[Linux-bruxelles] [Securite]Arp spoofing

linuxbeloc linuxbeloc at chello.be
Jeu 19 Oct 16:27:11 CEST 2006 

Merci pour vos nombreuses réponses,

Mon range client dhcp est 195.162.210.0/24. La passerelle pas défault et 195.162.210.254/24

Toutes les machines même la mienne envoie un broadcast arp régulierement pour savoir l'adresse mac de la passerelle (ce qui est normal). 

Le routeur fait de même pour les client surement des ACL pour l'accès au réseau.

Au niveau de la sécurité pour les ip dynamique du réseaux, le problème arp ce posent. Si quelq'un fait un arp spoofing/poisoning, il peut sniffer tt le traffic de ca boucle. Alors maintenant, je sais pas si leurs politique est de mettre un ids sur la boucle ou tt autre protection !! Y aurait pu créé des vlan !!!!

Je suis repassé au cable pour plusieurs raison. J'avais besoin d'au moins 2 ip fixes, sans quota et une bonne vitesse pour moins de 100€ TVAC. 
J'ai 5 ip fixe, quota illimité et 20MBIT/2MBTIS (en pratique, je download à 1300ko/s avec des pointes de 2000ko/s) pour 95€ TVAC.

En dessous, un très cour extrait de ma capture

Les clients de la boucle sont-il protéger par le provider contre arp spoof / poisoning ?

Le packet arp GRATUITOUS, quelqu'un sait ce que sait ?

J'utilise déjà un firewall. Le firewall ne me sera d'aucune utilité contre ce type d'attaque (l'attaque est de couche 2 et le firewall fonctionne sur la couche 3 du modele OSI). Dis moi si je me trompe ? Je vais regarder pour arpwatch et voir les regles de snort aussi.

Merci d'avance,
  


----------------------------------------------------------------------------
ARP BROADCAST des clients ip dynamique (la passerelle par défault est 195.162.210.254)

No.     Time        Source                Destination           Protocol Info
    956 346.036852  Dell_1b:da:88         Broadcast             ARP      Who has 195.162.210.254?  Tell 195.162.210.165

Frame 956 (60 bytes on wire, 60 bytes captured)
Ethernet II, Src: Dell_1b:da:88 (00:12:3f:1b:da:88), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
Address Resolution Protocol (request)

No.     Time        Source                Destination           Protocol Info
    957 346.787095  Dell_e0:c6:cd         Broadcast             ARP      Who has 195.162.210.254?  Tell 195.162.210.210

Frame 957 (60 bytes on wire, 60 bytes captured)
Ethernet II, Src: Dell_e0:c6:cd (00:12:3f:e0:c6:cd), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
Address Resolution Protocol (request)

----------------------------------------------------------------------------
ARP BROADCAST DU ROUTEUR

No.     Time        Source                Destination           Protocol Info
   1166 406.071885  Cisco_75:2b:fc        Broadcast             ARP      Who has 195.162.210.212?  Tell 195.162.210.254

Frame 1166 (60 bytes on wire, 60 bytes captured)
Ethernet II, Src: Cisco_75:2b:fc (00:07:0d:75:2b:fc), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
Address Resolution Protocol (request)

----------------------------------------------------------------------------
ARP AUTRE SOUS RESEAUX

No.     Time        Source                Destination           Protocol Info
   1170 407.358774  D-Link_6b:47:8c       Broadcast             ARP      Who has 195.162.211.177?  Tell 195.162.211.246

Frame 1170 (60 bytes on wire, 60 bytes captured)
Ethernet II, Src: D-Link_6b:47:8c (00:50:ba:6b:47:8c), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
Address Resolution Protocol (request)

----------------------------------------------------------------------------
ARP entre hote ?

No.     Time        Source                Destination           Protocol Info
   1171 407.517742  Elitegro_36:e7:9c     Broadcast             ARP      Who has 195.162.210.16?  Tell 195.162.210.191

Frame 1171 (60 bytes on wire, 60 bytes captured)
Ethernet II, Src: Elitegro_36:e7:9c (00:07:95:36:e7:9c), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
Address Resolution Protocol (request)

----------------------------------------------------------------------------
J'en sais rien du tout !!!

No.     Time        Source                Destination           Protocol Info
   1178 411.026741  Amit_27:96:83         Broadcast             ARP      Who has 195.162.211.51?  Gratuitous ARP

Frame 1178 (60 bytes on wire, 60 bytes captured)
Ethernet II, Src: Amit_27:96:83 (00:50:18:27:96:83), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
Address Resolution Protocol (request/gratuitous ARP)

----------------------------------------------------------------------------
Un autre sous reseaux

No.     Time        Source                Destination           Protocol Info
   1189 415.186729  D-Link_6b:47:8c       Broadcast             ARP      Who has 195.162.211.131?  Tell 195.162.211.246

Frame 1189 (60 bytes on wire, 60 bytes captured)
Ethernet II, Src: D-Link_6b:47:8c (00:50:ba:6b:47:8c), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
Address Resolution Protocol (request)

No.     Time        Source                Destination           Protocol Info
   1193 416.163954  ArrisInt_b2:6c:12     Broadcast             ARP      Who has 10.86.143.254?  Tell 10.86.139.73

Frame 1193 (60 bytes on wire, 60 bytes captured)
Ethernet II, Src: ArrisInt_b2:6c:12 (00:00:ca:b2:6c:12), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
Address Resolution Protocol (request)

Plus d'informations sur la liste de diffusion Linux-bruxelles