Attaque par Empoisonnement ARP - Sécurité - Réseaux grand public / SoHo
Marsh Posté le 10-03-2012 à 22:18:39
Tu utilises quel type de chiffrement ? WEP ? WPA ? WPA2 ?
Si c'est du WEP c'est normal, si c'est du WPA ou WP2 c'est que ta clé est peut être trop simple.
Marsh Posté le 11-03-2012 à 06:42:09
J'utilise WPA 2
Et ma clé faisait 22 caractères, chiffres et lettres.
J'ai oublié, mon SSID était toujours en masqué.
Merci d'avance
Marsh Posté le 11-03-2012 à 09:22:05
Bonjour,
j'ai la freebox V5 donc je connais pas exactement la configuration de la Révolution.
Mais : désactivez complètement le WIFI, branchez vous en ethernet, modifier l'identifiant et le mot de passe donnant accès à l'interface de la révolution sur le navigateur par le 192.168 etc .
Ensuite créer une nouvelle clef wifi balaise. Si il y a un système automatique et aléatoire (comme sur la v5) et qui donne des clefs de 64 caractères, servez-vous en. Copier sous word cette clé pour la retrouver et vous en servir plus tard. Généralement les identifications WIFI accepte le copier-coller.
Relancez le wifi.
Changer le SSID et masquer le réseau ne sert à rien.
Marsh Posté le 11-03-2012 à 10:41:57
Salut,
l'ARP Poisoning est un type d'attaque que l'on utilise pour détourner le trafic d'une machine vers une autre sur un réseau local en modifiant le cache ARP (ce qui permet de convertir une adresse IP en une adresse MAC).
Ce n'est pas une des attaques les plus simple qu'il soit à réaliser... mais comme toujours il existe des outils.
La cause la plus probable de ces messages c'est que ton réseau est mal configuré, typiquement deux équipements sur le réseau possèdent la même adresse IP pour des adresses MAC différentes.
Il faut que tu vérifies les adresses IP que tu as configuré en fixe, quel pool DHCP est configuré sur ton routeur, quel adresses ont été assignées depuis le pool DHCP et t'assurer qu'il n'y pas de chevauchement.
Finalement côté sécurité si tu es en WPA2 avec une clef suffisamment longue et complexe (16+ caractères aléatoires) avec de l'AES. A ce jour ça devrait encore tenir un bon moment. (note : si ton routeur supporte le WPS, désactive le car une faille de sécurité importante existe à l'heure actuelle sur bon nombre d’équipements)
Marsh Posté le 11-03-2012 à 19:38:30
Ce sujet a été déplacé de la catégorie Windows & Software vers la categorie Réseaux grand public / SoHo par Wolfman
Marsh Posté le 12-03-2012 à 06:51:32
Salut et mreci.
Non, je n'ai pas 2 PC, j'ai seulement un Iphone qui en plus fonctionne sur 3G (Wifi desactivé).
De plus, le portable connecté s'appelle CHRISMAG et CHOUPORTAPLE, ce qui ne correspond pas à chez moi, je vous assure.
Je vais faire les recherches marquées pour vérifier.
Je ne configure pas les IP fixes, je les laisse se choisir seules (sur le PC, car sur Freebox, j'ai laissé une bande de passage).
Tu conseilles AES plutot que TKIP sur WPA2 ?
Par contre, WPS est bien désactivé si tu mets WPA2.
A plus
Marsh Posté le 14-03-2012 à 14:39:50
quelques conseils:
- mets en place un filtrage MAC ( http://www.panoptinet.com/securise [...] c-freebox)
- ne diffuses pas ton SSID
- n'actives pas le DHCP et mets uniquement des ip statiques sur tes pcs
- utilises AES
- vérouilles sur WPA2 uniquement
Marsh Posté le 14-03-2012 à 17:10:09
Oui, ou alors, si c'est pour faire une config aussi absurde, coupe le wifi et mets un cable
Marsh Posté le 16-03-2012 à 09:17:30
gizmo31 a écrit : quelques conseils: |
Merci, je viens de le faire, ca marche. On va voir si c'est efficace.
Pour info trictrac, au moins, cette config m'évite un cable...
J'attends un peu pour mettre résolu...
