:57
par tomtom » 26 Fév 2007 20:44
les machines peuvent tout simplement etre infectées et changer leur conf dns sans renouveler leur ip !
Sinon, une machine infectée ou autres peut avoir un serveur dhcp activé et envoyer des renouvellements "sauvages" ou simplement repondre à des demandes de renouvellement...
t.
Sinon, une machine infectée ou autres peut avoir un serveur dhcp activé et envoyer des renouvellements "sauvages" ou simplement repondre à des demandes de renouvellement...
t.
One hundred thousand lemmings can't be wrong...
-
tomtom - Amiral
- Messages: 6035
- Inscrit le: 26 Avr 2002 00:00
- Localisation: Paris
par Stirner » 26 Fév 2007 22:02
tomtom a écrit:les machines peuvent tout simplement etre infectées et changer leur conf dns sans renouveler leur ip !
Sinon, une machine infectée ou autres peut avoir un serveur dhcp activé et envoyer des renouvellements "sauvages" ou simplement repondre à des demandes de renouvellement...
t.
C'est exactement ça et c'est vraiment usant. Cette salo*pe*rie réactive même les connexion désactivées.
Sur la boîte était indiqué : compatible windows 98, Win 2000, Win XP ou mieux... j'ai installé Linux
-
Stirner - Vice-Amiral
- Messages: 777
- Inscrit le: 06 Jan 2006 07:45
- Localisation: Calva...Dos...
par Stirner » 27 Fév 2007 14:42
Salut,
Comment dire, je pense qu'avec le temps j'ais du viré parano. Résultat Scan des machines audit réseau : RAS une nuit à creuser dans tous les sens impossible mettre la main sur la sollution.
En despoir de cause réinstallation de mom Ipcop, Isolement du réseau de toutes les machines et pour finir une réinstallation complète d'Ubuntu sur mon portable et la au miracle, le problème est toujours présent...](./images/smilies/eusa_wall.gif "Brick wall")
.
De desespoir, alors que j'envisager de mettre le feu à mon atelier, de démonter mon armoire et de refourguer tous mes racks chez le ferrailleur une lueur m'est apparue (pour de vrais) . Une petite lueur verte, là, en haut de mon étagère, ou s'accumulent d'ordinaire nape IDE disque SCSI et autre 486 DX2 66. Je m'approche méfiant, intrigué par ce hallo émanent de je ne sais quel élément de marchandise dure (là c'est un peu lourd) qui hante mon antre pour y découvrir cette p*tain de Fonera que j'avais posé la branché l'avant-veille au soir toujours réliée au 220 par son cordon onbilical. Et la dans mon esprit encore brouillé, aprés avoir oté tous soufle de vie à l'infame (la fonéra) je monte les escaliers quatre à quatre desactive le wifi du portable renouvelle son IP (ethernet) rallume un à un tous mes postes et depuis nickel ça tourne.
Trève de long discour, en revanche je serais currieux de savoir comment par le biais de la connection wifi de mon portable la modification du dns de mon réseau à pu ce propager à tous mon réseau ??
@+
Comment dire, je pense qu'avec le temps j'ais du viré parano. Résultat Scan des machines audit réseau : RAS une nuit à creuser dans tous les sens impossible mettre la main sur la sollution.
En despoir de cause réinstallation de mom Ipcop, Isolement du réseau de toutes les machines et pour finir une réinstallation complète d'Ubuntu sur mon portable et la au miracle, le problème est toujours présent...
.
De desespoir, alors que j'envisager de mettre le feu à mon atelier, de démonter mon armoire et de refourguer tous mes racks chez le ferrailleur une lueur m'est apparue (pour de vrais) . Une petite lueur verte, là, en haut de mon étagère, ou s'accumulent d'ordinaire nape IDE disque SCSI et autre 486 DX2 66. Je m'approche méfiant, intrigué par ce hallo émanent de je ne sais quel élément de marchandise dure (là c'est un peu lourd) qui hante mon antre pour y découvrir cette p*tain de Fonera que j'avais posé la branché l'avant-veille au soir toujours réliée au 220 par son cordon onbilical. Et la dans mon esprit encore brouillé, aprés avoir oté tous soufle de vie à l'infame (la fonéra) je monte les escaliers quatre à quatre desactive le wifi du portable renouvelle son IP (ethernet) rallume un à un tous mes postes et depuis nickel ça tourne.
Trève de long discour, en revanche je serais currieux de savoir comment par le biais de la connection wifi de mon portable la modification du dns de mon réseau à pu ce propager à tous mon réseau ??
@+
Sur la boîte était indiqué : compatible windows 98, Win 2000, Win XP ou mieux... j'ai installé Linux
-
Stirner - Vice-Amiral
- Messages: 777
- Inscrit le: 06 Jan 2006 07:45
- Localisation: Calva...Dos...
par Stirner » 27 Fév 2007 16:41
Salut,
Je peux sans problème concevoir cela si la fonera était encore relier à mon réseau. Mais la en l'occurrence elle était juste sous tention sans aucun lien physique avec le reste de mon réseau si ce n'est avec mon portable qui tourne sous Ubuntu. Ce qui revient à dire que la fonera modifiait les parametres DNS de mon portable et d'autre poste du réseau en utilisant le dit portable comme relais via ca connection Wifi non configuré. Fort.
@+
Je peux sans problème concevoir cela si la fonera était encore relier à mon réseau. Mais la en l'occurrence elle était juste sous tention sans aucun lien physique avec le reste de mon réseau si ce n'est avec mon portable qui tourne sous Ubuntu. Ce qui revient à dire que la fonera modifiait les parametres DNS de mon portable et d'autre poste du réseau en utilisant le dit portable comme relais via ca connection Wifi non configuré. Fort.
@+
Sur la boîte était indiqué : compatible windows 98, Win 2000, Win XP ou mieux... j'ai installé Linux
-
Stirner - Vice-Amiral
- Messages: 777
- Inscrit le: 06 Jan 2006 07:45
- Localisation: Calva...Dos...
11 messages
• Page 1 sur 1
Retour vers Sécurité et réseaux
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)