Bonjour,
 
Voilà, depuis 1 ou 2 mois, j'ai un gros problème :
Pour tous situer, je suis chez free (freebox révolution).
J'ai ESET SMART SECURITY 5.0.95.0
Je suis connecté en wifi depuis le mois d'octobre
 
En fait, il y a 2 mois, j'ai eu un message de ESET disant "Attaque par empoisonnement de l'ARP (ou "ARP cache" ou "cache ARP" ).
Il indiquait aussi "IP identiques détectées" et affichait l'IP 198.162.0.254 qui correspond à ma passerelle (donc ma freebox?).
 
J'ai fouillé mon PC, voir si j'avais pas fait des conneries... Et là, en regardant les équipements du réseau, j'ai trouvé, relié à ma freebox (indiquée par le SSID), une connexion vers un équipement inconnu, qui lui était relié à un appareil nommé "CHRISMAG" lui même relié à "CHOUPORTABLE PC".
 
Le problème, c'est que dès l'apparition de ces messages, je pers le réseau internet (même si je suis toujours connecté au SSID).
 
J'ai modifié mon SSID et mon mot de passe, j'ai du faire une restauration de mon PC à une utilisation antérieure.
Ben ca a recommencé (malgré une clé de 30 à 35 caracteres)
 
Ma déduction, ca serait du piratabe.
 
Pouvez-vous m'apporter vore aide ?
 
Merci
 
Letoutcasse2000

Tu utilises quel type de chiffrement ? WEP ? WPA ? WPA2 ?
Si c'est du WEP c'est normal, si c'est du WPA ou WP2 c'est que ta clé est peut être trop simple.

J'utilise WPA 2
Et ma clé faisait 22 caractères, chiffres et lettres.
J'ai oublié, mon SSID était toujours en masqué.
 
Merci d'avance

Bonjour,
 
j'ai la freebox V5 donc je connais pas exactement la configuration de la Révolution.
Mais : désactivez complètement le WIFI, branchez vous en ethernet, modifier l'identifiant et  le mot de passe donnant accès à l'interface de la révolution sur le navigateur par le 192.168 etc .
Ensuite créer une nouvelle clef wifi balaise. Si il y a un système automatique et aléatoire (comme sur la v5) et qui donne des clefs de 64 caractères, servez-vous en. Copier sous word cette clé pour la retrouver et vous en servir plus tard. Généralement les identifications WIFI accepte le copier-coller.
Relancez le wifi.
Changer le SSID  et masquer le réseau ne sert à rien.  

Salut,
 
 l'ARP Poisoning est un type d'attaque que l'on utilise pour détourner le trafic d'une machine vers une autre sur un réseau local en modifiant le cache ARP (ce qui permet de convertir une adresse IP en une adresse MAC).
 
Ce n'est pas une des attaques les plus simple qu'il soit à réaliser... mais comme toujours il existe des outils.
 
La cause la plus probable de ces messages c'est que ton réseau est mal configuré, typiquement deux équipements sur le réseau possèdent la même adresse IP pour des adresses MAC différentes.
 
Il faut que tu vérifies les adresses IP que tu as configuré en fixe, quel pool DHCP est configuré sur ton routeur, quel adresses ont été assignées depuis le pool DHCP et t'assurer qu'il n'y pas de chevauchement.
 
Finalement côté sécurité si tu es en WPA2 avec une clef suffisamment longue et complexe (16+ caractères aléatoires) avec de l'AES. A ce jour ça devrait encore tenir un bon moment. (note : si ton routeur supporte le WPS, désactive le car une faille de sécurité importante existe à l'heure actuelle sur bon nombre d’équipements)

Ce sujet a été déplacé de la catégorie Windows & Software vers la categorie Réseaux grand public / SoHo par Wolfman

Salut et mreci.
 
Non, je n'ai pas 2 PC, j'ai seulement un Iphone qui en plus fonctionne sur 3G (Wifi desactivé).
 
De plus, le portable connecté s'appelle CHRISMAG et CHOUPORTAPLE, ce qui ne correspond pas à chez moi, je vous assure.
 
Je vais faire les recherches marquées pour vérifier.
 
Je ne configure pas les IP fixes, je les laisse se choisir seules (sur le PC, car sur Freebox, j'ai laissé une bande de passage).
 
Tu conseilles AES plutot que TKIP sur WPA2 ?
 
Par contre, WPS est bien désactivé si tu mets WPA2.
 
A plus

quelques conseils:
 
- mets en place un filtrage MAC  ( http://www.panoptinet.com/securise [...] c-freebox)  
- ne diffuses pas ton SSID
- n'actives pas le DHCP et mets uniquement des ip statiques sur tes pcs
- utilises AES
- vérouilles sur  WPA2 uniquement

Oui, ou alors, si c'est pour faire une config aussi absurde, coupe le wifi et mets un cable

 
 
Merci, je viens de le faire, ca marche. On va voir si c'est efficace.
Pour info trictrac, au moins, cette config m'évite un cable...
 
J'attends un peu pour mettre résolu...
 
