arp en boucle sous Windows

Le
cwpbl
Bonsoir,

J'ai sur mon réseau plusieurs machines sous Windows (XP SP2 ou SP3,
W2003) qui émettent des requêtes arp de manière itérative sur l'ensemble
de @ip du réseau :
exemple , sur 10.4.x.x
who-has 10.4.0.1 tell 10.4.25.12
who-has 10.4.0.2 tell 10.4.25.12

who-has 10.4.1.1 tell 10.4.25.12
etc

J'ai pensé à un virus mais plusieurs scans n'ont rien donné (ce qui ne
veut peut-être rien dire).
Par contre, je sais que le processus Windows qui génère ces requêtes arp
est :
svchost -k netsvcs

qq'un a déjà rencontré ce pb ?
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Alex Chauvin
Le #19181191
Bonjour,

Le 10.4.25.12 ne serait pas votre router ? Auquel cas c'est assez normal
qu'il fasse ce type de demande sur les postes de votre réseau à interval
régulier.

Alex.

Bonsoir,

J'ai sur mon réseau plusieurs machines sous Windows (XP SP2 ou SP3,
W2003) qui émettent des requêtes arp de manière itérative sur l'ensemble
de @ip du réseau :
exemple , sur 10.4.x.x
who-has 10.4.0.1 tell 10.4.25.12
who-has 10.4.0.2 tell 10.4.25.12
...
who-has 10.4.1.1 tell 10.4.25.12
etc...




--
Alex Chauvin / http://bikeo.fr
0825 626 844 /
Antoine Rouchet
Le #19184311
"cwpbl" news:49f0c53d$0$11792$
Bonsoir,

J'ai sur mon réseau plusieurs machines sous Windows (XP SP2 ou SP3, W2003)
qui émettent des requêtes arp de manière itérative sur l'ensemble de @ip
du réseau :
exemple , sur 10.4.x.x
who-has 10.4.0.1 tell 10.4.25.12
who-has 10.4.0.2 tell 10.4.25.12
...
who-has 10.4.1.1 tell 10.4.25.12
etc...

J'ai pensé à un virus mais plusieurs scans n'ont rien donné (ce qui ne
veut peut-être rien dire...).
Par contre, je sais que le processus Windows qui génère ces requêtes arp
est :
svchost -k netsvcs

qq'un a déjà rencontré ce pb ?



Bonsoir,

Pour plus de prudence, à votre place, je filtrerais les requêtes ARP.

(Ok, je sors... :-) )

Antoine
cwpbl
Le #19184651
Alex Chauvin a écrit :
Bonjour,

Le 10.4.25.12 ne serait pas votre router ? Auquel cas c'est assez normal
qu'il fasse ce type de demande sur les postes de votre réseau à interval
régulier.

Alex.




Bonsoir,

Non, le 10.4.25.12 est la machine sous XP (ou 2003). Elle émet une
requête "who-has" toutes les secondes environ, en parcourant l'ensemble
de toutes les ip possibles du subnet. Parfois , le même @ip se retrouve
2 fois de suite.
Ce comportement est vraiment bizarre ...


Bonsoir,

J'ai sur mon réseau plusieurs machines sous Windows (XP SP2 ou SP3,
W2003) qui émettent des requêtes arp de manière itérative sur
l'ensemble de @ip du réseau :
exemple , sur 10.4.x.x
who-has 10.4.0.1 tell 10.4.25.12
who-has 10.4.0.2 tell 10.4.25.12
...
who-has 10.4.1.1 tell 10.4.25.12
etc...




Anthony Gelibert
Le #19187781
On 2009-04-24 22:26:57 +0200, cwpbl
Alex Chauvin a écrit :
Bonjour,

Le 10.4.25.12 ne serait pas votre router ? Auquel cas c'est assez
normal qu'il fasse ce type de demande sur les postes de votre réseau à
interval régulier.

Alex.




Bonsoir,

Non, le 10.4.25.12 est la machine sous XP (ou 2003). Elle émet une
requête "who-has" toutes les secondes environ, en parcourant l'ensemble
de toutes les ip possibles du subnet. Parfois , le même @ip se retrouve
2 fois de suite.
Ce comportement est vraiment bizarre ...


Bonsoir,

J'ai sur mon réseau plusieurs machines sous Windows (XP SP2 ou SP3,
W2003) qui émettent des requêtes arp de manière itérative sur
l'ensemble de @ip du réseau :
exemple , sur 10.4.x.x
who-has 10.4.0.1 tell 10.4.25.12
who-has 10.4.0.2 tell 10.4.25.12
...
who-has 10.4.1.1 tell 10.4.25.12
etc...







Je ne pense pas que cela soit offensif dans le sens où c'est seulement
des demande ARP.
Avez vous pensez à un programme anti ARP-Spoofing qui emmetrait des
requêtes assez fréquemment pour détecter des changements de couple
IP-MAC louche ? Ou encore à une personne qui essaye de "cartographier"
le réseau (ce terme est affreusement choisis) ?

