ip spoofing et mldonkey

[statone]

Bonjour à tous,
depuis que j'ai installé mldonkey sur sme 7 updatée mon client ip dans paramètres change au profit d'un

serveur auquel je suis connecté ; j'ai mis un masq dans le firewall mais rien n'y fait, l'ip de l'autre prend le

dessus sur la mienne même sans apparaitre dans la liste des serveurs connectés.

Est ce de l'ip spoofing ? et si oui quelle est la méthode pour s'en protéger efficacement ?

Bonne journée à tous
statone

[Franck78]

Hello,


Pour l'instant c'est du rien du tout car ton vocabulaire ne correspond a aucune action précise.

D'abord tu pourrais préciser ce qu'est mldonkey.
Ensuite détailler ce qui change d'après toi (et qui devrais pas)
Un masqu? C'est quoi donc?
L'IP prend prend le dessus? Ah et à quel endroit une IP prend le dessus?

bye

[statone]

Cher Franck des yvelines,

tu as raison, je vais formuler autrement mon souci :

ma config : sme 7 rc1 et updatée correctement ;

Entre autres contribs, j'ai installé un client p2p qui s'appelle mldonkey (et que beaucoup connaissent sur le

forum, j'imagine). Récemment, je m'aperçois que mon ip client (de mldonkey) change au profit d'un

serveur auquel je suis connecté pour échanger et je vois également que ma bande passante baisse. J'ai eu affaire avec ce genre d'incident auparavant et j'ai donc installé une contrib bien connue : sme-6.0-masq-manager-0.1-3.noarch.rpm,

il existe dans cette contrib une partie traitant de l'ip spoofing, j'ai donc mis un masque avec une adresse

bidon comme indiqué dans la partie "Anti Spoofing Rules".

Malgré ces précautions (sans doute dérisoires)mon ip continue de changer : faut il que je bloque tous les autres ports que le 4462 ? je ne sais point... si vous avez des idées n'hésitez pas.

J'espère avoir été plus clair cette fois-ci.

@bientôt
statone

[fraedhrim]

Salut !

Récemment, je m'aperçois que mon ip client (de mldonkey) change au profit d'un serveur auquel je suis connecté

Perso je ne vois pas du tout ce que tu veux dire par là.
Comment ton IP publique pourrait-elle changer quand tu te connectes à un serveur p2p ? Rien n'a ce pouvoir. Je ne vois pas ce qu'il y aurait à faire avec des règles de NAT ou masquerade. Si tu vois dans le client ton IP changer c'est un bug du client ou du serveur. Rien à voir avec la couche de communication IP.
Enfin bref je vois pas trop le truc là......

A+

[daoud]

salut,

j'attendrais que statone eut fini de regler son soucis afin de vous demander des infos sur spoofing ( pour ne pas polluer le thread !)

[statone]

Alors pour la Citation:
Récemment, je m'aperçois que mon ip client (de mldonkey, dans la partie "options") change et me met une autre ip que la mienne, celle d'une machine à laquelle je suis connecté dans ma liste "serveurs" ; je n'ai pas dit que mon ip publique changeait.

Au fait, connaissez-vous mldonkey ? sinon j'essaierai de vous faire parvenir des images ;; comment envoyer des images d'ailleurs sur le forum ?

bien à vous
statone

[fraedhrim]

Salut !

Utilise la balise IMG.
Par contre je ne suis pas sur que ça soit un problème SME ce que tu décris...

A+

[neodam]

en gros ce que le monsieur explique et voudrais savoir pourquoi ça fait ça c'est que :

il connecte son client ML donkey au serveur AAA.BBB.CCC.DDD:4462
et que quand il va voir dans ses options du client ML donkey il a WWW.XXX.YYY.ZZZ:4462

alors il est pas content. il comprend pas pourquoi et il aimerait bien savoir ce qui se passe.



si je compare a mumule, je dirais simplement que le serveur en AAA.... est soit indisponible soit apres la connexion il a été déconnecté pr une raison s ou y alors le client ML Donkey relance une connexion automatique vers un autre serveur surement contenu dans une liste.
Du coup il se connecte au serveur WWW.XXX....

voila.

Je ne vois la dedans rien d'anormal et d'alarmant, au contraire cela permet a ML donkey de conserver une connexion active et de ne pas tourner "a vide"...
Maintenant si c'est pas ça, ben, je vois pas non plus alors.

[statone]

tout d'abord, merci de vos réponses.

Neodam a parfaitement résumé la situation, il suffit de connaître bien sur mldonkey et son fonctionnement.
En effet, dans l'interface web de mldonkey, il y a un onglet "parametres" ou options qui permet de définir certains critères et de paramétrer le clt.