A bientôt,

Bonjour,
voila j'ai quasi le même problème que "letoutcasse2000" je suis victime d'empoisonnement du cache ARP.
Je suis chez free (freebox V5) et est ESET version 5.0.93.7.
Cela c'est produit juste hier, j'ai installé Xarp un petit logiciel qui détecte les attaques ARP.
Selon lui l'attaque viens de IP source 192.168.0.254 (ma freebox si j'ai bien compris).
J'ai changé de clé WPA + AES généré automatiquement mais cela n'a eu que pour effet de réduire le nombres d'attaques.
Avez vous des idées pour m'aider ?
Merci.
 
 
 
Sokkhmer

C'est drole, c'était vraiment mon problème et avec la même config sur un PC en windows 7.
J'ai pas installé le logiciel que tu dis mais les attaque ARP étaient bien sur la freebox.
J'ai fait le filtrage des adresse MAC comme l'indique gizmo 31, ca marche.
J'ai dit que je viendrais résoudre le sujet au bout de quelques semaines, étant sur que personne n'ait réussi à me repirater...
 
A plus

Sans méchanceté aucune, ça ne vous traverse pas l'esprit que c'est probablement ESET qui déconne et sort des faux positifs lorsqu'une freeebox v5 est sur le réseau ?
 
Et je ferais bien une hypothèse que ce soit dû au serveur DHCP de la freebox v5 qui probablement teste les IPs allouées (ou non) et ESET qui prend ça pour de l'ARP poisonning alors qu'il n'en n'est rien.

Bof. Les probes utilisés sont soit des requêtes ARP de résolution soit des requêtes ICMP echo. Rien qui ressemble à de l'empoisonnement de cache ARP. Tu penses à quoi plus précisément ?

 
 
Seule chose, depuis la liste blanche des adresses MAC, pas de soucis...
 
A plus,

Ouai c'est possible que ce soit Eset qui déconne mais Xarp me détecte bien des attaques ARP, pour l'histoire du filtrage Mac la freebox V5 ne permet pas cette option, à mon avis cela peut venir de la freebox si j'avais subit une intrusion sur mon réseau j'aurais des ralentissements voire des déconnexions enfin il me semble. Sinon le message de Xarp est "DirectedRequestFilter : targeted request destination mac of arp request not set to broadcast/invalid address" c'est quelqu'un à la gentillesse de me dire la signification de ce message je lui en serais reconnaissant.

Le message signifie que le paquet ARP (ou détecté comme tel) n'a pas été envoyé à l'adresse de de Broadcast du réseau et par conséquent  est invalide.
 
Une cause pourrait être qu'un hôte sur le même réseau local est configuré avec un subnet ou un autre réseau IP suite à une erreur de configuration et que par conséquent son adresse de broadcast n'est pas celle de l'hôte qui analyse les paquets.
 
Un exemple parmi d'autres : freebox IP 192.168.0.254, masque de sous-réseau 255.255.255.0, adresse du réseau 192.168.0.0, adresse de broadcast 192.168.0.255. Un hôte quelconque en IP fixe 192.168.1.25, masque de sous-réseau 255.255.255.0, adresse du réseau 192.168.1.0, adresse de broadcast pour cet hôte 192.168.1.255 ... l'erreur est dans ce cas grossière et il est facile de constater que l'hôte n'est pas sur le même réseau IP bien sur le même réseau local, mais souvent c'est un peu plus subtile.
 
Après pour comprendre ce qu'il se passe il n'y pas de miracle et il faut analyser les paquets réseau. C'est souvent long et pas forcément évident mais des outils tels que Wireshark / WinPcap pour sont précieux pour la capture des données et leur analyse.

merci de ton message je vois ce que tu veut dire par contre wiresshark et moi ...... enfin bon je vais passer tous en static niveau adressages ça seras déjà ça

 
comment tu explique ça alors:

 
Je n'ai jamais dis que ton réseau n'était pas squatté par quelqu'un d'étranger à ce dernier. Mon message concerne uniquement les alertes d'ESET et dans quelles mesures elles peuvent se produire. Ce genre de softs a tendance à être alarmiste, voir dans certains cas génère des faux positifs. J'ajouterai qu'une bonne partie des utilisateurs sont incapables de comprendre de quoi il s'agit lorsqu'une alerte est levée par un logiciel de sécurité (je reconnais que les messages sont aussi assez cryptiques).

En tout cas, comme promis, c'est RESOLU !
Heu... Par contre, il n'y a pas de case pour ça ???
 
Merci pour tout à tous !
 
A bientôt

Non mais tu peux éditer le titre vu que tu es l'auteur du sujet initial et mettre la balise [RESOLU] (et accessoirement tu peux aussi "fermer le sujet" si tu ne souhaites plus que ce dernier évolue)

probablement que quelqu'un a changer la table arp de votre ordinateur par arp empoisoning pour cela essayer de vider votre cash arp a l'aide de la commande suivant :
arp -d <hostname>
source: <a href="http://electro-media.blogspot.com/2013/08/protocole-arp.html" rel=dofollow >le protocole de resolution d'adresse ARP</a>
et de securiser votrre reseaux sans file a l'aide des conseile sur le lien suivant :
<a href="http://electro-media.blogspot.com/2012/10/protection-integree-du-80211-wifi.html" rel=dofollow >  
Comment Sécuriser un Réseau Sans fil (wifi) </a>