Abus de squattage de connexion internet
Il n'y a rien de plus emmerdant de partager quelque chose avec n'importe qui et de se retrouver avec ce quelque chose qui fonctionne plus bien.
Exemple concret : Tu partage ta connexion internet en wifi grâce à la fonera, et tu te retrouves avec un ping de plus de 300ms et des sessions SSH lentes à jeter le clavier par la fenêtre.
Stop, arrête toi avant, et trouve une solution : IPP2P.
Si j'avais refait mon routeur, une règle dans iptables aurait suffit, mais comme ce n'est pas le cas, il a fallu ruser un peu et trouver le moyen d'intercepter tout ce qui passe entre la fonera et le modem.
Intercepter le trafic
On va utiliser Ettercap pour capturer le trafic réseau entre la fonera et le modem. Pour ça, rien de plus simple sous Gentoo :
emerge -av net-analyzer/ettercap
Ensuite on n'a plus qu'à le lancer.
ettercap -M arp -T /cible 1/ /cible 2/
Les cibles représentent les machines entre lesquelles on veut intercepter le trafic. Le cas le plus simple est d'utiliser des adresses IP, mais on peut désigner des ensembles. Tout celà est décrit dans le manuel d'Ettercap. Pour vérifier que ça marche, il suffit de se positionner sur l'une des machines piégées et de taper la commande arp en tant que root.
Ci-dessous, le résultat de la commande arp depuis la machine à piéger (avant la mise en place du piège).
arp Address HWtype HWaddress Flags Mask Iface Livebox-EBD0 ether 00:18:F6:C1:EB:D2 C eth1 192.168.1.2 ether 00:01:29:F5:30:4C C eth1
L'adresse mac du modem est 00:18:F6:C1:EB:D2. Mettons en place le piège et observons...
ettercap -M arp -T /192.168.1.1/ /192.168.1.51/ arp Address HWtype HWaddress Flags Mask Iface Livebox-EBD0 ether 00:01:29:F5:30:4C C eth1 192.168.1.2 ether 00:01:29:F5:30:4C C eth1
L'adresse mac a changée ! Et elle est devenue la même que celle de la machine d'adresse IP 192.168.1.2, qui n'est autre que la machine qui lance le piège et qui va dropper les paquets edonkey.
Bloquer Edonkey
Il faut maintenant installer Iptables et IPP2P. Pour Iptables on va commencer par activer son support dans le noyau.
cd /usr/sr/linux make menuconfig
Voici le chemin à parcourir dans le menu de configuration pour trouver le module à activer pour Iptables.
- Networking
- Networking support
- Networking options
- Network packet filtering framework (Netfilter)
- Core Netfilter Configuration
- Netfilter Xtables support (required for ip_tables)
- Core Netfilter Configuration
- Network packet filtering framework (Netfilter)
- Networking options
- Networking support
make all modules_install install
Il faut ensuite installer Iptables et IPP2P.
emerge -av net-firewall/ipp2p net-firewall/iptables
Et voici la commande magique pour zapper tous les méchants paquets qui polluent :
iptables -A OUTPUT -m ipp2p --edk -j DROP
Autres petits trucs
En activant l'ip_forwarding, on peut lancer l'attaque avec l'option -o, ou --only-mitm, qui permet de dire à Ettercap de ne pas rediriger les paquets et de laisser le noyau s'en charger.
Avec le mode bridged d'Ettercap, on peut (presque) passer inaperçu sur le réseau en utilisant deux cartes.
