IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Réseau C Discussion :

ARP Analyseur - systeme/reseau


Sujet :

Réseau C

  1. #1
    Membre régulier
    Homme Profil pro
    Lycéen
    Inscrit en
    Mars 2014
    Messages
    76
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 57
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Lycéen

    Informations forums :
    Inscription : Mars 2014
    Messages : 76
    Points : 72
    Points
    72
    Par défaut ARP Analyseur - systeme/reseau
    Bonjour,

    J'ai eu une idée de petit programme que je souhaite réaliser à but pédagogique, cependant je n'arrive pas à trouver un point de départ.

    Je voudrai créer un programme qui, si la machine reçois une requête ARP, vérifie qu'elle n'essaye pas de modifier l'adresse mac de la passerelle par défaut et en informe l'utilisateur. (Dans l'idée de prévenir un potentiel ARP MITM).

    Quand je réalise des recherches sur ce sujet je ne tombe hélas que sur des exemples de code pour forger des paquets ARP avec des raw sockets.

    Du coup si vous avez des informations/liens ou autres...
    Je cherche comment intercepter les requêtes ARP avant que le kernel ne les traitent et mettent à jour son cache.

    PS : j'avais vu il y a quelques mois un article qui parlait de développement GNU/Linux en mode kernel/noyau, est-ce vers là que je dois chercher ?

    Merci
    Cordialement !

  2. #2
    Membre expérimenté
    Avatar de sambia39
    Homme Profil pro
    No Comment
    Inscrit en
    Mai 2010
    Messages
    543
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Loiret (Centre)

    Informations professionnelles :
    Activité : No Comment
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : Mai 2010
    Messages : 543
    Points : 1 745
    Points
    1 745
    Par défaut
    Bonjour,
    Je vais essayer de faire très simple. Premièrement, pour des attaques du type ARP MITM, une simple commande permet de le déceler que l'on soit sous Windows arp -s 127.0.0.0 00-0c-11-22-33 ou Linux, BSD arp -s 127.0.0.0 00-0c-11-22-33 pour fixé la ou les correspondance MAC|IP. Des outils comme arpwatch le fond également mais aussi du matériel qui s'en charge avec le fameux port security.

    Deuxièmes points interceptés les paquets, c'est les crocheter. En clair faire du Hooks ARP et ça se passe au niveau du noyau. Précisément on va monté un modules noyau dans le cas du noyau Linux, BSD vue sous différents points de vue.
    Du points de vu attaquant: par élévations de privilège ou à l'aide de certains rootkit préalablement installe côté Linux/BSD. Du point de vue Administrateur de la machine ou d'un responsable sécurité d'un parc machine, ça va êtres des outils conçut pour.
    (Du côté Windows par injection de code voire carrément des hooks IRP qui sont intéressent, facilitant ainsi certaines choses)

    Pédagogiquement, vous pouvez faire des hooks ARP et à ce sujet, j'avais écrit un programme à la va-vite sur le forum à propos d'un sujet qui s'en apparente donc ça pourrait être un bon point de départ pour vous. Mais Attention, je ne connais pas vos intentions, je tiens donc à le préciser que je ne serais en aucun cas responsable de ce que vous allez faire je décline donc toute responsabilité dans l'hypothèse où l'exemple aurait été modifié exploité contrairement à ce que j'ai écrit..

    à bientôt
    Celui qui peut, agit. Celui qui ne peut pas, enseigne.
    Il y a deux sortes de savants: les spécialistes, qui connaissent tout sur rien,
    et les philosophes, qui ne connaissent rien sur tout.
    George Bernard Shaw

  3. #3
    Membre régulier
    Homme Profil pro
    Lycéen
    Inscrit en
    Mars 2014
    Messages
    76
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 57
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Lycéen

    Informations forums :
    Inscription : Mars 2014
    Messages : 76
    Points : 72
    Points
    72
    Par défaut
    Merci beaucoup ! Je n'ai, pour l'instant, jamais développer de module kernel. Avant de regarder votre code je vais donc commencer par étudier ce domaine ! Merci beaucoup pour votre lien !

  4. #4
    Membre éprouvé
    Profil pro
    Inscrit en
    Septembre 2009
    Messages
    1 821
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Septembre 2009
    Messages : 1 821
    Points : 979
    Points
    979
    Par défaut
    Bonjour,

    Si le but est uniquement de faire des capture de paquets entrants/sortants (de ne pas les bloquer), vous pouvez utiliser la library pcap : l'avantage est que ça permet de pouvoir faire des captures au format .pcap qui peuvent êtres affichées dans wireshark => ce qui est très intéressant pour apprendre la structure des paquets Ethernet.

  5. #5
    Membre régulier
    Homme Profil pro
    Lycéen
    Inscrit en
    Mars 2014
    Messages
    76
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 57
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Lycéen

    Informations forums :
    Inscription : Mars 2014
    Messages : 76
    Points : 72
    Points
    72
    Par défaut
    Bonjour,

    merci pour votre réponse, mais l'objectif ici est bien de bloquer le paquet. L'idée est, par exemple, ma box ne s'éteind, en théorie jamais, du coup elle a toujours la même adresse ip et mac (évidemment). Du coup quand mon pc boot il va récupérer ces infos et ça sera la gateway. Je me dis que si pendant que j'utilise l'Internet je reçois des paquets ARP pour changer l'adresse mac de ma gateway il y a des chances que ce soit une attaque MITM (après bien entendu ça va dépendre du contexte), alorsje souhaite qu'un processus bloque ce changement et m'en informe poru que je puisse prendre la décision finale.

    Après tout ceci n'est seulement à but pédagogique.

  6. #6
    Membre expérimenté
    Avatar de sambia39
    Homme Profil pro
    No Comment
    Inscrit en
    Mai 2010
    Messages
    543
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Loiret (Centre)

    Informations professionnelles :
    Activité : No Comment
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : Mai 2010
    Messages : 543
    Points : 1 745
    Points
    1 745
    Par défaut
    Je pense que les choses sont floues pour vous et honnêtement, il faut revoir vos prérogatives. Dans le contexte que vous nous décrivez un module ne vous servira pas à grand-chose ce qu'il vous faut, c'est un stateful firewall dit pare-feu a états, il a l'avantage de vérifier si les paquets sont conformes (de toute façon, c'est un pare-feu sélectif donc il vous apportera de la fiabilité) et c'est déjà suffisant et il y a donc pas besoin de module noyau sauf si là encore le but est tout autres. Pour moi, un par feu à états suffit largement.

    à bientôt
    Celui qui peut, agit. Celui qui ne peut pas, enseigne.
    Il y a deux sortes de savants: les spécialistes, qui connaissent tout sur rien,
    et les philosophes, qui ne connaissent rien sur tout.
    George Bernard Shaw

+ Répondre à la discussion
Cette discussion est résolue.

Discussions similaires

  1. systeme reseau entreprise
    Par heart100 dans le forum Architecture
    Réponses: 7
    Dernier message: 03/04/2015, 16h50
  2. analyseur de reseau
    Par k_boy dans le forum Hardware
    Réponses: 3
    Dernier message: 07/07/2007, 22h59
  3. fonctions systeme et reseau du c
    Par dofdof dans le forum Bibliothèques
    Réponses: 2
    Dernier message: 27/07/2006, 23h13
  4. [Reseau] probléme de requête ARP
    Par pier* dans le forum Hardware
    Réponses: 7
    Dernier message: 03/04/2006, 23h39

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo