IP Spoofing

[grorico]

Salut,

voila mon probleme est le suivant : est il possible à partir d'un fichier de log (IP, date et heure de la connexion, port ...) de retrouver l'emetteur d'un paquet dont l'IP est spoofée ???

Merci d'avance.
A+ Grorio.

[lylian]

salut!

A priori l'IP tu ne pourra rien faire dessus puisqu'elle est spoufée..
Par contre si t'es sur un réseau local tu peut je penses jouer sur l'@MAC qui n'est pas la même que celle du PC qui s'est fait spouffé ...En revanche on peut aussi spoofer l'@MAC sur certaines cartes réseaux...lol
Tu peux donc te retrouver @MAC+@IP spoofées...

Donc il te reste pas grand chose pour solutionner ton probleme...il va falloir monter dans les couches réseaux pour trouver une parade...
Pourquoi cette question sinon?

[edit Muzo]SMS interdit[edit]

[grorico]

Je n'ai pas de problèmes particulier (hormis des logs de firewall impressionnants) ... mais je me demandais juste s'il était vraiment si simple de tenter de s'introduire sur un système sans qu'on puisse vous retrouver !! Il semblerait que la réponse soit oui !! Mais qu'entends tu par "monter dans les couches réseau" ???

A+ Grorico.

[lylian]

Pour spoofer tu sais il faut deja que le pirate connaisse @IP+ @MAC... il faut ensuite qu'il arrive à se placer chemin par defaut pour l'adresse IP spoofée (un man in the middle ARP cache poisoning par exemple lol, du spoofing niveau 2, il existe apres le hijacking de connexion TCP, la construction de paquets en aveugle, etc..). Si tu es intéréssé tu peux toujours jeter un oeil sur le SMART-IP spoofing qui est l'evolution "en mieux" de l'IP spoofing.
Si tu veux t'exercer un logiciel comme CAIN le fait très bien. Puis la plupart du temps la personne doit se trouver sur ton réseau local (en cas d'@IP privées) et donc toi pour te proteger tu peux:
- Jouer sur le logon (authentification Active Directory oblige a rentrer sur le réseau
- du VPN (SSL, SSH, IPSEC) entre tes hotes ( cas de liaison WAN)
- tu peux t'amuser avec un petit logiciel qui s'appelle ARPWatch qui te permet de centraliser l'association IP/MAC et de detecter l'ARP cache Poisoning
- Apres faire confiance à tes utilisateurs et bien sécurisé ton entrée sur le réseau (cas de VLAN..etc)

voilou moi je ferais ca ! mais c'est super intéréssant et tellement d'actualité...

[psykolivier]

...En revanche on peut aussi spoofer l'@MAC sur certaines cartes réseaux...lol
[edit Muzo]SMS interdit[edit]

Pourquoi sous certaines cartes seulement ? Sous linux, ifconfig ethx hw ether [adresse_mac] et c'est réglé, peu importe la carte... petit exemple (je n'ai changé que le dernier nombre, 51 en 12) :

Code: Tout sélectionner

kyle:/home/olivier # ifconfig eth1
eth1      Lien encap:Ethernet  HWaddr 00:08:0D:5F:C7:51
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:1000
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

kyle:/home/olivier # ifconfig eth1 hw ether 00:08:0D:5F:C7:12
kyle:/home/olivier # ifconfig eth1
eth1      Lien encap:Ethernet  HWaddr 00:08:0D:5F:C7:12
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:1000
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)


L'adresse MAC de eth1 en une commande est passée de 00:08:0D:5F:C7:51 à 00:08:0D:5F:C7:12...

... donc méfiance

[lylian]

autant pour moi je parlais de windows... (via le gestionnaire de peripheriques...)
Apres c'est vrai sous linux j'ai oublié de le mentionner, merci de l'info

[psykolivier]

... et moi sous Windows je le faisais avec un logiciel spécifique, je ne savais pas qu'on pouvait le faire depuis le gestionnaire de périphériques !

Bref, il serait effectivement judicieux comme le dit lylian de dresser une liste d'adresse MAC connues, afin par exemple à l'aide de quelques règles iptables de détecter rapidement les adresses IP spoofées, si elles sont associées avec une adresse MAC qui t'est inconnue. Mais ce n'est pas la solution à tout, comme il est dit, tu spoofes l'adresse MAC et c'est mort...