A bientôt,
Marsh Posté le 19-03-2012 à 13:22:14
Bonjour,
voila j'ai quasi le même problème que "letoutcasse2000" je suis victime d'empoisonnement du cache ARP.
Je suis chez free (freebox V5) et est ESET version 5.0.93.7.
Cela c'est produit juste hier, j'ai installé Xarp un petit logiciel qui détecte les attaques ARP.
Selon lui l'attaque viens de IP source 192.168.0.254 (ma freebox si j'ai bien compris).
J'ai changé de clé WPA + AES généré automatiquement mais cela n'a eu que pour effet de réduire le nombres d'attaques.
Avez vous des idées pour m'aider ?
Merci.
Sokkhmer
Marsh Posté le 19-03-2012 à 21:23:16
C'est drole, c'était vraiment mon problème et avec la même config sur un PC en windows 7.
J'ai pas installé le logiciel que tu dis mais les attaque ARP étaient bien sur la freebox.
J'ai fait le filtrage des adresse MAC comme l'indique gizmo 31, ca marche.
J'ai dit que je viendrais résoudre le sujet au bout de quelques semaines, étant sur que personne n'ait réussi à me repirater...
A plus
Marsh Posté le 19-03-2012 à 22:35:41
Sans méchanceté aucune, ça ne vous traverse pas l'esprit que c'est probablement ESET qui déconne et sort des faux positifs lorsqu'une freeebox v5 est sur le réseau ?
Et je ferais bien une hypothèse que ce soit dû au serveur DHCP de la freebox v5 qui probablement teste les IPs allouées (ou non) et ESET qui prend ça pour de l'ARP poisonning alors qu'il n'en n'est rien.
Marsh Posté le 19-03-2012 à 22:46:33
Requin a écrit : Et je ferais bien une hypothèse que ce soit dû au serveur DHCP de la freebox v5 qui probablement teste les IPs allouées (ou non) et ESET qui prend ça pour de l'ARP poisonning alors qu'il n'en n'est rien. |
Bof. Les probes utilisés sont soit des requêtes ARP de résolution soit des requêtes ICMP echo. Rien qui ressemble à de l'empoisonnement de cache ARP. Tu penses à quoi plus précisément ?
Marsh Posté le 20-03-2012 à 07:08:53
Requin a écrit : Sans méchanceté aucune, ça ne vous traverse pas l'esprit que c'est probablement ESET qui déconne et sort des faux positifs lorsqu'une freeebox v5 est sur le réseau ? |
Seule chose, depuis la liste blanche des adresses MAC, pas de soucis...
A plus,
Marsh Posté le 20-03-2012 à 19:53:24
Ouai c'est possible que ce soit Eset qui déconne mais Xarp me détecte bien des attaques ARP, pour l'histoire du filtrage Mac la freebox V5 ne permet pas cette option, à mon avis cela peut venir de la freebox si j'avais subit une intrusion sur mon réseau j'aurais des ralentissements voire des déconnexions enfin il me semble. Sinon le message de Xarp est "DirectedRequestFilter : targeted request destination mac of arp request not set to broadcast/invalid address" c'est quelqu'un à la gentillesse de me dire la signification de ce message je lui en serais reconnaissant.
Marsh Posté le 20-03-2012 à 23:02:15
Le message signifie que le paquet ARP (ou détecté comme tel) n'a pas été envoyé à l'adresse de de Broadcast du réseau et par conséquent est invalide.
Une cause pourrait être qu'un hôte sur le même réseau local est configuré avec un subnet ou un autre réseau IP suite à une erreur de configuration et que par conséquent son adresse de broadcast n'est pas celle de l'hôte qui analyse les paquets.
Un exemple parmi d'autres : freebox IP 192.168.0.254, masque de sous-réseau 255.255.255.0, adresse du réseau 192.168.0.0, adresse de broadcast 192.168.0.255. Un hôte quelconque en IP fixe 192.168.1.25, masque de sous-réseau 255.255.255.0, adresse du réseau 192.168.1.0, adresse de broadcast pour cet hôte 192.168.1.255 ... l'erreur est dans ce cas grossière et il est facile de constater que l'hôte n'est pas sur le même réseau IP bien sur le même réseau local, mais souvent c'est un peu plus subtile.
