Analyse de trame wiresharkRésolu/Fermé

Question

Bonjour, 

Je suis actuellement dans une PME en tant que administrateur réseau, je supervise et monitoring tout le réseau transitant entre mes sites distants. (QoS, config switch, routage, analyse de trames etc..)

J'ai récemment implémenté un serveur IDS en complément de wireshark sur mon coeur de réseau. Nous avons également un serveur Centreon qui me donne le traffic_in & traffic_out max via le protocole SNMP. En terme d'analyse je pense avoir tous les outils nécessaire. 

Voici ma problématique : 

- En premier lieu, j'ai constaté un traffic_in important sur l'interface SDSL eth (+ de 60%)
Je n'y ai pas spécifiquement prêté intention les premiers jours (des datas circulent régulièrement).. Au bout de quelques jours, maintenant deux semaines, le traffic_in reste "gourmand" en consommation (toujours dans le même taux des 60%), j'ai décidé d'analyser les trames circulant..
 
- J'ai pu trouver qu'une machine revenait beaucoup en ip source/destination dans mes trames (des ports bizzare entre 1200 et 1400 apparaissent entre sa machine et mon serveur IIS/antivirus) , et effectivement quand je lui ai fais éteindre sa machine, le traffic revenait à la normale !!!
  
-J'ai donc décidé de nettoyer la machine avec spybot , antimalware, analyse antivirus nod32, bref un bon gros nettoyage complet du poste en question.. Rien à faire celle-ci perturbe toujours mon réseau en consommation.

Je suis toujours perplexe dans mon hypothese d'un trojan/malware/virus mais je vous avouerais que je sèche un peu.. 

Si quelqu'un a déja rencontré cette problématique et me donner une piste je lui en serait tres reconnaissant (ne serait-ce que par curiosité, je vois déja les petits malin me dire de reformater la machine ^^)

Dans quel cas pouvons avoir un traffic important, constant, sur une liaison sans mettre en hypothèse un virus ? 

Merci de vos réponses

Az0t3 · Answer

Salut,

Ta demande c'est le genre de post qui me botte ! Problème bien expliqué, clair, avec un ch'touilla d'humour ! Allez je me lance (pas trop loin non plus ... ^^)

Ta machine n'est pas assigné à une tache particulière ? Contrôleur de machine ? Serveur de quelque chose ? Enfin n'importe quoi qui lui demanderait un envoi important de trames sur le réseau.

Les ports entre 1200 et 1400 sont le plus souvent utilisés pour envoyer des erreurs/warning ... pas de choses particulières dans les journaux d'évènements ?

badmaniak · Answer

Salut,  

As tu filtré les échanges entre ta machine et ton serveur ?   

Es tu sure que c'est uniquement ces échanges qui gonflent ton trafic?  


Avec Wireshark tu peux le vérifier, en filtrant le trafic entre les 2 et en regardant le débit via menu Statistics > IO Graphs si ce n'est pas déjà fait.

brupala · Answer

sinon,
un netstat -abn sur la machine, ça donne quoi?

Goulague · Answer

"J'ai pu trouver qu'une machine revenait beaucoup en ip source/destination dans mes trames (des ports bizzare entre 1200 et 1400 apparaissent entre sa machine et mon serveur IIS/antivirus)" 


Salut, 

C'est quoi le trafic? direction? TCP? UDP? il joue pas au boulot ton gars?

bl4ki · Answer

Je vais procéder à plusieurs test, la réponse de badmaniak me semble plus approprié pour le moment, je vous tiens au courant.

Merci beaucoup de votre attention

bl4ki · Answer

Pour répondre à vos commentaires, j'ai monté un graph selon les dires de badmaniak en filtrant le trafic entre les deux machines, et.. Tadammm... Je m'aperçois bien que celle-ci consomme tout le trafic (je m'en doutais légerement ^^) 

Les directions se font dans les deux sens en TCP, j'ai eu la main sur la machine, certes je ne suis pas à l'abri d'une erreur de diagnostic mais je pense être assez expérimenté pour vous dire que celle-ci me semble parfaitement "normale", le pc ne ram pas au contraire et aucun logiciel me semble potentiellement dangereux. 

Donc pour répondre clairement :
- Oui ces échanges gonflent le trafic
- Protocol TCP dans les deux sens
- Non il ne joue pas au boulot

Si ca peut aider, je redémarre la machine et sans rentrer dans une session utilisateur, le pc génère déjà le même trafic à ce niveau. 

Un reformatage résoudra très certainement le problème mais je n'aime pas cette facilité sachant que je n'ai jamais rencontré cette intrigue..

D'autres idées ?

bl4ki · Answer

J'ai résolu le problème en supprimant tout simplement l'antivirus... Aucun log,processus,maj ne me permettait de conclure avec certitude que le PC échangeait des informations avec le serveur antivirus (sauf l'IP de destination), mais sur la console de management les mises à jour s'effectuaient correctement, aucune alerte, nada... 

Conclusion : NOD32 = ....


Merci à tous

Analyse de trame wireshark

7 réponses

Discussions similaires

Newsletters