protocole LLMNR !!!! pourquoi est-il utilisé?

Question

Bonjour,   
je voudrais savoir pourquoi mes machines dans mon réseau local utilisent ce protocole pour se connecter à internet alors qu'il existe un serveur dns pour mon domaine ?  

en vérifiant avec wireshark je trouve plein de paire lignes comme celles-ci:   



10.0.3.37                      224.0.0.252       LLMNR       64         Standard query A wpad fe80::bcc2:750b:363d:683     ff02::1:3    LLMNR      84      Standard query A wpad  



Remarque:   
j'ai une attaque de Arp poisoning dans le reseau,(ce qui rend la connxion à internet tres lente) peut etre que c'est du à ça.  

oubien c'est mon dns qui déconne? comment puis-je le savoir??  

remarque: mon dns est sous debian 6.  

repondez moi SVP  
Configuration: Linux / Firefox 8.0

ciscowarrior · Accepted Answer

LLMNR est un protocole propriétaire Windows(Vista et Seven) et comme son nom l'indique: 
LL= Link-Local cela ne s'applique que sur un segment local et c'est une des méthodes de résolution de nom sur un LAN que Windows va tenter d'utiliser si il ne trouve pas de serveur DNS.
Cela n'a donc rien à voir avec un ARP cache poisoning.
Comment sais-tu que tu as une attaque de ARP poisoning ?
Quels type de switches as-tu ? Il existe des configurations sur certains modèles de switches pour contrecarrer cette attaque, sur Cisco il s'agit de ARP inspection qui est utilisé avec DHCP snooping.

dsy73 · Answer

as-tu indiqué le serveur DNS à tes machines ?
essaie un nslookup

melinameline · Answer

Bonjour, 
Merci pour la reponse,

Quels type de switches as-tu ? 

ce sont des cisco Catalyst Express 500 series. 

 Comment sais-tu que tu as une attaque de ARP poisoning ? 

en verifiant avec wireshark je vois des milliers de paquets Arp en broadcast de differentes machines du reseau.

exemple:


Intel_05:68:e5	Broadcast	ARP	60	Who has 10.0.5.227?  Tell 10.0.3.76
Intel_05:68:e5	Broadcast	ARP	60	Who has 10.0.1.27?  Tell 10.0.3.6
Intel_05:68:e5	Broadcast	ARP	60	Who has 10.0.5.227?  Tell 10.0.2.60
Intel_05:68:e5	Broadcast	ARP	60	Who has 10.0.3.17?  Tell 10.0.3.96


y en a des milliers comme ce passage, 

en plus j'ai constaté depuis un bon bout de temps que les pcs du reseau looal été touchés par le warm kido qui fait ce genre d'attaque arp

melinameline · Answer

Combien de machines dans ce LAN ?

environs 300 ou plus !! 

Je ne pense pas que les features que je t'ai énoncé plus haut soient disponibles sur ce type de switches

ceci dit que les switchs catalyst express 500 series sont il manageables??

Ce n'est pas du arp cache poisoning vu que ce sont des requests or le ARP cache poisoning utilise des replies. 

qu'est ce que ça peut etre alors? du arp spoofing ou arp fishing ou rien de cela??

le probleme persiste toujours!!

melinameline · Answer

300 machines surun seul LAN alors c'est normal de voir des ARP requests qui sont des broadcasts, le tout c'est de voir la fréquence.

quelle frequence?? en tout cas le taux de ces d'envoie de ces paquets depasse 95% du total du flux du reseau.

melinameline · Answer

Bonjour, 
voici un enregistrement deu resultat de wireshark 

analysez le  et repondez moi SVP 

ahhh, y a pas un moyen pour joindre le fichier enregistré de wireshark :(

je vais essayé de le recopier:(

Merci

brupala · Answer

Salut,
Dans ton exemple, 
Intel_05:68:e5	Broadcast	ARP	60	Who has 10.0.5.227?  Tell 10.0.3.76
Intel_05:68:e5	Broadcast	ARP	60	Who has 10.0.1.27?  Tell 10.0.3.6
Intel_05:68:e5	Broadcast	ARP	60	Who has 10.0.5.227?  Tell 10.0.2.60
Intel_05:68:e5	Broadcast	ARP	60	Who has 10.0.3.17?  Tell 10.0.3.96tous les ARP ont la même mac source, mais des adresses ip source différentes, il y a donc un processus vicieux sur cette machine.
Commence par arrêter celle ci.

