Je pense être victime de l'attaque Man in the Middle dans mon réseau d'entreprise par une personne se trouvant à l’intérieur de notre LAN (réseau basé domaine Windows 2008).
J'ai constaté que depuis quelques jours je n'ai plus accès à deux serveurs et que la commande ping est très lente avec comme réponse "délai d'attente de la demande dépassé", quand j'essaye de tester ma connectivités avec les deux serveurs en question, il m'arrive d'avoir aussi des certificats qui s'affichent alors qu'il y en avait pas avant.
En réunissant ces symptômes, j'ai déduit que quelqu'un est en train d’intercepter mon trafic et le bloquer. J'ai lu de la doc concernant cette attaque, afin de la stopper et surtout de démasquer la personne qui en est à l'origine; il est expliqué qu'il faut faire un arp-a sur sa machine pour voir que la correspondance des adresses ip que l'on veut joindre est dirigé vers une seule adresse mac, celle de l'attaquant.
Mais, malheureusement ce n'est pas mon cas. Ma question est est-ce qu'on peut faire un ARP poisoning sans modifier la table arp ou du moins sans que ça soit visible à la victime.
Avant toute réaction, commence par vraiment analyser ce qui t'arrives, parle de tes symptômes avec ton Service Informatique(SI) local.
Une attaque par l'homme du milieu est très souvent utilisé entre une cible et une passerelle (Pour attraper les flux vers/venant d'internet/Cible).
Si tu te sens vraiment victime de ce genre d'attaque (Si tu as vérifié que ce problème de lenteur etc.. ne concerne que toi, et si tu en a parlé avec ton S.I.), alors tu peux chercher qui est l'adresse MAC coupable.
Pour récupérer l'adresse MAC de ton serveur :
Il te faudra un compte administrateur du domaine pour faire un "NBTSTAT -A @IP_Serveur_en_question"
Il faut que dans les champs qui apparaîtront tu vérifies (Toujours à l'aide de ton S.I.) que se sont les bonnes informations.
Pour récupérer l'adresse MAC dans ton ARP sur ton poste client :
arp -a
Compare les deux adresses MAC, et si ton "NBTSTAT" te renvois le bon serveur et que dans ta table ARP tu as une autre MAC, il y a de grande chance que ce soit ton attaquant.
Tout ceci n'est qu'une aide à la compréhension, si tu as ce genre de problème, il faut te référer directement au chef du Service Informatique et faire remonter ça à ta hiérarchie.
Cordialement
- Edité par Tenebrum 10 février 2015 à 12:50:35
L'esprit n'avance que s'il a la patience de tourner en rond, c'est-à-dire d'approfondir.
Merci pour ta réponse. A vrai dire, ça va vous sembler étrange c'est moi l'administrateur réseau, sauf que ces derniers temps je m'occupe de de la rédaction d'un cahier de charge dans l'entreprise ce qui m'a éloigné un peu de mon poste (manque d'effectif), il y a un autre administrateur réseau dans le SI est je pense que c'est lui l'attaquant.
L'adresse mac du serveur récupérée avec la commande nbstat est identique à celle qui est sur ma table arp. Je vous signale aussi que lorsque je me connecte à partir d'autres postes j'accède normalement aux contrôleurs de domaine. Le problème est au niveau de mon poste.
J'ai lancé wireshark, mais je ne sais pas où je dois chercher exactement ce que je dois chercher.
Il y a deux moyens courants pour faire du MITM. Le premier est effectivement avec du arp poisonning, mais pas très discret. Regarde notamment l'adresse mac de ta route par défaut. Est-ce qu'elle corresponds bien à celle de ton routeur ? Si tu ne la connais pas regarde déjà les 6 premiers charactères, ils te donneront la marque du contructeur.
La deuxième solution est dans la configuration du routeur. Dans ce cas, il faut vérifier les interfaces, etc.
Dans tous les cas, monte une connexion https (ex : google) et regarde le certificat. Si c'est bien celui de Google, le MITM est pas bien méchant... Dans le cas contraire... Faudra prévoir un cours d'ethique... Sachant au passage que c'est interdit et puni par la loi (même pour la DSI, s'ils le font ils doivent l'avoir annoncé au préalable) !
