Adresse IP pas normale sur mon réseau[Résolu]

[Pang]

Bonsoir.

 

C'est bien la première fois que je vois ça dans mon log, et je ne suis pas capable d'expliquer ce que fait sur mon réseau privé cette adresse réservé :

10.59.36.117 Vade retro

 

Un routeur égaré ?

Si quelqu'un qui connait bien les réseaux a une réponse à me donner...

 

Merci.

Modifié le 13 septembre 2007 par Pang

[Greywolf]

Salut,

 

qu'est ce qui te fait croire que cette adresse est sur ton LAN?

 

la classe 10.0.0.0/8 est en effet réservé aux gros LAN.

Sur quelle interface sont arrivés ces paquets?

 

l'adressage 10.59.0.0/16 est souvent utilisée dans la configuration par défaut d'OpenVPN.

As tu utilisé ce soft?

 

un soft de virtualisation quelconque créant des interfaces TUN/TAP ?

[Pang]

Bonsoir Greywolf.

 

Je n'utilise pas openVPN.

Entre temps j'ai fais quelques tests.

 

Justement, mon lan n'est pas du tout adressé de cette manière. C'est du parfaitement classique 192.168.x.x banalement connecté sur une LB.

De plus, je reçois ces paquets entrant sur tout les pc connectés à intervalles régulier de précisement 30 minutes !!!! Vraiment étrange.

Ces requêtes UDP continues toujours au moment ou je t'écris :

 

point distant port 68 vers 255.255.255.255 sur le port 67. Multicast ?

 

UDP Ports 67 and 68

Common Use

 

Port 67 Bootps

 

Port 68 Bootpc

 

Inbound Scan

 

Typically this traffic is related to normal DHCP operation and is not an attack on your network. DHCP (Dynamic Host Configuration Protocol) is how your computer gets its unique IP address. When a system starts up on a network it must first request an IP address (assume it is not using a static IP address), and it does this by broadcasting a request to the DHCP server:

 

UDP 0.0.0.0:68 -> 255.255.255.255:67

 

Cet article est bien sympathique. Mais il existe aussi sur le net ce fameux script permettant d'outrepasser ZoneAlarm par le port 67. Bon, je n'ai pas ZoneAlarm.

 

La dernière adresse publique sur laquelle je tombe avant d'arriver sur la sus nommée est une adresse appartenant à France Telecom à Rennes ayant pour netname : IPBRX-ACCESS-Equipments.

 

Peut être une piste : J'ai un forfait avec télévision chez Orange. Tout à l'heure, dans l'interface de la LB, j'ai désactivé ce service... Je me dis que ça pourrait être lié.

Je vais le réactiver et observer voir si je reçois toujours ces trucs.

 

Edit :

un soft de virtualisation quelconque créant des interfaces TUN/TAP ?

Pas que je sache, en fait je ne sais même pas ce que c'est...

Modifié le 12 septembre 2007 par Pang

[Pang]

C'est bien ça.

 

Lorsque je réactive la TV par ADSL dans l'interface de la LB, je cesse de recevoir ces paquets sur mon réseau !

Du coup, il y a quelque chose que je ne comprends pas. Pourquoi avoir réservé un port ethernet sur la LB pour la télé par ADSL.

D'ailleurs, cela ne sous entendrait t'il pas qu'il serait donc possible de recevoir ce signal (TV) sur n'importe quel port de la LB, puisque je reçois ces paquets jusqu'aux PC relié en wifi.... A creuser.

 

Pour info, voici l'échanges de trames lorsque j'émets un ping vers ce "routeur"

Communication administratively filtered, je ne le connaisais pas celui la !!!

[Greywolf]

ben en fait tu tentes de faire un ping vers une adresse non routable. Ton routeur te renvoie un ICMP type 3 code 13 puisque les RFC interdisent de router ce type d'adresse.

[KewlCat]

point distant port 68 vers 255.255.255.255 sur le port 67. Multicast ?

Ca, c'est du broadcast. Multicast c'est autre chose

 

Je n'ai pas bien compris d'où émanaient ces paquets. De la Livebox elle-même ?? Ca ne serait pas le boitier "TV" associé à la Livebox qui fait une requête DHCP pour obtenir une vraie adresse sur le LAN ?

[Pang]

Bonjour.

 

Ca ne serait pas le boitier "TV" associé à la Livebox qui fait une requête DHCP pour obtenir une vraie adresse sur le LAN ?

Effectivement, je n'y avais pas songé...

 

Mais si c'étais le cas, alors pourquoi un tracert vers 10.59.36.117 me donne comme dernière adresse intermédiaire une autre adresse publique vers la ville de Rennes ?

Pour l'expérience, je vais désactiver de nouveau le service TV et également débrancher la prise ethernet du "decodeur".

Modifié le 14 septembre 2007 par Pang

[KewlCat]

pourquoi un tracert vers 10.59.36.117 me donne comme dernière adresse intermédiaire une autre adresse publique vers la ville de Rennes ?

Excellente question. Demande à ta Livebox pourquoi elle tente de router les adresses IP privées vers l'extérieur

L'adresse publique "vers la ville de Rennes" ne serait-elle pas similaire à ta propre adresse publique (ce qui voudrait dire qu'avant de se rendre compte que ce n'est pas une adresse publique la requête parvient à une machine qui sert de relai à ta Livebox) ?

Les possibilités sont infinies (compte tenu du fait que nous ignorons les détails d'implémentation du routage de la LiveBox...)

[Pang]

L'adresse publique "vers la ville de Rennes" ne serait-elle pas similaire à ta propre adresse publique

De sur non.

 

Par contre à la question :

Ca ne serait pas le boitier "TV" associé à la Livebox qui fait une requête DHCP pour obtenir une vraie adresse sur le LAN ?

Là, tu as raison.

 

Si je coupe le service TV par adsl et que je débranche le décodeur, je n'ai pas ces requêtes.

Toujours le service adsl désactivé mais avec le décodeur allumé, je reçois les requêtes !

(test un peu écourté pour cause de Australie/Galles )

 

Demande à ta Livebox pourquoi elle tente de router les adresses IP privées vers l'extérieur

Seulement 2 hop (LB inclus) pour aller jusqu'à cette adresse (TTL=254)!

 

En général, avant de sortir du réseau orange, j'ai toujours minimum de 3 à 4 hop :

1. La LB (192.168.1.1)

2. La passerelle (90.36.182.1)

3. Une adresse LAN en 10.0.0.0

4. Orange

 

Ce n'est pas le cas vers cette fameuse 80.10.120.4

Les décodeurs TV branchés sur la LB ne serait'il pas "directement" connectés sur cette adresse, à Rennes ?

Modifié le 15 septembre 2007 par Pang