MAC address identique pour un DNS et mon laptop !

bertaudmarc · Mars 14, 2017, 3:40pm

Je viens de découvrir quelque chose de bizarre:
J’ai installé arpwatch sur ma debian jessie pour voir si il y avait des attaques arp spoofing.
Après quelques minutes toutes mes machines étaient identifiées dans sa base de données eth0.dat
J’ai enclenché un laptop qui via le wifi finit aussi par être identifié MAIS juste après un intrus s’est glissé dans la base de données et cet intrus c’est un serveur DNS bien connu issu de la zone root IANA.
Même adresse MAC !
Questions naïves: cela arrive t’il souvent ? est-ce un faux problème, une erreur de config ?
faut-il le signaler ?

Almtesh · Mars 15, 2017, 8:36am

Bonjour,

Les adresses matérielles sont connues seulement dans le réseau local. Si tu vois une adresse matérielle associée à plusieurs adresses IP, dont certaines ne sont pas dans ton sous-réseau, c’est que cette adresse matérielle appartient probablement à un routeur de ton réseau.

Après, je ne suis pas sûr d’avoir bien compris la problématique.

gregoryroche0 · Mars 15, 2017, 11:08am

Bonjour,

attention, ils t’attaquent.

bertaudmarc · Mars 15, 2017, 1:58pm

Normalement l’adresse mac est unique.[quote=“gregoryroche0, post:3, topic:72954”]
attention, ils t’attaquent
[/quote]

Suis-je trop parano ?

Almtesh · Mars 15, 2017, 2:13pm

Oui, dans un sous-réseau défini, un duplicat d’adresse matérielle est un problème, mais on peut avoir des duplicat dans des sous-réseaux séparés par un routeur.
D’ailleurs, le routeur lui-même peut voir des duplicats d’adresses matérielles sur plusieurs réseau et ne pas avoir de problème avec ça.

En fait, c’est ça que je n’ai pas compris dans ton message initial.

bertaudmarc · Mars 15, 2017, 2:25pm

Voici un extrait du fichier eth0.dat :

88:xx:xx:xx:xx:31       192.168.1.32    1489586085      mfc8890 eth0
00:21:xx:xx:xx:60       192.168.1.34    1489530844      portable        eth0
00:21:xx:xx:xx:60       169.xxx.xxx.119 1489516376              eth0

Almtesh · Mars 15, 2017, 2:33pm

Premièrement, ce n’est pas une faille de sécurité de publier les adresses matérielles de ses équipement. Par exemples, voici toutes celles de mes équipements :

44:74:6c:e5:f0:d4
5c:26:0a:57:83:78
00:07:cb:03:c6:10
00:1b:21:ab:bc:c3
00:1b:fc:32:a0:43
a0:21:b7:95:73:dc
a0:21:b7:b3:19:f8
00:25:e2:01:44:28
00:0e:8f:c9:59:44
18:1e:78:f2:24:7f
68:05:ca:09:51:8e

Aucun risque.
Ensuite, est-ce qu’on peut avoir l’adresse IP de la troisième ligne en entier, je parie qu’elle est dans le réseau 169.254.0.0/16, n’est-ce pas ?

bertaudmarc · Mars 15, 2017, 2:36pm

169.254.121.119 Intel

Almtesh · Mars 15, 2017, 2:43pm

Ah, ce n’est pas du tout un serveur DNS racine, c’est l’adresse IP automatique issue de Zeroconf. Tu ne te fais donc pas attaquer. (Ouf !)

bertaudmarc · Mars 15, 2017, 3:48pm

explications ?
pourquoi arpwatch l’a mémorisé ?

Almtesh · Mars 16, 2017, 9:21am

Parce que c’est une de ses adresses IP, il n’avait aucune raison de l’ignorer.
Zeroconf est un processus de configuration automatique du réseau sans serveur, les hôtes communiquent directement entre eux pour la découverte de services.

bertaudmarc · Mars 19, 2017, 5:09pm

Est-il dangereux d’enlever dans ce cas avahi-daemon ?
Il semble redondant avec DNS

Almtesh · Mars 19, 2017, 9:11pm

Si rien n’en dépend, tu peux l’enlever sans problème. Ce n’est pas un composante indispensable dans la couche réseau de linux.

PengouinPdt · Juin 30, 2017, 7:50am

Je ne serais pas aussi affirmatif
Mais on ne va pas faire peur au petit nouveau
(ARP Poisoning, ARP Spoofing, …)

Oup, désolé, du bruit. Je viens de remarquer après avoir posté, que ton post remonte à mars.

Almtesh · Juillet 1, 2017, 1:03pm

Oui, je suis d’accord, mais cette adresse est librement visible à l’endroit où on peut faire ces attaques.