Après vérification, les adresses Mac de la table arp et celle de nbtstat sont identiques, je me suis lancée sur une mauvaise piste. je ne suis pas dans le bon sujet "Victime d'une attaque MITM", mais tout porte à croire que j'ai subis une attaque que je n'arrive pas à déterminer.
L'accès distant à tous les autres serveurs du réseau fonctionne mais se fait assez lentement, j'arrive à imprimer, à accéder aux dossiers de partage, le problème se pose juste pour l'accès aux deux contrôleurs de domaine.
Qu'est ce que je peux faire s'il vous plait? cela fait plusieurs jours que bloque la dessus
Regarde du côté de la configuration de ta machine, notamment le DNS. Si tu contactes le serveur directement par son adresse IP, est-ce que ça marche ? Un petit traceroute peut donner pas mal d'info aussi.
Sinon, bin Wireshark et analyse de flux, mais par contre ça prendra un peu temps...
Après, l'attaque (s'il y en a une), peut provenir directement de ton ordi... Regarde si tu n'as pas une interface virtuelle fantôme, un proxy ou un VPN de configuré, un processus qui tourne mais qui n'a rien à faire là, les programmes au démarrage... Enfin les trucs classiques pour trouver un virus
Que se passe t'il si tu connectes un autre PC sur le meme cable ethernet ? Est ce que les traceroute sont les memes ?
Est-ce que les ping se comportent de la meme facon ?
Ca permettrait eventuellement de savoir si le probleme est localise sur ton PC en particulier.
____
Si j'ai bien compris tu es l'admin reseau.
Mais vue les questions que tu poses je suppose que tu es assez jeune dans ce poste.
Dans un tel cas, il doit bien y avoir quelqu'un a qui tu peux faire part de tes doutes/problemes sur le reseau. Y compris de facon candide, sur la forme: "Tiens je sais pas si ca vous le fais en ce moment mais moi quand j'accede au serveur Bidule j'ai tel et tel probleme"
- Edité par mrjay42 10 février 2015 à 14:18:40
Si y'a pas d'accents dans mes messages c'est parce que je suis sur un clavier norvegien :)
Avec la commande tracert sur poste fonctionnel, j'obtiens la réponse "itinéraire détérminé" avec la réponse immédiate de la destination, mais sur mon poste j'ai "délai d'attente dépassé".
Avec la commande pathping, j'obtiens sur mon pc une ligne avec : * * *, au lieu d'avoir le nom du serveurDestination[@ip].
En essayant ces deux commandes vers d'autres serveurs à partir de mon poste, ça marche. Le flux bloque seulement vers les deux serveurs contrôleurs de domaine.
Le problème n'est pas passager parce que ça dure depuis 4 jours, et je ne suis parvenue à aucune solution.
Bon je ne pense pas avoir le niveau suffisant pour aider a resoudre/identifier le probleme, mais bon je tente quand meme:
Le fait d'avoir des etoiles ou des delais d'attente depasses dans le traceroute ou le ping, ce n'est pas anormal ni mauvais
Cela signifie tout simplement que tout ou partie des appareils connectes au reseau ne repondent pas aux pings.
Ceci ne constitue pas une preuve d'attaque.
Meme si auparavant tu pouvais pinger ces serveurs et que maintenant ca marche pas ou moins bien, ceci n'est pas forcement un signe d'attaque.
Avant de penser a l'agressivite d'un eventuel collegue, j'aurais toujours tendance a miser sur une erreur, un bug voire une incompetence...
_____
Dans ton premier post tu mentionnes des certificats qui s'affichent.
Quand est-ce que ces certificats s'affichent ?
As-tu essaye de les lires ?
Un peu plus dans le topic quelqu'un a suggere que tu accedes a des sites web en https pour voir si le certificat utilise dans ton navigateur est bien celui emit par le site en question.
_____
Sur les serveurs que tu mentionnes dans ton premier message, y a t'il des services auxquels tu as l'habitude d'acceder ?
Si oui, as-tu essaye d'y acceder
Si oui est ce que ca marche ?
Si non, beh essaye...Je pense notamment a des services tels que SSH ou FTP ou Samba ou n'importe quel type de service...
_____
Solution de chacal Numero 36:
Pour verifier comment se comporte le reseau a partir d'une autre machine tu pourrais, eventuellement et si c'est possible, utiliser SSH. Et voire depuis une d'autres machine dans le reseau comment les ping et autres traceroute se comportent.
