Ralentissement réseau !!! Résolu/Fermé

Question

Bonjour,    
Je suis responsable informatique d'une société qui utilise des machines PC et MAC. Depuis bientôt 3 mois, on observe des ralentissement sur tout le réseau Windows sur le créneau horaire 16h30-20h. Pour observé ce qui ce passait j'ai installé le logiciel de monitoring PRTG qui ma confirmé des pics de bande passante sur cette plage horaire. J'ai dans un second temps effectué un capture de trame grâce au logiciel Wireshark qui m'a révélé des choses TRES surprenante !!!
En effet, j'ai découvert un nombre impressionnant de trames échangées entre les PC de mon réseau et 2 adresse IP public qui sont celle du site CCM et de l'académie de Créteil !!!!
Plus étonnant l'adresse mac pour ces 2 adresse IP serait identique !!!
Autrement dit je pense qu'une personne à infiltré notre réseau et qu'il à masqué son adresse par des adresses comme CCM ou l'académie de Créteil.
Qu'en pensez vous ? et surtout que puis-je faire ?

EminoMeneko · Answer

Refaire le point sur la sécurité du réseau.
Si sous linux revérifier la configuration de netfilter (iptables) et sous windows les paramètres de pare-feu.
Ce que je trouve étrange c'est que si l'hypothèse est juste et que quelqu'un s'infiltre en se faisant passer pour un site externe à votre réseau il ne devrait pas pour autant y avoir accès.

choubaka · Answer

Salut

as-tu essayé de bloquer cette adresse mac ???

vsp cobra · Answer

analyse les pc concernés probablement des cheveaux de 3

vsp cobra · Answer

possible que l'adresse mac soit celle de la passerelle.....a vérifier...

mick.ch · Answer

En réalité nous n'avons pas d'accès au routeur qui est le point d'entré sur le réseau (c'est une autre société qu'il le gère) et il est fort possible que la sécurité sur ce dernier ne soit pas très rigoureuse...

vsp cobra · Answer

netstat -an
netstat -bv

en ligne de commande sur tes machines au moment du pic.......

mick.ch · Answer

Tous les pc sont équipé de l'antivirus et pare-feu kaspersky. Donc la possiblité de cheveaux de trois et peu etre à exclure.
Pour ce qui est de la mac adresse, je vais verifier s'il s'agit de la passerelle. 
Pour bloquer les adresses il me faudrais un accès au routeur que je n'ai pas mais je peux peut etre bloquer les 2 IP sur anti-hacker de kaspersky...
Comment expliquez-vous que toutes les trame qui font saturées le réseau pointe vers ces 2 sites...je suis désorienté  !???

mick.ch · Answer

Vsp pourrait tu m'en dire plus sur ces deux commandes ??? que vont elles me donner comme résultat logiquement ?!

EminoMeneko · Answer

D:\Documents and Settings\EminoMeneko>netstat /?

Affiche les statistiques de protocole et des connexions réseau TCP/IP actuelles.


NETSTAT [-a] [-b] [-e] [-n] [-o] [-p protocole] [-r] [-s] [-v] [intervalle]

  -a            Affiche toutes les connexions et les ports d'écoute.
  -b            Affiche les fichiers exécutables impliqués dans la création de chaque connexion ou port d'écoute. Certains fichiers exécutables connus peuvent héberger plusieurs composants indépendants. Dans ce cas, la séquence des composants impliqués dans la création de la connexion ou du port d'écoute est affichée  et le nom du fichier exécutable apparaître entre crochets [] en bas, le nom du composant appelé apparaît en haut, et ainsi de suite jusqu'à ce que TCP/IP soit atteint. Remarquez que cette option peut prendre du temps et échouera si vous ne disposez pas des autorisations suffisantes.
  -e            Affiche les statistiques Ethernet. Cette option peut être combinée avec l'option -s.
  -n            Affiche les adresses et les numéros de port au format numérique.
  -o            Affiche l'identificateur du processus propriétaire associé à chaque connexion.
  -p protocole  Affiche les connexions pour le protocole spécifié ; protocole peut être une des valeurs suivantes : TCP, UDP, TCPv6 ou UDPv6. S'il est utilisé avec l'option -s pour afficher les statistiques par protocole, le protocole peut être une des valeurs suivantes :
                IP, IPv6, ICMP, ICMPv6, TCP, TCPv6, UDP ou UDPv6.
  -r            Affiche la table de routage.
  -s            Affiche les statistiques par protocole.  Par défaut, les statistiques sont
                affichées pour IP, IPv6, ICMP, ICMPv6, TCP, TCPv6, UDP et UDPv6.

