Dup???

[drs]

salut

A l'ouverture de mon terminal, j'ai mis une commande ping qui envoie en broadcast, histoire de voir toutes les machines connectées à mon réseau (ayant eu des intrusions non autorisées, je surveille ).

Mais ce matin, j'ai eu la chose suivante:
64 bytes from (adresse ip): icmp_seq=6 ttl=64 time=8.318 ms
64 bytes from (adresse ip): icmp_seq=6 ttl=64 time=9.952 ms (DUP!)
64 bytes from (adresse ip): icmp_seq=6 ttl=64 time=11.366 ms (DUP!)


Vous remarquerez les DUP! C'est quoi cette chose?

Alex

PS: je ne me souviens plus comment j'ai mis cette commande au demarrage du terminal....si en meme temps vous pouviez me rafraichir la memoire...

 

[TheraBylerm]

Salut !!

Ton système pour détecter les intrus sur le réseau m'intéresse... je soupçonne aussi quelques intrusions, dues à un ralentissement du réseau, même quand mes deux coloc ne sont pas connectés.

J'imagine que c'est pour détecter les intrus qui se connectent par WiFi. Est ce qu'il y a beaucoup de risque d'intrusion quand le réseau est protégé par une clé WEP 128 ?
Comment ça marche ? Je sais que tu n'as plus la ligne de commande qu'il faut rentrer, j'attendrai que quelqu'un la donne.
Et comment est ce qu'on déchiffre le résultat obtenu ? Comment sais t'on qu'il y a un intrus ou pas ?
Est ce que ce type de détection marche pour une borne Airport Express ?

Ca fait beaucoup de question, mais il est vrai que je suis curieux...

 

[drs]

salut

si la ligne de commande je l'ai toujours, c'est comment je 'lai mis au lancement du terminal que je ne sais plus

En fait, tu fais un ping sur l'adresse de broadcast (255). Si l'adressage de ton réseau est 192.165.0.X, tu fais un ping sur 192.165.0.255, et toutes les machines connectées à ton réseau vont répondre en donnant leur adresse. Simple mais efficace

Alex

 

[TheraBylerm]

Merci pour ta réponse rapide !

Quand tu parles de l'adresse du réseau, tu parles de l'adresse de la borne Airport Express, c'est ça ?
Et comment fait on un ping via le terminal... ? je ne connais pas la commande.

 

[Macounette]

DUP = duplicate.
J'obtiens la même chose lorsque je fais un ping en broadcast, le DUP provenant de l'adresse de ma borne.

--- (adresse ip) ping statistics ---
14 packets transmitted, 14 packets received, +14 duplicates, 0% packet loss

@TheraBylerm : la commande c'est ping + l'adresse de broadcast, c'est tout. Pour terminer le ping, ctrl+C.

 

[bompi]

En lançant un ping de manière automatique, peut-être vaudrait-il mieux le faire s'arrêter tout seul en lui disant d'envoyer un certain nombre de paquets seulement :
ping -c 5 <adresse>

dans mon exemple, c'est 5 paquets ...

Par ailleurs, je suppose que tu as mis ton 'ping' dans le fichier .bashrc ou .bash_profile, qui est exécuté au login.

Pour la sécurité, les clefs WEP ne sont pas terribles, il semble. La raison en est qu'elles sont constantes donc, avec un peu de patience, on arrive à ses fins. Le WPA est conseillé, même s'il n'est pas encore parfait.

Pour revenir au problème initial, la page de manuel de ping nous apprend :

DUPLICATE AND DAMAGED PACKETS
Ping will report duplicate and damaged packets. Duplicate packets should
never occur, and seem to be caused by inappropriate link-level retrans-
missions. Duplicates may occur in many situations and are rarely (if
ever) a good sign, although the presence of low levels of duplicates may
not always be cause for alarm.

Damaged packets are obviously serious cause for alarm and often indicate
broken hardware somewhere in the ping packet's path (in the network or in
the hosts).

En clair : ça craint

J'ai toutefois l'impression que c'est lié au Wifi (c'est juste une impression). À mon boulot j'ai des DUP aussi sur le réseau Wifi. Je vérifierai ce soir chez moi.

 

[TheraBylerm]

OK!!!

Merci pour ces réponses.

Je viens donc de faire le test, d'abord avec uniquement mon PwB allumé et connecté à la borne AE.
J'ai bien 2 adresses IP qui s'affichent : celle de la borne et la mienne.

Mais là ou il y a un bug, c'est quand les ordinateurs des mes 2 colocs sont allumés, et connectés au réseau.
Je relance un Ping, et je n'obtiens que 2 adresses : celle de la borne et la mienne...

Comment fais t'on du coup pour voir si il y a intrusion, si je ne "vois" même pas les ordinateurs de mes 2 coloc ?

 

[Macounette]

bompi : merci ... enfin, je ne sais pas si je dois me faire du souci ou pas :sick:

 

[drs]

salut

Merci pour ces eclaircissements...

Mais dans mon cas, les adresses en DUP sont celles de mon point d'acces WIFI et celle de la freebox. Celle de l'ibook est normale.

C'est grave?

Alex

 

[Macounette]

Mais dans mon cas, les adresses en DUP sont celles de mon point d'acces WIFI et celle de la freebox. Celle de l'ibook est normale.

Même chose pour moi... par contre si je ping la borne toute seule je n'ai pas de DUP

 

[bompi]

Chez moi c'est à peu près pareil. Le routeur Wifi (Netgear) ne renvoie rien et le portable DELL non plus (bikoze firewall activé et contraignant).
Je n'ai donc de réponse que de mon PB et ma borne AE. Cette dernière me renvoie plein de DUP.
Une recherche rapide sur Internet montre que cela arrive apparemment beaucoup plus sur des réseaux WIfi (à creuser).
La remarque de Macounette me semble très pertinente : si on ne fait pas de broadcast, pas de DUP.
Il doit y avoir un effet collatéral lorsqu'on fait un broadcast dans un réseau Wifi.

