Salut à tous,  
 
J'ai actuellement des évènements qui m'interloquent quelque peu :
 
En épluchant quelques captures d'analyse Wireshark, j'ai remarqué que la machine sur laquelle j'effectuais les scans recevait des paquets qui ne le lui étaient pas destinés, et ce sur un réseau uniquement composé de switchs.
 
- Le backbone du réseau local est composé de 3 switchs gigabit
- un routeur est en place pour les accès au net (gateway)
 
Mettons que le routeur reçoit des paquets à transmettre à la machine 1 (IP 10.0.0.1), est-t-il normal de capturer ces paquets sur la machine 2 (10.0.0.2) alors que les entêtes source & destination correspondent bien à celles du routeur et de la machine 1 ?    
 
J'espère avoir quelques avis pour m'éclairer sur cette bizarrerie.
 
Merci d'avance.
 
 

ce ne serait pas des requêtes ARP que tu verrais ? ou des broadcast quelconques (au niveau Ethernet) ?

si tu as des vlan sur tes switch tu devrais voir du traffic de toutes les machines du meme vlan ...

Merci pour les réponses
 
Alors :
 
- @dreamer18 : non ce ne sont pas des requêtes ARP (elles auraient été indiquées comme telles), ce sont des paquets HTTP
- @ gizmo31 : non, aucun vlan de branché sur les switchs (cela dit je ne comprends pas, quand bien même ce serait le cas, pourquoi je verrais le traffic de toutes les machines    les vlans ne travaillent-ils pas également en commutation ? )
 
Pour en revenir à mon problème initial, j'ai cherché une probable explication, mais ça va à l'encontre de la théorie que j'ai pu apprendre (recevoir des paquets dont le destinataire est une autre machine sur un réseau commuté, ça me dépasse   )

bof, peut etre que la table de commutation de ton switch déconne et envoie des paquets sur plusieurs ports.

Peut-être...mais là ça relève du niveau hardware, donc peu de chance d'y remédier
 
Ceci dit, ça voudrait dire que tous les switchs déconnent :
 
- un paquet à destination de la machine 1 arrive sur le réseau en provenance du net
 
Disons que le premier switch foire et le distribue non seulement à la machine 1 qui est branchée directement dessus, mais le forward également vers le switch n°2, qui le forward à son tour vers le switch n° 3, et ce paquet fini par arrivé sur la machine n, alors qu'il est correctement formaté    
 
je pensais à un problème de redondance au niveau des MAC (sait-on jamais), mais après analyse, elles sont bien toutes uniques....
 
En tout cas c'est un sérieux problème de sécurité !

au niveau des mac address des trames vues tu es sûrs que ce ne sont pas des broadcast ou du multicast ? Sinon c'est que c'est pas un switch, mais que c'est un hub c'est quoi comme switch ?

Non non ce ne sont clairement pas des broadcasts / multicast, ça se voit à aux infos des paquets scannés.
 
Les switchs sont des D-Link DGS-1016D, et à priori ne sont pas des hubs   (même si tout ça me fait douter du mode de fonctionnement).

c'est quel type de paquet que tu recois ? icmp ??? ( genre type3 code 3? )

il a dit HTTP. Donc je pense que tes switchs sont pas terribles.

Bonjour,  
 
Juste un petit rappel du fonctionnement de wireshark et des switchs.
 
Par défaut wireshark se me en mode promiscious, donc la carte réseau n'emet plus de mac@, le port du  
switch passe en mode hub et redirige tous les fluxs transitant en interne vers le PC.
 
Si on désactive ce mode de fonctionnement, seulements les paquets de multidifusion et cie sont redirigés vers le PC.
 
Mes 2 eurocents.
 
Cordialement,

si c'était comme ça , ça serait une putain de faille de sécurité nan ?
comment un  simple poste peux agir sur le port d'un switch  en mettant son interface en promiscious ...
 
bon, je suis paumé avec vos affaire,s je vais me refaire un gros coup de RTFM !

 
Tu es sûr de ça ? Je n'ai jamais observé ce comportement...
 
