[réseau] Wireshark paquets suspects ?

Applications, problèmes de configuration réseau
helios
newbie
Messages : 4
Inscription : mar. 14 août 2018, 01:46

[réseau] Wireshark paquets suspects ?

Message par helios » mar. 14 août 2018, 02:12

Bonsoir à tous,


Je viens vous voir pour demander de l'aide à des gens plus calé que moi en réseau, j'ai des connaissances de bases, mais ça s'arrête là.

Pour vous expliquer brièvement la situation j'ai subi il y a 1 an de ça une attaque DDOS, suite à un joueur de jeux vidéo mécontent .. Par la suite quelques semaines après ça j'ai découvert totalement par hasard en fouinant dans les logs que le dit attaquant n'était pas parti et continuer les attaques ( avec des potes à lui ) sur mon service ssh. J'ai donc fait ce qu'il fallait fail2ban iptables et sécurisation plus conséquente du service ssh. Fort heureusement pour moi la seule chose m'ayant "sauvé" ce trouvé être mon mot de passe ssh qui a était pour le coup suffisamment fort pour résister aux attaques.


Si je vous parle de ça, c'est que bien qu'elle, ce soit passé il y a 1 an cette attaque reste dans ma mémoire, et je constate aujourd'hui ( pas qu'aujourd'hui depuis plusieurs mois, mais pas coup sur coup ) des coupures internet sur certains périphériques de chez moi, mais pas sur d'autres .. A des heures relativement fixe

Là, il est actuellement 1 h 54 et le problème vient de mystérieusement réapparaître, sur mon pc principal cette fois, là ou il n'était pas affecté plus tôt dans la soirée. Seule solution a chaque fois rebooter la box .. A noter que quand ça arrive j'ai un petit point d'interrogation en lieu et place du logos wifi traditionnel

J'ai dans tous les cas activé wireshark pour essayer d'y voir plus clair sait-on jamais et je tombe sur des paquets coloré en noir avec ce message entres autres pour chacun d'entres eux
"Expert Info (Note/Sequence): This frame is a (suspected) retransmission"

J'ai également plus tôt dans la soirée lorsque mon pc principal n'était lui pas affecté constaté des trames "RST" ( Mes excuses je n'ai pu les termes techniques exacte en tête si celui-ci n'est pas exact, bien que sachant ce que ça signifie c'est déjà ça ! )

Ainsi que des requête dns pour des sites auxquelles je n'étais alors pas connecté sur l'instant T ou les trames sont apparu ... Est ce possible que ces trames soient apparu car étant présent dans la cache de mon navigateur ??

Bref tout ça fait beaucoup donc peut être que je psychote, mais dans le doute, je préfère demander à plus expérimenter ..

En vous remerciant d'avance
Cordialement,


PS : le problème vient de réapparaître pile avant que je clique sur envoyer .. J'ai donc de nouvelles infos wireshark en rose j'ai un "Router Solicitation" et j'ai aussi [ETHERNET FRAME CHECK SEQUENCE INCORRECT]

Seb
Hankyu
Messages : 10
Inscription : lun. 06 août 2018, 12:41

Re: [réseau] Wireshark paquets suspects ?

Message par Seb » mar. 14 août 2018, 12:16

Salut,

deja tu pourais jeter un oeil dans ton ~/.ssh/authorized_keys pour voir si ton attaquant n'aurais pas mis sa clef dedans, apres of course tu disable l'authentification par mot de passe en ssh, tu met par certificat uniquement ( voir certif + mdp ).
tu peu aussi regarder si il n'y a pas de services "louches" qui tournent sur ta machine avec nmap :)

helios
newbie
Messages : 4
Inscription : mar. 14 août 2018, 01:46

Re: [réseau] Wireshark paquets suspects ?

Message par helios » mar. 14 août 2018, 13:00

Hello,

Merci pour ta réponse, je n'ai rien dans ~/.ssh/authorized_keys, qui plus est dans mon scrypt iptables j'ai "droper" les connexions entrante pour le ssh vu que je ne m'en sert pour l'instant pas .. Et normalement le scripts empêche également les scans nmap.

Y a t-il quelques chose dans mon message au dessus qui pourrait te paraitre suspect ? Déjà que je sache si mes inquiétudes peuvent sont avéré où pas

Répondre