Bonne journée.
cwpbl
Le #19188551
Anthony Gelibert a écrit :
On 2009-04-24 22:26:57 +0200, cwpbl



Bonjour,



Bonsoir,

J'ai sur mon réseau plusieurs machines sous Windows (XP SP2 ou SP3,
W2003) qui émettent des requêtes arp de manière itérative sur
l'ensemble de @ip du réseau :
exemple , sur 10.4.x.x
who-has 10.4.0.1 tell 10.4.25.12
who-has 10.4.0.2 tell 10.4.25.12
...
who-has 10.4.1.1 tell 10.4.25.12
etc...







Je ne pense pas que cela soit offensif dans le sens où c'est seulement
des demande ARP.



Effectivement, c'est assez inoffensif mais ce qui me gène est que j'ai 7
ou 8 machines qui ont ce comportement qui est permanent + ~ 15 serveurs
unix qui génèrent chacun 4 ou 5 requêtes who-has toutes les secondes
(mais pour des besoins identifiés), ce qui finit par faire pas mal de
arp. D'un autre coté, à ce niveau le débit général n'est quand même pas
affecté...

Avez vous pensez à un programme anti ARP-Spoofing qui emmetrait des
requêtes assez fréquemment pour détecter des changements de couple
IP-MAC louche ? Ou encore à une personne qui essaye de "cartographier"
le réseau (ce terme est affreusement choisis)



Oui, j'utilise arpwatch sur un serveur Linux et il ne me signale qu'une
activité normale (nouvelles machines, chgt d'@ip volontaires, ...).
En fait je cherche ce qui peut déclencher ce mécanisme sous Windows car
après un install neuve dans un vmware, aucune install de softs tiers et
quelques tunings basiques, le phénomène se produit.
cwpbl
Le #19192211
cwpbl a écrit :
Anthony Gelibert a écrit :
On 2009-04-24 22:26:57 +0200, cwpbl



Bonjour,



Bonsoir,

J'ai sur mon réseau plusieurs machines sous Windows (XP SP2 ou SP3,
W2003) qui émettent des requêtes arp de manière itérative sur
l'ensemble de @ip du réseau :
exemple , sur 10.4.x.x
who-has 10.4.0.1 tell 10.4.25.12
who-has 10.4.0.2 tell 10.4.25.12
...
who-has 10.4.1.1 tell 10.4.25.12
etc...







Je ne pense pas que cela soit offensif dans le sens où c'est seulement
des demande ARP.



Effectivement, c'est assez inoffensif mais ce qui me gène est que j'ai 7
ou 8 machines qui ont ce comportement qui est permanent + ~ 15 serveurs
unix qui génèrent chacun 4 ou 5 requêtes who-has toutes les secondes
(mais pour des besoins identifiés), ce qui finit par faire pas mal de
arp. D'un autre coté, à ce niveau le débit général n'est quand même pas
affecté...

Avez vous pensez à un programme anti ARP-Spoofing qui emmetrait des
requêtes assez fréquemment pour détecter des changements de couple
IP-MAC louche ? Ou encore à une personne qui essaye de "cartographier"
le réseau (ce terme est affreusement choisis)



Oui, j'utilise arpwatch sur un serveur Linux et il ne me signale qu'une
activité normale (nouvelles machines, chgt d'@ip volontaires, ...).
En fait je cherche ce qui peut déclencher ce mécanisme sous Windows car
après un install neuve dans un vmware, aucune install de softs tiers et
quelques tunings basiques, le phénomène se produit.



Bon, je pense avoir trouvé, ce serait : Net-Worm.Win32.Kido
qui se propage via MS08-067...
Renaud
Le #19196371
cwpbl a écrit :
Bonsoir,

J'ai sur mon réseau plusieurs machines sous Windows (XP SP2 ou SP3,
W2003) qui émettent des requêtes arp de manière itérative sur l'ensemble
de @ip du réseau :
exemple , sur 10.4.x.x
who-has 10.4.0.1 tell 10.4.25.12
who-has 10.4.0.2 tell 10.4.25.12
...
who-has 10.4.1.1 tell 10.4.25.12
etc...

J'ai pensé à un virus mais plusieurs scans n'ont rien donné (ce qui ne
veut peut-être rien dire...).
Par contre, je sais que le processus Windows qui génère ces requêtes arp
est :
svchost -k netsvcs

qq'un a déjà rencontré ce pb ?



10.4.25.12 scan votre réseau. Ca peut être tout et n'importe quoi,
virus, logiciel réseau ....

Renaud
Az Sam
Le #19196601
"cwpbl" 49f3a69d$0$2652$

Bon, je pense avoir trouvé, ce serait : Net-Worm.Win32.Kido
qui se propage via MS08-067...




comment ca "qui se propage" ?


--
Cordialement,
Az Sam.
cwpbl
Le #19197701
Az Sam a écrit :

"cwpbl" 49f3a69d$0$2652$

Bon, je pense avoir trouvé, ce serait : Net-Worm.Win32.Kido
qui se propage via MS08-067...




comment ca "qui se propage" ?




http://www.viruslist.com/en/viruses/encyclopedia?virusid!782790
Az Sam
Le #19198681
"cwpbl" 49f492a9$0$6717$

http://www.viruslist.com/en/viruses/encyclopedia?virusid!782790




ah oui d'accord, il se propage via _une faille que corrige_ MS08-067.


--
Cordialement,
Az Sam.
Publicité
Poster une réponse
Anonyme