melinameline · Answer

bon, du moment où il n'y a pas d'autres moyens je vais les copier ligne par ligne: 1 HewlettP_ef:78:98 Broadcast ARP 60 Who has 10.20.0.1? Tell 10.20.3.216 2 HewlettP_ef:78:61 Broadcast ARP 60 Who has 10.20.0.1? Tell 10.20.3.84 3 Intel_00:16:99 Broadcast ARP 60 Who has 10.20.9.50? Tell 10.20.2.240 4 HewlettP_ef:78:61 Broadcast ARP 60 Who has 10.20.0.1? Tell 10.20.3.84 5 HewlettP_ef:78:61 Broadcast ARP 60 Who has 10.20.0.1? Tell 10.20.3.84 6 HewlettP_ef:78:98 Broadcast ARP 60 Who has 10.20.0.1? Tell 10.20.3.216 7 10.20.2.226 10.20.255.255 NBNS 92 Name query NB WPAD.DOMAIN.COM<00> 8 HewlettP_ef:78:61 Broadcast ARP 60 Who has 10.20.0.1? Tell 10.20.3.84 9 HewlettP_ef:78:61 Broadcast ARP 60 Who has 10.20.0.1? Tell 10.20.3.84 10 HewlettP_ef:78:61 Broadcast ARP 60 Who has 172.20.0.1?Tell 10.20.3.84 11 HewlettP_ef:78:98 Broadcast ARP 60 Who has 10.20.0.1? Tell 10.20.3.216 12 HewlettP_ef:78:61 Broadcast ARP 60 Who has 10.20.0.1? Tell 10.20.3.84 13 HewlettP_ef:78:61 Broadcast ARP 60 Who has 10.20.0.1? Tell 10.20.3.84 14 HewlettP_ef:78:61 Broadcast ARP 60 Who has 10.20.0.1? Tell 10.20.3.84 15 0.558564 HewlettP_ef:78:98 Broadcast ARP 60 Who has 10.20.0.1? Tell 10.20.3.216 16 HewlettP_ef:78:61 Broadcast ARP 60 Who has 10.20.0.1? Tell 10.20.3.84 17 10.20.0.206 10.20.255.255 NBNS 92 Name query NB BUREAU-CHEF<20> 18 10.20.0.206 10.20.255.255 NBNS 92 Name query NB BUREAU-CHEF<00> 19 HewlettP_ef:78:98 Broadcast ARP 60 Who has 10.20.0.1? Tell 10.20.3.216 20 HewlettP_ef:78:61 Broadcast ARP 60 Who has 10.20.0.1? Tell 10.20.3.84 21 HewlettP_ef:78:61 Broadcast ARP 60 Who has 10.20.0.1? Tell 10.20.3.84 22 HewlettP_ef:78:61 Broadcast ARP 60 Who has 10.20.0.1? Tell 10.20.3.84 23 HewlettP_ef:78:98 Broadcast ARP 60 Who has 10.20.0.1? Tell 10.20.3.216 24 HewlettP_ef:78:61 Broadcast ARP 60 Who has 10.20.0.1? Tell 10.20.3.84 25 10.20.2.226 10.20.255.255 NBNS 92 Name query NB WPAD.DOMAIN.COM<00> 26 FujitsuS_19:40:47 Broadcast ARP 60 Who has 10.20.9.224? Tell 10.20.2.185 27 HewlettP_ef:78:61 Broadcast ARP 60 Who has 10.20.0.1? Tell 10.20.3.84 28 HewlettP_ef:78:61 Broadcast ARP 60 Who has 10.20.0.1? Tell 10.20.3.84 29 HewlettP_ef:78:98 Broadcast ARP 60 Who has 10.20.0.1? Tell 10.20.3.216 30 HewlettP_ef:78:61 Broadcast ARP 60 Who has 10.20.2.38? Tell 10.20.3.84 31 HewlettP_ef:78:61 Broadcast ARP 60 Who has 10.20.0.1? Tell 10.20.3.84 32 1.200892 193.194.80.130 10.20.4.14 DNS 358 Standard query response CNAME books.google.com CNAME www3.l.google.com A 173.194.69.139 A 173.194.69.100 A 173.194.69.101 A 173.194.69.102 A 173.194.69.113 A 173.194.69.138 33 1.200929 193.194.80.130 10.20.4.14 DNS 366 Standard query response CNAME translate.google.com CNAME www3.l.google.com A 173.194.69.139 A 173.194.69.100 A 173.194.69.101 A 173.194.69.102 A 173.194.69.113 A 173.194.69.138 34 1.201292 172.20.4.14 @ serveur DNS DNS 77 Standard query A scholar.google.fr . . . 55 Cisco_5e:86:60 Broadcast ARP 60 Who has UNE DES ADRESSES PUBLIQUES AFFECTées au domaine? Tell @ROUTEUR 56 HewlettP_ef:78:61 Broadcast ARP 60 Who has 10.20.0.1? Tell 10.20.3.84 57 HewlettP_ef:78:98 Broadcast ARP 60 Who has 10.20.6.165? Tell 10.20.3.216 . . . etc la plus part des paquets sont des paquets arp; j'ai copié quelques lignes, les 30 premieres. d'ou ça vient, ce probleme??!!

melinameline · Answer

tu ne peux capturer que le traffic broadcast et multicast.


j'ai pas compris, cela veut dire que lorsqu'on laisse les options par defaut, wireshark ne capture que le traffic broadcast et multicast!! 

donc, quels sont les options que je dois choisir, pour que wireshark me capture tous le trafique reseau??

merci

Protocole LLMNR !!!! pourquoi est-il utilisé?

9 réponses

Votre réponse

Discussions similaires

Newsletters