IP spoofing en entrée de mon routeur

Démarré par Mithfindel, 18 Juin 2016 à 09:50:29

« précédent - suivant »

0 Membres et 2 Invités sur ce sujet

Hello,

Voici quelques jours/semaines que mon routeur (WNDR3800 personnel, stock firmware) voit ses logs remplis d'entrée de ce genre:

Citation[DoS Attack: IP Spoofing] from source: 192.168.1.93, port 58493, Saturday, June 18,2016 07:43:20
[DoS Attack: IP Spoofing] from source: 192.168.1.93, port 63626, Saturday, June 18,2016 07:43:13
[DoS Attack: IP Spoofing] from source: 192.168.1.36, port 5353, Saturday, June 18,2016 07:43:10
[DoS Attack: IP Spoofing] from source: 192.168.1.54, port 5353, Saturday, June 18,2016 07:43:03
[DoS Attack: IP Spoofing] from source: 192.168.1.93, port 64675, Saturday, June 18,2016 07:42:59
[DoS Attack: IP Spoofing] from source: 192.168.1.54, port 5353, Saturday, June 18,2016 07:42:49
[DoS Attack: IP Spoofing] from source: 192.168.1.93, port 51526, Saturday, June 18,2016 07:42:44
[DoS Attack: IP Spoofing] from source: 192.168.1.93, port 64044, Saturday, June 18,2016 07:42:37
[DoS Attack: IP Spoofing] from source: 192.168.1.93, port 59112, Saturday, June 18,2016 07:42:37
[DoS Attack: IP Spoofing] from source: 192.168.1.93, port 49697, Saturday, June 18,2016 07:42:30
[DoS Attack: IP Spoofing] from source: 192.168.1.93, port 53897, Saturday, June 18,2016 07:42:23
[DoS Attack: IP Spoofing] from source: 192.168.1.93, port 54825, Saturday, June 18,2016 07:42:23
[DoS Attack: IP Spoofing] from source: 192.168.1.93, port 53786, Saturday, June 18,2016 07:42:16
[DoS Attack: IP Spoofing] from source: 192.168.1.93, port 54416, Saturday, June 18,2016 07:42:09

En général ça ne pose pas de souci, mais certains soirs ça me DoS complètement le routeur, qui se met à droper les connexions WiFi en interne.

Je suis absolument certain que ces IP n'appartiennent pas à des équipements dans mon LAN (j'ai des baux DHCP fixes pour la plupart des équipements et une range dédiée pour les visiteurs). C'est donc que ça vient du WAN - et c'est là que le bât blesse : comment se fait il que des adresses normalement non routables arrivent en entrée de mon routeur ? N'y aurait il pas un souci de configuration quelque part pour droper ce genre de paquets ?

Merci pour vos réponses :)

Eh beh, plus de 60 vues et pas de réponse, soit je n'ai pas été clair, soir ça ne parle à personne. J'aurais pensé que le personnel technique K-Net aurait un avis sur le routage par ses équipements de ce genre d'adresses :) en attendant je peux toujours changer l'adresse de mon LAN pour une valeur moins commune - mais ça n'empêchera pas le problème de se reproduire chez quelqu'un d'autre ;)

Je crois que personne ici n'a consommé assez de drogues dures pour comprendre efficacement le fonctionnement du réseau du SIEA.  ::)

Et surtout, je n'ai aucun moyen de savoir comment fonctionne ton truc, et donc de comprendre précisement ce qui se passe, et enfin de trouver le problème et donc la solution

Je n'ai pas compris non plus ce qui pose problème
Mes propos sont le fruit exclusif de mon cerveau, et ne sont pas soumis au maître esprit.

OK, j'en déduis que je n'ai pas été assez clair.

Le souci, c'est que mon routeur voit arriver sur son port WAN des paquets qui ont des adresses d'origine en 192.168.1.x, ce qui ne devrait pas arriver puisque réservées à des LAN (de même que toute la plage 192.168.0.0/16). Le firmware de mon routeur considère ça comme une tentative de DoS, et dans les fait ça a effectivement tendance à faire planter des services chez moi quand le volume en entrée est trop important. D'où ma question aux techs K-Net: comment ça se fait mon routeur reçoive ce genre de paquet, qui devrait être dropé par l'infra en amont ? C.f ce post sur les forums Netgear.

Entendons nous bien, si j'utilisais un firmware custom (genre un DD-WRT), je ne me poserais pas la questions, je mettrais juste une règle pour droper ça en entrée du routeur. Mais avec le firmware d'origine, je n'ai pas accès à ce genre de fonctionnalité - et au risque de me répéter, ça devrait être filtré en amont :)

Ok !
Tu peux me faire une trace ?

Le réseau du SIEA est un réseau niveau 2, c'est à dire qu'il n'y a pas de notion d'IP chez eux
De mon côté, je ne route que mes IP (pas celle là, donc)

Ce qui est tout à fait possible, c'est que X (un "type") envoie des trucs de lui vers toi, directement
Même si, pour autant que je sache, la communication directe inter-abonné est interdite

Tout ça pour dire que, si tu me fait une trace, je pourrai surement en savoir plus (ou peut-être pas, qui sait  ;D)
Mes propos sont le fruit exclusif de mon cerveau, et ne sont pas soumis au maître esprit.

Quel genre de trace pourrait t'être utile ? Tout ce j'ai pour l'instant, c'est les logs de mon routeur avec les adresses IP/ports et un timestamp (comme dans l'extrait de mon message d'origine).

Je peux tenter une capture Wireshark entre le CPE et le routeur, ça pourrait être un exercice de style intéressant ;D