Tentative d'attaque de mon réseau Wifi ?

mendes93 · Septembre 25, 2011, 8:36

Bonsoir,

Depuis quelques jours je reçois pleins d’alertes de mon antivirus nod 32 sur des tentatives d’empoisonnement du cache APR et du DNS :

http://img75.xooimage.com/files/e/8/7/capture1-2d2892e.png

Ça signifie quoi d’après vous ? J’ai fait des scan malware + spybot + nod 32, ils n’ont rien trouvé.
Mon 1er pc portable est en wifi sous l’adresse 192.168.1.12 et sur mon autre pc portable connecté aussi en wifi avec l’adresse 192.168.1.11 je n’ai pas ce genre d’alerte.

Par contre en regardant bien le screen, on voit que l’origine de la source vient de l’adresse ip 192.168.1.11 qui n’est d’autre que mon 2ème pc portable, or je n’ai rien fait dessus, mise à part envoyer des fichiers via un dossier partagé entre les 2 pc portables.

Merci pour votre aide
Bonne soirée
Edité le 25/09/2011 à 20:40

Hermyt · Septembre 27, 2011, 2:26

Hello,

Je voudrais pas paraitre presomptueux en repondant à ce post, mais il semblerais qu’un pauvre gars sans internet essaie de se co sur ton wifi :(.
En ce qui concerne l’adresse rien de plus simple que de “sniffer” le reseau voir les ordis qui se connectent sur ta borne puis se faire passé pour un ordi du reseau (ici ton pc 2).
Donc pour plus de securité (sans paraitre présmptueux encore), change le nom de ton reseau (pas juste une lettre mais comme il faut) puis verifie de bien etre en WAP+TKIP AES, si tu trouve que ton mdp est trop simple change le (majuscule+minuscule+lettre+chiffre+caratere speciaux). Et enfin si tu peux met ton reseau en tant que reseau masqué.

Voila je pense que cela decouragera le gars qui essaie de te cracker.
Edité le 27/09/2011 à 14:54

tcp_ip · Septembre 27, 2011, 9:17

Salut…

Bon sérieusement, si pirate il y a et que tu en es à voir du DNS cache poisoning, c’est qu’il a déjà pirater ton wifi…

Tu es en WEP ou WPA?
Le seul moyen d’avoir un wifi sécurisé c’est de mettre du WPA (de préférence WPA 2), avec une clé correcte.

(Si tu as un routeur BBOX qui date un peu, changes la clé par défaut, parce qu’elle n’est pas générée aléatoirement :paf: )

Pour ce qui est des alertes, je vois deux causes probables:

Soit tu est en WEP, et le pirate qui est déjà entré essai d’aller plus loin mais il fait n’importe quoi et ne comprend rien à ce qu’il fait…
Soit ce sont de fausses alertes, très probable si tu es en WPA avec une bonne clé. (Jespère que je ne vais pas provoquer là une réponse d’un idiot de base qui pense que le WPA est crackable en 2 minute parce qu’il la vu sur youtube… :paf: )

Le fait que ça soit une adresse APIPA confirme grandement ma théorie de la fausse alerte!

L’adressage APIPA, c’est quand une machine tente d’obtenir une IP par DHCP mais qu’elle ne trouve pas de DHCP. Donc elle s’auto-configure d’elle même, mais possède alors une connectivité extrêmement limité.
C’est un effet de bord dû à l’utilisation du protocole ARP: Avant de s’attribuer une IP, L’APIPA va faire des requêtes ARP pour vérifier que l’IP n’est pas déjà attribuée. Pour ce faire elle émet vers elle une requête ARP et voit si ça répond ou pas.
Mais à ce moment là, elle ne possède pas encore d’IP! Donc elle utilise une IP “invalide” (0.0.0.0), le pare-feu peut trouver ça bizarre.

Tu as des équipements qui utilisent le DHCP?

Pour ce qui est du DNS, je ne vois pas dans limmédiat. Ton routeur fait il également office de serveur DNS local?

Tant que tu n’as pas déjà pénétrer le réseau, tu ne vois que les adresses MAC, pas les IP!

Pourquoi TKIP? :heink:

TKIP AES,c’est bien quand on a un vieux routeur qui ne peut pas utiliser de WPA-2.

Sur un truc récent, autant passer directement en WPA+ CCMP AES, c’est à dire du WPA2.

Pour ce qui est du réseau masqué/filtrage mac, ce sont des mesures qui ne servent à rien, ça se contourne en 3 seconde…
Edité le 27/09/2011 à 21:30

mendes93 · Septembre 27, 2011, 10:42

Bonsoir à vous 2,

J’ai une livebox, la dernière version v2, je suis en WPA 2, le mot de passe wifi est composé de 62 caractères qui composent des caractères spéciaux, des lettres (majuscule, minuscules) et des chiffres

Je pense effectivement que la livebox fait office de dns car l’adresse ip du dns est identique à l’adresse ip de l’interface de la livebox.

J’ai 2 iphone et une wii connecté en ip automatique et qui donc utilisent le dhcp, seul mes pc portables sont en ip fixe et n’utilise pas le dhcp.

Par contre ton idée de fausse alerte pourrait coller, parce que j’ai remarqué que quand j’allume la wii en wifi avant mon pc portable (qui à l’adressse ip xxx.xxx.1.11) il me pique l’adresse de mon pc portable, ce qui fait que quand j’allume mon pc après forcement il se met en connectivité illimité.

Qu’en penses tu ? Fausse alerte ou possibilité de pirater ma clé malgrès une bonne protection ?
Edité le 27/09/2011 à 22:45

mendes93 · Octobre 3, 2011, 3:19

Up

Almalexia_1_1 · Octobre 4, 2011, 12:57

Ton Wifi est quasiment impossible à pirater donc ce n’est certainement pas ça, faut déjà regarder qui est “192.168.1.11”

mendes93 · Octobre 4, 2011, 4:00

Merci Almalexia.
L’adresse ip 192.168.1.11 est justement mon pc portable principal, c’est l’ip fixe que je lui ai donné.

Almalexia_1_1 · Octobre 5, 2011, 9:20

Donc c’est lui qui est responsable de ça, commence par lui faire un bon nettoyage.
Et mets plutôt les adresses IP en dynamique, plus pratique et moins de risques de faire des bêtises.

mendes93 · Octobre 5, 2011, 9:36

Nettoyage déjà effectué avant comme précisé dans mon 1er post et rien de bien méchant n’a été trouvé.
J’avais mit des ip fixe parce que j’ai crée une règle dans mon parfeu nod 32 pour autoriser le partage de fichier entre mes 2 pc, et comme j’ai entré une adresse ip fixe c’est plus simple pour moi que de mettre en ip dynamique
Edité le 05/10/2011 à 21:37