"il connecte son client ML donkey au serveur AAA.BBB.CCC.DDD:4462
et que quand il va voir dans ses options du client ML donkey il a WWW.XXX.YYY.ZZZ:4462"

Oui mais à la différence près (qu'auparavant sur sme 6) je n'avais pas ce genre de chose et mldonkey fonctionnait très bien. Dans les options de mon clt mldonkey, mon ip X.X.X.X ne changeait pas et même si je mettais une autre valeur que la mienne, le clt se réinitialisait et me remettait mon ip.

Le pb ici c'est que mon ip s'efface au profit d'une machine à laquelle je suis connecté et qui n'utilise pas le port "conventionnel" 4462 mais des ports de 5000 à 10000 et j'en passe...

Ce qui m'importe, c'est qu'une machine n'utilise pas la mienne pour faire des $%#&! sous couvert d'anonymat ou bien me parasite ma ligne en faisant fondre ma bande passante !

J'espère avoir été clair.

MErci de vos conseils

statone

[daoud]

Voila je pense que la discussion doit-etre fini sur le probleme de statone !

Qui peut me renseigner sur le " système proposée " du spoofing via masq-manager ?
En effet cherchant un peu sur notre ami Gougeule , cela releve de pirates qui scannent vos ports pour des intrusions ou autres...

via les Icmp Rules multiplent proposés quels sont les differentes solutions proposées et surtout si l'on pouvait me traduire ce que ca veut dire et faire ?

echo-reply--------------->ACCEPT / DROP / QUEUE / RETURN
echo-request
destination-unreachable
source-quench
redirect
router-advertisement
router-solicitation
time-exceeded
parameter-problem
timestamp-request
timestamp-reply
address-mask-request
address-mask-reply

merci aux adeptes

[fraedhrim]

Daoud, je ne pense pas que la discussion soit finie en fait...


Statone, je ne pense pas que ton pb soit lié à SME. Ca m'a l'air d'être lié au logiciel.
Et je ne vois toujours pas le truc. Peux-tu faire un screenshot ?

Pour le danger potentiel le spoofing ne marche pas comme ça. Ce n'est d'ailleurs pas le principe que tu évoques. Il s'agirait plutôt d'agir comme un proxy. Ce n'est pas du spoofing c'est carrément de la backdoor. Es-tu sur de ta version de mldonkey ? N'a-t-elle pas été repackagée par un malhonnète ?

Quel client mldonkey utilises-tu (enfin comme GUI plutôt) ?

A+

[statone]

Daoud, je ne pense pas que la discussion soit finie en fait...


Statone, je ne pense pas que ton pb soit lié à SME. Ca m'a l'air d'être lié au logiciel.
Et je ne vois toujours pas le truc. Peux-tu faire un screenshot ?

Pour le danger potentiel le spoofing ne marche pas comme ça. Ce n'est d'ailleurs pas le principe que tu évoques. Il s'agirait plutôt d'agir comme un proxy. Ce n'est pas du spoofing c'est carrément de la backdoor. Es-tu sur de ta version de mldonkey ? N'a-t-elle pas été repackagée par un malhonnète ?

Quel client mldonkey utilises-tu (enfin comme GUI plutôt) ?

A+

En effet, ça ne fait que commencer.

Je ne veux pas être aussi affirmatif que toi : il existe bien un lien entre mldonkey et sme puisqu'il est installé.
Rappel de l'ip spoofing :
L'IP spoofing se base sur une usurpation d'adresse IP. L'IP spoofing est utilisé lorsque deux hôtes sont en relation de confiance grâce à leurs adresses IP, c'est-à-dire que la seule authentification faite au niveau du serveur consiste en une vérification de l'adresse IP du client.

Ca à l'air de coller à mon pb, non ?

Ecrans : (j'ai mis une ip bidon bien entendu)

Mon pb :

De temps à autres, l'ip de 80.239.200.99:3000 prend la place de l'ip qui doit normalement figurer dans la case ip client plus haut

[fraedhrim]

Pour moi le spoofing c'est quand quelqu'un se fait passer pour toi en utilisant ton identité.
Au niveau réseau ça peut être de l'IP spoofing. C'est à dire que quelqu'un utilise ton IP.
Là ce serait plutôt toi qui récupère l'IP de quelqu'un d'autre. Enfin si on se fie à l'interface web.
Dans les faits ce n'est pas trop possible. D'abord parce que je ne vois pas comment cela se ferait au niveau de la SME et ensuite parce que je doute que ton accès Internet fonctionnerait avec une IP qui ne correspond pas à ton FAI.

Donc au pire quelqu'un passe par chez toi pour faire des choses. Mais même là je ne vois pas trop pourquoi tu verrais son IP dans ton client MLD. Et il faudrait pour ça que tu ais du code malicieux installé sur ton serveur qui permettrait à quelqu'un d'aller sur Internet en rebondissant chez toi.