Après pour comprendre ce qu'il se passe il n'y pas de miracle et il faut analyser les paquets réseau. C'est souvent long et pas forcément évident mais des outils tels que Wireshark / WinPcap pour sont précieux pour la capture des données et leur analyse.
Marsh Posté le 21-03-2012 à 21:16:30
merci de ton message je vois ce que tu veut dire par contre wiresshark et moi ...... enfin bon je vais passer tous en static niveau adressages ça seras déjà ça
Marsh Posté le 23-03-2012 à 18:17:11
Requin a écrit : Sans méchanceté aucune, ça ne vous traverse pas l'esprit que c'est probablement ESET qui déconne et sort des faux positifs lorsqu'une freeebox v5 est sur le réseau ? |
comment tu explique ça alors:
letoutcasse2000 a écrit : en regardant les équipements du réseau, j'ai trouvé, relié à ma freebox (indiquée par le SSID), une connexion vers un équipement inconnu, qui lui était relié à un appareil nommé "CHRISMAG" lui même relié à "CHOUPORTABLE PC". |
Marsh Posté le 24-03-2012 à 09:13:03
exeral a écrit : |
Je n'ai jamais dis que ton réseau n'était pas squatté par quelqu'un d'étranger à ce dernier. Mon message concerne uniquement les alertes d'ESET et dans quelles mesures elles peuvent se produire. Ce genre de softs a tendance à être alarmiste, voir dans certains cas génère des faux positifs. J'ajouterai qu'une bonne partie des utilisateurs sont incapables de comprendre de quoi il s'agit lorsqu'une alerte est levée par un logiciel de sécurité (je reconnais que les messages sont aussi assez cryptiques).
Marsh Posté le 26-03-2012 à 12:52:16
En tout cas, comme promis, c'est RESOLU !
Heu... Par contre, il n'y a pas de case pour ça ???
Merci pour tout à tous !
A bientôt
Marsh Posté le 26-03-2012 à 19:29:52
Non mais tu peux éditer le titre vu que tu es l'auteur du sujet initial et mettre la balise [RESOLU] (et accessoirement tu peux aussi "fermer le sujet" si tu ne souhaites plus que ce dernier évolue)
Marsh Posté le 29-11-2014 à 13:14:04
probablement que quelqu'un a changer la table arp de votre ordinateur par arp empoisoning pour cela essayer de vider votre cash arp a l'aide de la commande suivant :
arp -d <hostname>
source: <a href="http://electro-media.blogspot.com/2013/08/protocole-arp.html" rel=dofollow >le protocole de resolution d'adresse ARP</a>
et de securiser votrre reseaux sans file a l'aide des conseile sur le lien suivant :
<a href="http://electro-media.blogspot.com/2012/10/protection-integree-du-80211-wifi.html" rel=dofollow >
Comment Sécuriser un Réseau Sans fil (wifi) </a>
Marsh Posté le 10-03-2012 à 20:56:56
Bonjour,
Voilà, depuis 1 ou 2 mois, j'ai un gros problème :
Pour tous situer, je suis chez free (freebox révolution).
J'ai ESET SMART SECURITY 5.0.95.0
Je suis connecté en wifi depuis le mois d'octobre
En fait, il y a 2 mois, j'ai eu un message de ESET disant "Attaque par empoisonnement de l'ARP (ou "ARP cache" ou "cache ARP" ).
Il indiquait aussi "IP identiques détectées" et affichait l'IP 198.162.0.254 qui correspond à ma passerelle (donc ma freebox?).
J'ai fouillé mon PC, voir si j'avais pas fait des conneries... Et là, en regardant les équipements du réseau, j'ai trouvé, relié à ma freebox (indiquée par le SSID), une connexion vers un équipement inconnu, qui lui était relié à un appareil nommé "CHRISMAG" lui même relié à "CHOUPORTABLE PC".
Le problème, c'est que dès l'apparition de ces messages, je pers le réseau internet (même si je suis toujours connecté au SSID).
J'ai modifié mon SSID et mon mot de passe, j'ai du faire une restauration de mon PC à une utilisation antérieure.
Ben ca a recommencé (malgré une clé de 30 à 35 caracteres)
Ma déduction, ca serait du piratabe.
Pouvez-vous m'apporter vore aide ?
Merci
Letoutcasse2000