 

[bompi]

Bon, en fouillant un peu, j'ai trouvé une doc en ligne où l'on parle de ping et de broadcast.

Où il appert qu'avoir des 'DUP!' quand on fait un broadcast, ce n'est pas étonnant :

We also see that the BSD ping program checks for duplicate sequence numbers and prints DUP! when this occurs. It normally means a packet was duplicated somewhere, but here we expect to see this, since we sent the requests to a broadcast address.

Donc, soyons rassuré ...

 

[Macounette]

ahhhh chouette. j'avais cherché mais rien trouvé de concluant sur le web... bravo bompi

Vous devriez donner des points de réputation à d'autres avant d'en offrir de nouveau à bompi. :siffle:

 

[bompi]

ahhhh chouette. j'avais cherché mais rien trouvé de concluant sur le web... bravo bompi

Vous devriez donner des points de réputation à d'autres avant d'en offrir de nouveau à bompi. :siffle:

Mmmmhhhh .... et pourquoi ça, ma p'tite dame ? J'y tiens à ma réputation

Et quand je vois ton total (aux alentours de la masse de la lune) comparé au mien (aux alentours de la masse d'un iPod shuffle), je suis jaloux

J'ai jamais eu autant envie d'avoir des coups de boule, moi
[d'autant que c'était une mauvaise journée : scooter kaputt !]

J'arrête avant qu'un modérateur ne me tape sur les doigts (non, pas les doigts)

 

[ozark]

tiens, tiens, moi quand je fais un broadcast à partir de mon powerbook, je vois bien mon powerbook, mon point d'accès, mais pas mon pc (pas de firewall sur le pc) ...

je précise que le pc est connecté en mode cablé à mon routeur/access point et que je lui ait imposé une adresse ip fixe ...

 

[bompi]

Là, ça tient du teasing ...

Je suppose que toutes tes machines sont dans la même classe, hein ? Il faudrait vérifier si le ping broadcast dépend de la couche matérielle ou non, i.e. si pour un même réseau logique, il ne s'adresse qu'à son seul réseau physique.
Ou alors c'est un autre aspect de la question : quel est l'OS sur ton PC ? Windows ou un Unix/Linux ?

 

[ozark]

Là, ça tient du teasing ...

Je suppose que toutes tes machines sont dans la même classe, hein ? Il faudrait vérifier si le ping broadcast dépend de la couche matérielle ou non, i.e. si pour un même réseau logique, il ne s'adresse qu'à son seul réseau physique.
Ou alors c'est un autre aspect de la question : quel est l'OS sur ton PC ? Windows ou un Unix/Linux ?

oui c'est bien une machine Windows qui est dans la même classe d'adresse ip.
la question est posée uniquement pour assouvir ma curiosité 'scientifique'
=> ca ne m'empêche pas de dormir

 

[bompi]

oui c'est bien une machine Windows qui est dans la même classe d'adresse ip.
la question est posée uniquement pour assouvir ma curiosité 'scientifique'
=> ca ne m'empêche pas de dormir

Une petite recherche m'amène à penser que c'est normal ... car voulu ainsi par MicroSoft.
Ici il est expliqué que c'est le cas pour NT 3.51 (l'ancêtre ...) et là c'est grosso modo la même chose.

On peut aussi constater que c'est à l'implémenteur de TCP/IP de choisir (apparemment cela reste fortement conseillé pour les routeurs on s'en doutait )

[petite édition]
J'oubliais de signaler le lien vers l'explication complète de la pile TCP/IP de Windows 2000.
Vous m'en auriez voulu, à mort

[fin de la petite édition]

 

[TheraBylerm]

Chez moi c'est à peu près pareil. Le routeur Wifi (Netgear) ne renvoie rien et le portable DELL non plus (bikoze firewall activé et contraignant).
Je n'ai donc de réponse que de mon PB et ma borne AE. Cette dernière me renvoie plein de DUP.
Une recherche rapide sur Internet montre que cela arrive apparemment beaucoup plus sur des réseaux WIfi (à creuser).
La remarque de Macounette me semble très pertinente : si on ne fait pas de broadcast, pas de DUP.
Il doit y avoir un effet collatéral lorsqu'on fait un broadcast dans un réseau Wifi.

tiens, tiens, moi quand je fais un broadcast à partir de mon powerbook, je vois bien mon powerbook, mon point d'accès, mais pas mon pc (pas de firewall sur le pc) ...

je précise que le pc est connecté en mode cablé à mon routeur/access point et que je lui ait imposé une adresse ip fixe ...

Alors, pas moyen de vérifier qui se connecte sur le réseau ? Si le simple Firewall windows (ou même windows tout court) empêche d'être vu sur un réseau, j'imagine que ceux qui se connectent sur des réseaux de particuliers se protègent encore mieux !!
Ceci dit, j'ai changé le mot de passe WEP hier, et... magie ! Le réseau semble aller mieux, plus de ralentissements !! Il faut croire qu'une clé WEP se craque plus facilement qu'on ne le pense...

 

[bompi]

Je ne suis pas du tout un cracker mais effectivement, une clef WEP semble facile à cracker.
Comme je le disais, je crois que sa faille est principalement que la clef est constante dans le temps : il est donc juste une question de temps pour la déduire du trafic.
Donc, il vaut mieux passer au WPA. Les Mac et les bornes Airport le gère très bien. Quant aux routeurs Wifi, une MAJ de leur firmware peut ajouter cette fonctionnalité (c'est le cas de mon Netgear).