Une adresse IP très improbable...

[orange_smell]

Salut, <BR> <BR>Voilà un p'tit truc que l'on ne vois pas tous les jours. <BR> <BR>Au sein de mon réseau d'entreprise (environ 15000 postes tout de même), une machine a essayé d'ouvrir l'affichage X Display (port 6000) sur un de mes serveurs. Le log sur la machine, me donne son adresse IP: <BR> <BR>10.-96.9.87 <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif"> <IMG SRC="images/smiles/icon_confused.gif"> <BR> <BR>Non, ce n'est pas une faute de frappe, y'a bien un signe moins. <BR> <BR>Ca ne m'inquiete pas trop car le serveur l'a stoppé directement, mais bon, je ne comprends pas comment il est possible d'avoir ce resultat. <BR> <BR>Dans l'ip elle même, il est impossible de stocker un signe, et le module de log est largement validé. Bref, c'est juste très bizarre. <BR> <BR>Si quelqu'un a une idée sur comment cela est possible, je suis preneur. <BR> <BR>

[jdh]

Une adresse ip (v4) est codée sur 4 octets. <BR> <BR>Elle est généralement notée "chaque octet séparé par un point". <BR> <BR>Par exemple 192.168.1.55 -> octet 1 : 192; octet 2: 168; ... <BR> <BR>On peut aussi la noter par un nombre selon la formule : <BR> <BR>ip = ((oct1 *256 + oct2)*256 + oct3)*256 + oct4 <BR> <BR>Par exemple 3232235831 = ((<!-- BBCode Start --><B>192</B><!-- BBCode End -->*256+<!-- BBCode Start --><B>168</B><!-- BBCode End -->)*256+<!-- BBCode Start --><B>1</B><!-- BBCode End -->)*256+<!-- BBCode Start --><B>55</B><!-- BBCode End --> <BR> <BR>Voir un octet négatif est surprenant !! Mais que peux-t-on noter avec un octet : <BR> <BR>- 1 octet = 1 entier (positif) de 0 à 255 <BR>- 1 octet = 1 entier signé de -128 à 127 <BR> <BR>Il est probable que -96 correspondent à 160 (en codage dit "complément à 2"). <BR> <BR>Maintenant ce réseau (10.160.x.x) est-il accessible à la machine ? <BR>

[Jllc]

Et elle apparaissait où cette adresse IP ? Elle venait du paquet IP (donc système mal foutu quelque part) ou par exemple d'un paquet http ou ftp ? Dans le deuxième cas, c'est juste un utilisateur qui a mal tapé.

[orange_smell]

jdh, je sais tout ca sur l'adressage IP, mais, que ce soit 160 ou -96, elle devrait toujours apparaitre comme 160. Cela dit, juste une petite correction, sur un octet, on ne peut pas stocker -128 (ca va de -127 à +127), enfin, je crois. <BR> <BR>Jllc, cette adresse est apparue dans les access logs et aussi dans mon sniffer... Bref, c'est vraiment étonnant, car je ne vois même pas comment c'est possible. <BR> <BR>

[Jllc]

Un petit copié/collé de la ligne de log pourrait peut-être aider ? <BR> <BR>A part ça, ça peut corespondre à una adresse Ip réelle (si on corrige la faute) ? A moins que ça ne vienne de l'extérieur ?

[nono-marie]

ben c'est pas qq'un qui a fait une faute de frappe en saisissant le host !!?? <BR> <BR>si ce sont des logs d'un proxy il va pas chercher midi a 14h il marque ce qu'on lui a envoyé donc par exemple qq'un tape cette adresse dans son browser (dans le cas de log de proxy) et dans les logs tu as l'adresse qu'il a tapé. <BR> <BR>T'as pas tester en te mettant sur une machine de ton rezo ??? <BR> <BR>Et l'IP 10.96.x.x existe ??? <BR> <BR>et avec le sniffer t'as po l'adresse MAC source !!! tu peux verifier d'ou ca vient !!! <BR> <BR>t'as plein de moyen de voir d'ou ca vient et comment c arrivé !! <BR> <BR>Personnellement ca me choque po du tout !!! <BR> <BR> <IMG SRC="images/smiles/icon_rolleyes.gif">

[orange_smell]

bon, je viens de trouver, et ca me calme pas mal... <BR> <BR>J'ai chercher par adresse mac, puis en remontant les traces de cette adresse dans mes routeurs jusqu'au PC fautif. Et ce pc à pour nom réseau: <BR> <BR>10.-96.9.87 <BR> <BR>Au début, ca m'a surpris, mais je viens de vérifier, et c'est faisable. Comme il est dans les DNS, la résolution ne m'a pas donné son IP mais son nom. <BR> <BR>J'en suis encore à me demander ce que l'on peut en tirer, mais je suis à peu près sur que, mal utilisé (ou bien, ca depend des vues), ca peut être assez puissant. <BR> <BR>A voir... Qu'en disent les experts ???

[Jllc]

Je ne sais pas pour les experts, mais moi, je me ferais avoir ... Surtout si le nom de la machine ressemble à une adresse IP bien formée.

[mozo]

Je ne suis pas "expert", mais de ce que j'en sais, les octets d'une adresse ip ne peuvent pas être négatifs. Voir les <!-- BBCode u2 Start --><A HREF="http://www.iana.org/ipaddress/ip-addresses.htm" TARGET="_blank">rfc</A><!-- BBCode u2 End -->. <BR>0 à 255, c'est tout. <BR>Une politique de nommage des ordinateurs stricte et bien pensée te permettrait d'éviter ce genre de désagrément. <BR> <BR> <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>

[pior]

Sur 8 bit : -128 à +127 (y a le 0 ! <IMG SRC="images/smiles/icon_razz.gif"> )

[orange_smell]

Mozo, <BR> <BR>Je suis bien d'accord avec toi, helas, ce n'est pas moi du tout qui gère ce genre de choses, et les utilisateurs ont accès à ça... <BR> <BR>Là où ca peut devenir inquietant, c'est si le PC avait eu le nom d'un serveur, je l'aurais laissé se connecter. Et si c'est bien fait, j'y aurait peut être même fourni mon login et mon mot de passe...

[mozo]

Tu peux rendre compte aux administrateurs voire à ta hiérarchie. <BR>Les lan avec des noms à la gomme, c'est "en bordel couvré". <BR>En plus, cela ne facilite pas la tâche des administrateurs. <BR>A moins que ceux-ci s'en moquent parce qu'ils ne sont pas assez payés pour faire correctement leur boulot. <BR>Et si les utilisateurs peuvent faire n'importe-quoi sur leurs machines, c'est un sacré trou de sécurité... <BR>Il y a matière à action. <IMG SRC="images/smiles/icon_cussing.gif"> <BR> <BR> <IMG SRC="images/smiles/icon_bise.gif">