Anvil, l'adresse MAC destination que tu as dans les paquets qui ne te sont pas destinés correspond à ton interface réseau ?
Tu as moyen de te connecter à l'interface du DGS-1016D pour vérifier la conf ?

 
Oui absoluement, le meilleur test est d'activer ou non le mode promiscious dans wireshark.
Petit test : sous unix impossible de passer une carte en promiscious si on est pas root.
Sous windows l'install de wireshark demande si la pile winpcap doit tourner en administrateur local d'ailleurs.
 
Cordialement,

Le fait que la carte passe en promiscious n'a aucun effet sur le switch.

 
je me disais aussi ...
 
 

pour qu'un switch passe en mode hub, il faut au contraire saturer la table CAM de mac address

 
 
Petite discution autour de la lib winpcap provoquant cet etat de fait :  
 
http://winpcap.cs.pu.edu.tw/piperm [...] 00398.html
 
Et sinon un petit article expliquant le processus de sniff.
Avec un petit morceau tres interessant sur la partie switché (en anglais désolé) : Sniffing switched Ethernet
 
http://ethernet.industrial-network [...] sp?id=1270
 
 
Donc ne pas oublier la phase d'apprentissage du switch ... et le flood de mac@ comme par exemple le fait le NLB de microsoft.
 
 
Cordialement,

ça n'empêche pas qu'une modif sur une carte de PC n'influence pas le fonctionnement de la table de commutation d'un switch. Pour ça, il faudrait saturer la table de CAM de mac address bidons.

+1 pour dreamer18 ...(du moins, de mon experience ..)

Wow, le topic vient de passer à la vitesse supérieure !
 
@be-net-view: tu as jeté un gros pavé dans la mare au sujet du mode promiscuous
 
Effectivement ce mode est activé par défaut, mais après avoir lu le lien traitant du sniffing en ethernet commuté, le seul 'trick' qu'ils proposent pour passer outre la limitation sur les ports d'un switch est bien de saturer la table.
 
Sinon ça serait effectivement une énorme faille de sécurité et tout le bénéfice de l'ethernet commuté s'effondrerait.
 
Cela dit on en apprend tous les jours, merci d'avoir contribué à édifier mes connaissances sur Wincap
 
@BMenez : les switchs sont non manageables (sauf intervention hardware...) et concernant les MAC contenues dans les paquets non destinés que je reçois sont celles des machines de destination réelles. (d'où mon inquiétude   ).
 
Cela dit, après avoir effectués les scans sur plusieurs machines différentes, j'ai constaté que seulement qques-unes reçoivent des paquets qui ne leur sont pas destinés, pour les autres, rien à dire, ça ressemble bien à de l'ethernet commuté.
 
Je vais essayer de voir s'il n'y a pas moyen d'effectuer un hard reset....

t'as regardé la table  des MAC lookup ? tu tombes sur quel équipementier ?

Les chips gigabit sont intégrés aux CM, Wireshark donne comme équipementier Asustek (les CM étant des Asus).
 
Mais en quoi est-ce important ?

d'où ma question

Et il se passe quoi si la machine qui sniff spoof son adresse mac avec celle du switch ?

un switch n'a pas d'adresse mac ... (je me comprends)
que d'aneries dites sur ce topic .... quand vous etes pas sur, ne postez pas pour faire des stats, ou pour repeter un truc que vous avez entendu du copain de l'oncle de votre soeur ....
Wireshark qui fait disparaitre les @MAC et transforme un switch en HUB .. mieux que gerard majax.
Si ton switch est administrable, vérifie l'état de la CAM quand tu constates le problème.
Ensuite, tu vois des paquets non voulu, tu vois tout le trafic, ou juste le premier paquet d'une connection (SYN) ??
Parce que si c'est ca, c'est normal, c'est qu'au moment du SYN, le switch n'a pas la correspondance MAC<->port, et donc flood le paquet pour etre sur que la machine concernée le recoit bien.
Une fois que cette derniere ACK, le switch apprend la MAC, et tout le monde est content.
Si tu vois toute la connection, alors oui, t'as un probleme ... et même gérard majax pourra pas t'aider ...