Protocole LLMNR !!!! pourquoi est-il utilisé?

melinameline Messages postés 110 Statut Membre -  
ciscowarrior Messages postés 810 Statut Membre -
Bonjour,
je voudrais savoir pourquoi mes machines dans mon réseau local utilisent ce protocole pour se connecter à internet alors qu'il existe un serveur dns pour mon domaine ?

en vérifiant avec wireshark je trouve plein de paire lignes comme celles-ci:


10.0.3.37                      224.0.0.252       LLMNR       64         Standard query A wpad fe80::bcc2:750b:363d:683     ff02::1:3    LLMNR      84      Standard query A wpad  



Remarque:
j'ai une attaque de Arp poisoning dans le reseau,(ce qui rend la connxion à internet tres lente) peut etre que c'est du à ça.

oubien c'est mon dns qui déconne? comment puis-je le savoir??

remarque: mon dns est sous debian 6.

repondez moi SVP

9 réponses

  1. ciscowarrior Messages postés 810 Statut Membre 100
     
    LLMNR est un protocole propriétaire Windows(Vista et Seven) et comme son nom l'indique:
    LL= Link-Local cela ne s'applique que sur un segment local et c'est une des méthodes de résolution de nom sur un LAN que Windows va tenter d'utiliser si il ne trouve pas de serveur DNS.
    Cela n'a donc rien à voir avec un ARP cache poisoning.
    Comment sais-tu que tu as une attaque de ARP poisoning ?
    Quels type de switches as-tu ? Il existe des configurations sur certains modèles de switches pour contrecarrer cette attaque, sur Cisco il s'agit de ARP inspection qui est utilisé avec DHCP snooping.
    2
  2. dsy73 Messages postés 9003 Date d'inscription   Statut Contributeur Dernière intervention   2 547
     
    as-tu indiqué le serveur DNS à tes machines ?
    essaie un nslookup
    1
  3. melinameline Messages postés 110 Statut Membre 12
     
    Bonjour,
    Merci pour la reponse,

    Quels type de switches as-tu ? 


    ce sont des cisco Catalyst Express 500 series.

    Comment sais-tu que tu as une attaque de ARP poisoning ? 


    en verifiant avec wireshark je vois des milliers de paquets Arp en broadcast de differentes machines du reseau.

    exemple:

    Intel_05:68:e5	Broadcast	ARP	60	Who has 10.0.5.227?  Tell 10.0.3.76
    Intel_05:68:e5	Broadcast	ARP	60	Who has 10.0.1.27?  Tell 10.0.3.6
    Intel_05:68:e5	Broadcast	ARP	60	Who has 10.0.5.227?  Tell 10.0.2.60
    Intel_05:68:e5	Broadcast	ARP	60	Who has 10.0.3.17?  Tell 10.0.3.96
    


    y en a des milliers comme ce passage,

    en plus j'ai constaté depuis un bon bout de temps que les pcs du reseau looal été touchés par le warm kido qui fait ce genre d'attaque arp
    0
    1. ciscowarrior Messages postés 810 Statut Membre 100
       
      Ce n'est pas du arp cache poisoning vu que ce sont des requests or le ARP cache poisoning utilise des replies.
      Je ne pense pas que les features que je t'ai énoncé plus haut soient disponibles sur ce type de switches
      0
    2. ciscowarrior Messages postés 810 Statut Membre 100
       
      Combien de machines dans ce LAN ?
      0
  4. melinameline Messages postés 110 Statut Membre 12
     
    Combien de machines dans ce LAN ?


    environs 300 ou plus !!

    Je ne pense pas que les features que je t'ai énoncé plus haut soient disponibles sur ce type de switches


    ceci dit que les switchs catalyst express 500 series sont il manageables??

    Ce n'est pas du arp cache poisoning vu que ce sont des requests or le ARP cache poisoning utilise des replies. 


    qu'est ce que ça peut etre alors? du arp spoofing ou arp fishing ou rien de cela??

    le probleme persiste toujours!!
    0
    1. ciscowarrior Messages postés 810 Statut Membre 100
       
      oui les catalyst expres sont manageables mais pas en ligne de commande, enfin il paraît qu'il y a moyen mais je n'ai jamais trouvé l'outil sur le net.
      300 machines surun seul LAN alors c'est normal de voir des ARP requests qui sont des broadcasts, le tout c'est de voir la fréquence.
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. melinameline Messages postés 110 Statut Membre 12
     
    300 machines surun seul LAN alors c'est normal de voir des ARP requests qui sont des broadcasts, le tout c'est de voir la fréquence.


    quelle frequence?? en tout cas le taux de ces d'envoie de ces paquets depasse 95% du total du flux du reseau.
    0
    1. ciscowarrior
       
      donc 95 % de ton traffic c'est des ARP requests ? Comment les autres communications sont impactées ?
      0
  7. melinameline Messages postés 110 Statut Membre 12
     
