arp en boucle sous Windows

Bonjour,

Le 10.4.25.12 ne serait pas votre router ? Auquel cas c'est assez normal
qu'il fasse ce type de demande sur les postes de votre réseau à interval
régulier.

Alex.

Bonsoir,

J'ai sur mon réseau plusieurs machines sous Windows (XP SP2 ou SP3,
W2003) qui émettent des requêtes arp de manière itérative sur l'ensemble
de @ip du réseau :
exemple , sur 10.4.x.x
who-has 10.4.0.1 tell 10.4.25.12
who-has 10.4.0.2 tell 10.4.25.12
...
who-has 10.4.1.1 tell 10.4.25.12
etc...

--
Alex Chauvin / http://bikeo.fr
0825 626 844 / alex@bikeo.fr

"cwpbl" <cwpbl@rf.oohay> wrote in message
news:49f0c53d$0$11792$426a34cc@news.free.fr...

Bonsoir,

J'ai sur mon réseau plusieurs machines sous Windows (XP SP2 ou SP3, W2003)
qui émettent des requêtes arp de manière itérative sur l'ensemble de @ip
du réseau :
exemple , sur 10.4.x.x
who-has 10.4.0.1 tell 10.4.25.12
who-has 10.4.0.2 tell 10.4.25.12
...
who-has 10.4.1.1 tell 10.4.25.12
etc...

J'ai pensé à un virus mais plusieurs scans n'ont rien donné (ce qui ne
veut peut-être rien dire...).
Par contre, je sais que le processus Windows qui génère ces requêtes arp
est :
svchost -k netsvcs

qq'un a déjà rencontré ce pb ?

Bonsoir,

Pour plus de prudence, à votre place, je filtrerais les requêtes ARP.

(Ok, je sors... :-) )

Antoine

Alex Chauvin a écrit :

Bonjour,

Le 10.4.25.12 ne serait pas votre router ? Auquel cas c'est assez normal
qu'il fasse ce type de demande sur les postes de votre réseau à interval
régulier.

Alex.

Bonsoir,

Non, le 10.4.25.12 est la machine sous XP (ou 2003). Elle émet une
requête "who-has" toutes les secondes environ, en parcourant l'ensemble
de toutes les ip possibles du subnet. Parfois , le même @ip se retrouve
2 fois de suite.
Ce comportement est vraiment bizarre ...

Bonsoir,

J'ai sur mon réseau plusieurs machines sous Windows (XP SP2 ou SP3,
W2003) qui émettent des requêtes arp de manière itérative sur
l'ensemble de @ip du réseau :
exemple , sur 10.4.x.x
who-has 10.4.0.1 tell 10.4.25.12
who-has 10.4.0.2 tell 10.4.25.12
...
who-has 10.4.1.1 tell 10.4.25.12
etc...

On 2009-04-24 22:26:57 +0200, cwpbl <cwpbl@rf.oohay> said:

Alex Chauvin a écrit :

Bonjour,

Le 10.4.25.12 ne serait pas votre router ? Auquel cas c'est assez
normal qu'il fasse ce type de demande sur les postes de votre réseau à
interval régulier.

Alex.

Bonsoir,

Non, le 10.4.25.12 est la machine sous XP (ou 2003). Elle émet une
requête "who-has" toutes les secondes environ, en parcourant l'ensemble
de toutes les ip possibles du subnet. Parfois , le même @ip se retrouve
2 fois de suite.
Ce comportement est vraiment bizarre ...

Bonsoir,

J'ai sur mon réseau plusieurs machines sous Windows (XP SP2 ou SP3,
W2003) qui émettent des requêtes arp de manière itérative sur
l'ensemble de @ip du réseau :
exemple , sur 10.4.x.x
who-has 10.4.0.1 tell 10.4.25.12
who-has 10.4.0.2 tell 10.4.25.12
...
who-has 10.4.1.1 tell 10.4.25.12
etc...

Je ne pense pas que cela soit offensif dans le sens où c'est seulement
des demande ARP.
Avez vous pensez à un programme anti ARP-Spoofing qui emmetrait des
requêtes assez fréquemment pour détecter des changements de couple
IP-MAC louche ? Ou encore à une personne qui essaye de "cartographier"
le réseau (ce terme est affreusement choisis) ?