Ceci est possible, si tu as acces a d'autres becanes sous Linux situees un peu partout dans le reseau.
- Edité par mrjay42 10 février 2015 à 14:57:21
Si y'a pas d'accents dans mes messages c'est parce que je suis sur un clavier norvegien :)
Petite astuce : Un équipement réseau (Routeur très souvent) qui bloque les trace routes et autre méthode de cheminement peut faire que dans le rapport de la commande des étoiles apparaissent :).
Cordialement
L'esprit n'avance que s'il a la patience de tourner en rond, c'est-à-dire d'approfondir.
Petite astuce : Un équipement réseau (Routeur très souvent) qui bloque les trace routes et autre méthode de cheminement peut faire que dans le rapport de la commande des étoiles apparaissent :).
Cordialement
Beh oui, c'est ce que je pensais avoir dit aussi.
J'ai du mal m'exprimer
Si y'a pas d'accents dans mes messages c'est parce que je suis sur un clavier norvegien :)
Comme nous n'avons pas des switchs paramétrables, je pense qu'il n'y a pas de restriction au niveau des ports des switchs, mais j'ai comme même essayé:
j'ai branché mon poste sur une autre prise et la prise où était raccordé mon pc à autre ordi. et c'est toujours pareil, ça marche sur l'autre ordi (tracert et pathping) et sur le mien non.
Ce qui m'intrigue c'est que JUSTE le trafic vers les deux serveurs Bloque, c'est comme si le flux était balancé dans le vide.
@mrjay: je n'ai plus de certificat qui s'affiche et je suis sur un intranet niveau 2, nous n'avons pas de routeurs seulement des switchs.
Il y a juste quelques minutes j'arrivais à accéder à partir d'un autre poste et là ça ne marche plus, ça marche vers un serveur et l'autre non (le ping).
comme par hasard, toutes les autres connexions sont stables sauf celles ci. Est ce que quelqu'un peut faire ça en injectant un script
ou autre chose, c'est à dire bloquer les connexions à sa guise vers des postes bien précis.
J'ai regardé au niveau de la stratégie locale des deux serveurs et il n' y a absolument rien.
On ne peut que te donner des conseils. La vérité, c'est que c'est très difficile de détecter les principales causes de tes problèmes car nous n'avons pas assez d'information. Il faudrait que tu puisses nous envoyer un plan du réseau avec les points où tu rencontres des problèmes.Ainsi que le résultat de tes ping, tes tracert dans différents réseaux ainsi que les tables de routage des routeurs.
Personnellement, je pense à une mauvaise configuration d'un routeur.
Question bête : pourquoi quelqu'un passerait son temps à bloquer pile le poste où tu te trouves ?
Sinon concernant les connexions, prends un Wireshark et regarde la réponse que te retourne le serveur... Pas de réponse ? Certificat invalide ? Identifiants refusés ? ...
Idem pour un tracert, regarde avec Wireshark quel équipement à rejeté la connexion, et pourquois. Si ca se trouve ta requête n'arrive pas jusqu'au serveur, qui n'est donc même pas au courrant que tu essayes de lui parler... Si tu ne sais pas décoder une capture réseau, met une copie d'écran de ce que tu as après le SYN que tu envoi au serveur, l'origine du problème devrait apparaitre.
Merci pour tous vos conseils, je vais faire un plan de mon réseau et les captures Wireshark et les envoyer demain sur le forum, parce que j'ai quitté le boulot.
Merci encore
Victime d'une attaque MITM
× Après avoir cliqué sur "Répondre" vous serez invité à vous connecter pour que votre message soit publié.
× Attention, ce sujet est très ancien. Le déterrer n'est pas forcément approprié. Nous te conseillons de créer un nouveau sujet pour poser ta question.
Si y'a pas d'accents dans mes messages c'est parce que je suis sur un clavier norvegien :)
Si y'a pas d'accents dans mes messages c'est parce que je suis sur un clavier norvegien :)
Si y'a pas d'accents dans mes messages c'est parce que je suis sur un clavier norvegien :)
Si y'a pas d'accents dans mes messages c'est parce que je suis sur un clavier norvegien :)
Si y'a pas d'accents dans mes messages c'est parce que je suis sur un clavier norvegien :)