D'où ma question sur l'origine de ton logiciel mldonkey et de ta GUI. N'y a aurait-il pas un petit rootkit ou un troyen là-dedans ?

Est-ce les mêmes versions que sur ton install précédente.

Honnètement ça fait plus bug d'affichage qu'autrechose. Parce que niveau fonctionnement IP je ne vois pas trop ce que ça pourrait donner. A part que tu n'aurais plus accès à Internet à cause de cette IP non valide.

Si tu fais un ifconfig quand tu vois cette IP qui n'est pas la tienne dans ton soft ça donne quoi ?

A+

[statone]

Pour moi le spoofing c'est quand quelqu'un se fait passer pour toi en utilisant ton identité.
Au niveau réseau ça peut être de l'IP spoofing. C'est à dire que quelqu'un utilise ton IP.
Là ce serait plutôt toi qui récupère l'IP de quelqu'un d'autre. Enfin si on se fie à l'interface web.
Dans les faits ce n'est pas trop possible. D'abord parce que je ne vois pas comment cela se ferait au niveau de la SME et ensuite parce que je doute que ton accès Internet fonctionnerait avec une IP qui ne correspond pas à ton FAI.

D'accord

Donc au pire quelqu'un passe par chez toi pour faire des choses. Mais même là je ne vois pas trop pourquoi tu verrais son IP dans ton client MLD. Et il faudrait pour ça que tu ais du code malicieux installé sur ton serveur qui permettrait à quelqu'un d'aller sur Internet en rebondissant chez toi.

D'où ma question sur l'origine de ton logiciel mldonkey et de ta GUI. N'y a aurait-il pas un petit rootkit ou un troyen là-dedans ? voir plus bas...

Est-ce les mêmes versions que sur ton install précédente. non c'était celle pour sme 6

Honnètement ça fait plus bug d'affichage qu'autrechose. Parce que niveau fonctionnement IP je ne vois pas trop ce que ça pourrait donner. A part que tu n'aurais plus accès à Internet à cause de cette IP non valide.

Si tu fais un ifconfig quand tu vois cette IP qui n'est pas la tienne dans ton soft ça donne quoi ?

A+

voici la version : trouvée sur : http://perso.orange.fr/passionelectro/mldonkey.html
Buildinfo:
MLNet Multi-Network p2p client version 2.7.3
Networks: Global Shares Gnutella G2 Fasttrack FileTP BitTorrent Donkey
Ocaml version: 3.09.1
Build on: Linux i686 2.6.9-22.0.2.EL (little endian) with glibc 2.3.4
Features: threads zlib-1.2.1.2 no-bzip2 no-gd iconv no-check-bounds

[statone]

CE QUE JE CRAIGNAIS EST ARRIVE ... ! MON SME EST DOWN !!!! PB réseau
Je récapitule ma config : sme 7 updatee sans pb
contribs installées :
- sme admin
- masq manager (dans options du firewall, j'ai mis un masq avec une ip comme indiqué et bloqué l'icmp)
- sarg
jusque là tout allait bien hormis mon pb avec mldonkey

contribs installées hier
- danguardian
- awstats
- snort + oinkmaster + guardian + base

J'upgrade et je reboote et .... GROS PB !!! Exactement le même qui m'était arrivé il y a 2 mois et dont j'avais parlé sur le forum.
Au redémarrage du pc (flambant neuf et sans pb hardware) :
- démarrage des services et invite de cmd
- quelques sec + tard message récurrent :
------------------------------------------------------------------------------
ICMP ping xNIX
Classification : Misc activity priority 3
07/20/08 10:06 453550 Mon ip ==> 66.249.25.21
ICMP TTL :64 TOS 0X0 ID :50858 IPLEN: dymlen :88
TYPE CODE 13 DESTINATION UNREACHABLE : ADMINISTRATIVELY PROHIBITED
-----------------------------------------------------------------------------------
ICMP ping xNIX
Classification : Misc activity priority 3
07/20/08 10:06 453550 Mon ip ==> 89.65.22.154
ICMP TTL :64 TOS 0X0 ID :50858 IPLEN: dymlen :88
TYPE CODE 13 DESTINATION UNREACHABLE : ADMINISTRATIVELY PROHIBITED
-----------------------------------------------------------------------------------
ICMP ping xNIX
Classification : Misc activity priority 3
07/20/08 10:06 453550 66.249.25.21 ==> Mon ip
ICMP TTL :64 TOS 0X0 ID :50858 IPLEN: dymlen :88
TYPE CODE 13 DESTINATION UNREACHABLE : ADMINISTRATIVELY PROHIBITED
-------------------------------------------------------------------------
Voilà, et le message se répète indéfiniment. j'ai du tout retranscrire sur papier à la main.
d'un autre pc, je n'ai plus de réseau, rien.
que dois-je faire ???
PLEASE AIDEZ MOI