                L'option -p peut être utilisée pour spécifier un sous-jeu de la valeur par défaut.
  -v            Lorsqu'elle est utilisée avec -b, cette option affichera la séquence des composants impliqués dans la création de la connexion ou du port d'écoute pour tous les fichiers exécutables.
 intervalle    Affiche régulièrement les statistiques sélectionnées, en faisant une pause pendant le nombre de secondes spécifié par l'intervalle entre chaque affichage.  Appuyez sur CTRL+C pour arrêter l'affichage des statistiques.  Si l'intervalle est omis, netstat n'affichera les informations de configuration actuelle qu'une seule fois.

mick.ch · Answer

De plus j'ai observé un nombre assez conséquent de trame de type IPX ASP, SMB et NBP si j'ai bien compris ces trames proviennent de réseau de type Novell donc comment ce fait il que j'en obtienne ici ???

Jeff · Answer

Assez surprenant que quelqu'un ait choisi spécifiquement une IP de CommentCaMarche.net pour faire cela...

Je suis preneur d'un extrait de ces trames. Serait-il possible de me les envoyer à l'adresse ci-dessous dans ma signature ?

Merci d'avance,

mick.ch · Answer

Je t'envoi les trames de suites...

vsp cobra · Answer

Dans tout les cas une refonte complète de ton réseau doit être envisagé......

combien de pc sur ce réseau ?... de serveur?

SMB c'est du partage de dossiers etc..... donc a surveiller.

dans l'urgence, si tu a la possibilité d'intercaler un par feu externe entre ton réseaux et le routeur...installe donc IPCOP

https://www.generation-nt.com/firewall-ipcop-securiser-son-reseau-avec-article-24818-1.html

si tu choisi cet option (temporaire) filtre bien tout tes accès sortants et fait le point de ce que tu as besoin en connections.

as tu un organigrame de ton réseau et de ses besoins?

vsp cobra · Answer

Surveille aussi tes utilisateurs......que font ils sur le réseau entre 16h30 et 20h...?

Qu'el sont les logiciels installés sur leur pc etc.......

mick.ch · Answer

Il y a 10 PC, 12 MAC 5 imprimantes réseaux, 2 serveurs (1 MAC + 1 PC). Je n'est pas la structure du réseau mais je vais voir ce que je peux faire pour vous la transmettre. Je vais également essayé la solution IPCOP si j'arrive à la mettre en place. 
Merci

vsp cobra · Answer

Bon alors....vérifie sur chaque machine l'ip , la passerelle et l'adresse mac avec la commande:

ipconfig /all.......pour windows

ifconfig /all.....pour mac   (si je me souvient bien)

note les infos ip , dhcp (oui ,non) , passerelle et  dns devrait être identique, adresse physique (ou mac adresse).....cela pour chaque machine.

Recoupe tes infos avec celles données par ton logiciel de monitoring.

Etabli le plan de ton réseau et, isole les pc douteux , du moins entre 16h30 et 20h.

Les serveurs sont ils sur le même réseau, ont ils la même passerelle ou ( gateway), a quoi servent-t'ils?

La solution IPCOP peut t'aider a gérer  ton réseau elle offre de grande possibilités quasi proffessionnels mais elle est fastidieuse a mettre en place....de la patience et de la persévérance.

Je reste néanmoins persuadé que tu doit revoir la politique de sécurité de ton entreprise et surtout celle des utilisateurs.

Ralentissement réseau !!!

16 réponses

Discussions similaires