    Bonjour,
    voici un enregistrement deu resultat de wireshark

    analysez le et repondez moi SVP

    ahhh, y a pas un moyen pour joindre le fichier enregistré de wireshark :(

    je vais essayé de le recopier:(

    Merci
    0
    1. ciscowarrior
       
      il est où ?
      0
  8. brupala Messages postés 111140 Date d'inscription   Statut Membre Dernière intervention   14 441
     
    Salut,
    Dans ton exemple,
    Intel_05:68:e5	Broadcast	ARP	60	Who has 10.0.5.227?  Tell 10.0.3.76
    Intel_05:68:e5	Broadcast	ARP	60	Who has 10.0.1.27?  Tell 10.0.3.6
    Intel_05:68:e5	Broadcast	ARP	60	Who has 10.0.5.227?  Tell 10.0.2.60
    Intel_05:68:e5	Broadcast	ARP	60	Who has 10.0.3.17?  Tell 10.0.3.96
    tous les ARP ont la même mac source, mais des adresses ip source différentes, il y a donc un processus vicieux sur cette machine.
    Commence par arrêter celle ci.
    0
    1. ciscowarrior
       
      Bien vu Brupala je n'avais même pas regardé les MAC, c'est pour te dire à quel point ça va mal dans ma tête :)
      0
  9. melinameline Messages postés 110 Statut Membre 12
     
    bon, du moment où il n'y a pas d'autres moyens je vais les copier ligne par ligne:

    1 HewlettP_ef:78:98 Broadcast ARP 60 Who has 10.20.0.1?  Tell 10.20.3.216 
    2 HewlettP_ef:78:61 Broadcast ARP 60 Who has 10.20.0.1?  Tell 10.20.3.84 
    3 Intel_00:16:99 Broadcast ARP 60 Who has 10.20.9.50?  Tell 10.20.2.240 
    4 HewlettP_ef:78:61 Broadcast ARP 60 Who has 10.20.0.1?  Tell 10.20.3.84 
    5 HewlettP_ef:78:61 Broadcast ARP 60 Who has 10.20.0.1?  Tell 10.20.3.84 
    6 HewlettP_ef:78:98 Broadcast ARP 60 Who has 10.20.0.1?  Tell 10.20.3.216 
    7 10.20.2.226 10.20.255.255 NBNS 92 Name query NB WPAD.DOMAIN.COM<00> 
    8 HewlettP_ef:78:61 Broadcast ARP 60 Who has 10.20.0.1?  Tell 10.20.3.84 
    9 HewlettP_ef:78:61 Broadcast ARP 60 Who has 10.20.0.1?  Tell 10.20.3.84 
    10 HewlettP_ef:78:61 Broadcast   ARP 60  Who has 172.20.0.1?Tell 10.20.3.84 
    11 HewlettP_ef:78:98 Broadcast  ARP  60 Who has 10.20.0.1?  Tell 10.20.3.216 
    12 HewlettP_ef:78:61 Broadcast  ARP 60 Who has 10.20.0.1?  Tell 10.20.3.84 
    13 HewlettP_ef:78:61 Broadcast  ARP 60 Who has 10.20.0.1?  Tell 10.20.3.84 
    14 HewlettP_ef:78:61 Broadcast  ARP 60 Who has 10.20.0.1?  Tell 10.20.3.84 
    15 0.558564 HewlettP_ef:78:98 Broadcast ARP 60 Who has 10.20.0.1?  Tell 10.20.3.216 
    16 HewlettP_ef:78:61 Broadcast ARP 60 Who has 10.20.0.1?  Tell 10.20.3.84 
    17 10.20.0.206 10.20.255.255 NBNS 92 Name query NB BUREAU-CHEF<20> 
    18 10.20.0.206 10.20.255.255 NBNS 92 Name query NB BUREAU-CHEF<00> 
    19 HewlettP_ef:78:98 Broadcast ARP 60 Who has 10.20.0.1?  Tell 10.20.3.216 
    20 HewlettP_ef:78:61 Broadcast ARP 60 Who has 10.20.0.1?  Tell 10.20.3.84 
    21 HewlettP_ef:78:61 Broadcast ARP 60 Who has 10.20.0.1?  Tell 10.20.3.84 
    22 HewlettP_ef:78:61 Broadcast ARP 60 Who has 10.20.0.1?  Tell 10.20.3.84 
    23 HewlettP_ef:78:98 Broadcast ARP 60 Who has 10.20.0.1?  Tell 10.20.3.216 
    24 HewlettP_ef:78:61 Broadcast ARP 60 Who has 10.20.0.1?  Tell 10.20.3.84 
    25 10.20.2.226 10.20.255.255 NBNS 92 Name query NB WPAD.DOMAIN.COM<00> 
    26 FujitsuS_19:40:47 Broadcast ARP 60 Who has 10.20.9.224?  Tell 10.20.2.185 
    27 HewlettP_ef:78:61 Broadcast ARP 60 Who has 10.20.0.1?  Tell 10.20.3.84 
    28 HewlettP_ef:78:61 Broadcast ARP 60 Who has 10.20.0.1?  Tell 10.20.3.84 
    29 HewlettP_ef:78:98 Broadcast ARP 60 Who has 10.20.0.1?  Tell 10.20.3.216 
    30 HewlettP_ef:78:61 Broadcast ARP 60 Who has 10.20.2.38?  Tell 10.20.3.84 
    31 HewlettP_ef:78:61 Broadcast ARP 60 Who has 10.20.0.1?  Tell 10.20.3.84 
    32 1.200892 193.194.80.130 10.20.4.14 DNS 358 Standard query response CNAME books.google.com CNAME www3.l.google.com A 173.194.69.139 A 173.194.69.100 A 173.194.69.101 A 173.194.69.102 A 173.194.69.113 A 173.194.69.138 
    33 1.200929 193.194.80.130 10.20.4.14 DNS 366 Standard query response CNAME translate.google.com CNAME www3.l.google.com A 173.194.69.139 A 173.194.69.100 A 173.194.69.101 A 173.194.69.102 A 173.194.69.113 A 173.194.69.138 
    34 1.201292 172.20.4.14 @ serveur DNS DNS 77 Standard query A scholar.google.fr 
    . 
    . 
    . 
    55 Cisco_5e:86:60 Broadcast ARP 60 Who has  UNE DES ADRESSES PUBLIQUES AFFECTées au domaine?  Tell @ROUTEUR 
    56 HewlettP_ef:78:61 Broadcast ARP 60 Who has 10.20.0.1?  Tell 10.20.3.84 
    57 HewlettP_ef:78:98 Broadcast ARP 60 Who has 10.20.6.165?  Tell 10.20.3.216 
    . 
    . 
    . 
    etc 
    


