OVH Community, your new community space.

Spoofing MAC?


damdam14
24/03/2014, 12h16
Oui, mais dans notre cas, la .254 est l'adresse IP du routeur. et la .160 pointe aussi dans ton cas vers des trucs allemands:
> 37.187.104.160
Server: 144.254.71.184
Address: 144.254.71.184#53

Non-authoritative answer:
160.104.187.37.in-addr.arpa name = ks3374770.brotze.de.

Authoritative answers can be found from:
104.187.37.in-addr.arpa nameserver = ns104.ovh.net.
104.187.37.in-addr.arpa nameserver = dns104.ovh.net.
ns104.ovh.net internet address = 213.251.128.148
ns104.ovh.net has AAAA address 2001:41d0:1:1994::1
dns104.ovh.net internet address = 213.251.188.148
dns104.ovh.net has AAAA address 2001:41d0:1:4a94::1

donc cela ne semble pas être de l'interne OVH...

nicobilaine
23/03/2014, 23h32
Je ne sais pas si c'est possible, mais si les deux IP pointent vers le même serveur physique est-ce que l'adresse mac ne pourrai pas être la même?
En tout cas j'ai la même chose sur une autre partie du réseau :
Code:
root@serveur001:~# arp -n
Address                  HWtype  HWaddress           Flags Mask            Iface
37.187.104.251           ether   00:25:90:22:36:6c   C                     eth0
37.187.104.247           ether   00:0f:23:48:6e:c0   C                     eth0
37.187.104.160           ether   00:07:b4:00:00:01   C                     eth0
37.187.104.250           ether   00:30:48:be:e4:44   C                     eth0
37.187.104.254           ether   00:07:b4:00:00:01   C                     eth0

damdam14
23/03/2014, 18h38
Bonjour à tous,

Je constate ce qui me semble être une anomalie dans la table ARP de mon serveur:
ksXXXX ~ # arp -n
Address HWtype HWaddress Flags Mask Iface
37.187.7.254 ether 00:07:b4:00:00:02 C eth0
37.187.7.160 ether 00:07:b4:00:00:02 C eth0

(snip)

Le serveur 37.187.7.160 annonce la même MAC que la gateway...

Et bizarrement cette IP et son domaine pointe sur Octave:
ksXXXXX ~ # nslookup 37.187.7.160
Server: 213.186.33.99
Address: 213.186.33.99#53

Non-authoritative answer:
160.7.187.37.in-addr.arpa name = lafkor.de.

ksXXXXX ~ # jwhois lafkor.de
[Requête en cours whois.denic.de]
[whois.denic.de]

(snip)

Domain: lafkor.de
Nserver: dns11.ovh.net
Nserver: ns11.ovh.net
Status: connect
Changed: 2013-09-17T08:48:07+02:00

[Tech-C]
Type: PERSON
Name: Octave Klaba
Address: Dudweiler Landstraße 5
PostalCode: 66123
City: Saarbrücken
CountryCode: DE
Phone: +49.6818761451
Fax: +49.6818761827
Email: kundendienst@ovh.de
Changed: 2011-12-19T17:20:15+01:00

[Zone-C]
Type: ROLE
Name: Ovh Zone Manager
Address: Dudweiler Landstraße 5
PostalCode: 66123
City: Saarbrücken
CountryCode: DE
Phone: +49.6818761451
Fax: +49.6818761827
Email: kundendienst@ovh.de
Changed: 2011-12-19T17:21:21+01:00

J'ai déjà essayé de purger la table ARP mais rien n'y fait....
Ne serais-ce pas un tentative de spoofing / man in the middle? Quelqu'un a déjà constaté ce genre de chose?

Thks!