Citation:
Originally posted by Kikof@20 Apr 2004 08:16
Salut,
Aussi étrange que puisse paraître ces entrées, elles ne constituent pas un moyen de hack. Elles indiquent que pour ces adresses précises (puisque le masque est 255.255.255.255) il faut emprunter la passerelle 192.168.254.1 de l'interface 192.168.254.37 (la carte réseau en question quoi). Ceci est tout à fait redondant avec la première ligne qui est le chemin par défaut. Le reste me semble par ailleurs normal.
Peut être faudrait-il aussi se pencher sur la configuration des trois machines qui ne répondent pas (2000 et Me).
|
Je croyais en une attaque de type IP spoofing, il est apparemment possible (bien que ça ait l'air complexe à mettre en oeuvre) qu'une machine de l'extérieur, grâce à cette table de routage modifiée, se fasse passer pour une machine de notre réseau local, ayant une adresse de type 192.168.254.xxx. Le but est de faire croire que la machine de l'attaquant fait partie du réseau local, il faut dès lors rendre hors service la machine réellement dans le LAN qui possède l'IP en question. Soit par flood, soit par un autre moyen mais pas beaucoup plus simple. Très difficile quoi.
Mais c'est alors là que j'en reviens à mes graphes SNMP qui m'ont montré une pointe à 10 Mbits (quoiqu'il en faut plus en local) sur tous les postes mardi passé.. Je suis peut-être alarmiste mais j'essaie de comprende..
Suite à la suppression des deux adresses "publiques" de la table de routage, je n'avais plus d'accès au voisinage réseau. Après un reboot, tout refonctionnait.
J'ai alors tenté de changer d'IP avec reboot, même problème, les hôtes 121, 122 et 154 sont toujours indisponibles..
Merci des réponses, je continue mes recherches.. si vous avez une idée elle est la bienvenue