    la plus part des paquets sont des paquets arp; j'ai copié quelques lignes, les 30 premieres.

    d'ou ça vient, ce probleme??!!
    0
    1. ciscowarrior Messages postés 810 Statut Membre 100
       
      que sont 10.20.0.1, 10.20.3.84 et 10.20.3.216 parce que là ça paraît moins anormal .
      0
    2. brupala Messages postés 111140 Date d'inscription   Statut Membre Dernière intervention   14 441
       
      Salut,
      c'est tout à fait normal:
      tu es sur un port de switch sans configurer de monitoring, tu ne peux capturer que le traffic broadcast et multicast.
      les requetes dns sont celles faites par wireshark (10.20.4.14)
      Si tu veux voir du traffic utile, il faut configurer le monitoring du port que tu veux observer vers le port où tu es connectée.
      0
    3. ciscowarrior
       
      salut Brupala,

      tu ne peux capturer que le traffic broadcast et multicast. 


      Et aussi les unknown unicast :)
      0
    4. brupala Messages postés 111140 Date d'inscription   Statut Membre Dernière intervention   14 441
       
      oui, bien sûr, mais ils sont beaucoup plus rares ;-)
      On pouvait en voir sur les ponts filtrants autrefois, mais sur un switch stabilisé (je ne parle pas du démarrage ou d'un spanning tree qui fait du yoyo) il n' y a pas grand monde pour parler directement à un inconnu qui n'a rien dit.
      0
    5. ciscowarrior Messages postés 810 Statut Membre 100
       
      plus rares oui mais elles existent car les entrées dynamiques ne restent pas longtemps dans la table MAC du switch et comme souvent le cache arp des machines a une durée de vie plus longue alors on risque de revoir ces unknown unicasts
      0
  10. melinameline Messages postés 110 Statut Membre 12
     
    tu ne peux capturer que le traffic broadcast et multicast.
    


    j'ai pas compris, cela veut dire que lorsqu'on laisse les options par defaut, wireshark ne capture que le traffic broadcast et multicast!!

    donc, quels sont les options que je dois choisir, pour que wireshark me capture tous le trafique reseau??

    merci
    0
    1. brupala Messages postés 111140 Date d'inscription   Statut Membre Dernière intervention   14 441
       
      Non, pas du tout,
      ce n'est pas wireshark le problème (du moins si il capture en mode promiscuous, ce qui est le cas par défaut) mais le fonctionnement de ton switch.
      0
    2. ciscowarrior Messages postés 810 Statut Membre 100
       
      les seules trames que un switch floode sont : broadcast, multicast et unknown unicast.
      Si tu veux voir toutes les trames unicast entre deux machines tu dois mirrorer le traffic des ports de tes machines sur un port dédié et sniffer sur ce port.
      0