Bonne journée.

Anthony Gelibert a écrit :

On 2009-04-24 22:26:57 +0200, cwpbl <cwpbl@rf.oohay> said:

Bonjour,

Bonsoir,

J'ai sur mon réseau plusieurs machines sous Windows (XP SP2 ou SP3,
W2003) qui émettent des requêtes arp de manière itérative sur
l'ensemble de @ip du réseau :
exemple , sur 10.4.x.x
who-has 10.4.0.1 tell 10.4.25.12
who-has 10.4.0.2 tell 10.4.25.12
...
who-has 10.4.1.1 tell 10.4.25.12
etc...

Je ne pense pas que cela soit offensif dans le sens où c'est seulement
des demande ARP.

Effectivement, c'est assez inoffensif mais ce qui me gène est que j'ai 7
ou 8 machines qui ont ce comportement qui est permanent + ~ 15 serveurs
unix qui génèrent chacun 4 ou 5 requêtes who-has toutes les secondes
(mais pour des besoins identifiés), ce qui finit par faire pas mal de
arp. D'un autre coté, à ce niveau le débit général n'est quand même pas
affecté...

Avez vous pensez à un programme anti ARP-Spoofing qui emmetrait des
requêtes assez fréquemment pour détecter des changements de couple
IP-MAC louche ? Ou encore à une personne qui essaye de "cartographier"
le réseau (ce terme est affreusement choisis)

Oui, j'utilise arpwatch sur un serveur Linux et il ne me signale qu'une
activité normale (nouvelles machines, chgt d'@ip volontaires, ...).
En fait je cherche ce qui peut déclencher ce mécanisme sous Windows car
après un install neuve dans un vmware, aucune install de softs tiers et
quelques tunings basiques, le phénomène se produit.

cwpbl a écrit :

Anthony Gelibert a écrit :

On 2009-04-24 22:26:57 +0200, cwpbl <cwpbl@rf.oohay> said:

Bonjour,

Bonsoir,

J'ai sur mon réseau plusieurs machines sous Windows (XP SP2 ou SP3,
W2003) qui émettent des requêtes arp de manière itérative sur
l'ensemble de @ip du réseau :
exemple , sur 10.4.x.x
who-has 10.4.0.1 tell 10.4.25.12
who-has 10.4.0.2 tell 10.4.25.12
...
who-has 10.4.1.1 tell 10.4.25.12
etc...

Je ne pense pas que cela soit offensif dans le sens où c'est seulement
des demande ARP.

Effectivement, c'est assez inoffensif mais ce qui me gène est que j'ai 7
ou 8 machines qui ont ce comportement qui est permanent + ~ 15 serveurs
unix qui génèrent chacun 4 ou 5 requêtes who-has toutes les secondes
(mais pour des besoins identifiés), ce qui finit par faire pas mal de
arp. D'un autre coté, à ce niveau le débit général n'est quand même pas
affecté...

Avez vous pensez à un programme anti ARP-Spoofing qui emmetrait des
requêtes assez fréquemment pour détecter des changements de couple
IP-MAC louche ? Ou encore à une personne qui essaye de "cartographier"
le réseau (ce terme est affreusement choisis)

Oui, j'utilise arpwatch sur un serveur Linux et il ne me signale qu'une
activité normale (nouvelles machines, chgt d'@ip volontaires, ...).
En fait je cherche ce qui peut déclencher ce mécanisme sous Windows car
après un install neuve dans un vmware, aucune install de softs tiers et
quelques tunings basiques, le phénomène se produit.

Bon, je pense avoir trouvé, ce serait : Net-Worm.Win32.Kido
qui se propage via MS08-067...

cwpbl a écrit :

Bonsoir,

J'ai sur mon réseau plusieurs machines sous Windows (XP SP2 ou SP3,
W2003) qui émettent des requêtes arp de manière itérative sur l'ensemble
de @ip du réseau :
exemple , sur 10.4.x.x
who-has 10.4.0.1 tell 10.4.25.12
who-has 10.4.0.2 tell 10.4.25.12
...
who-has 10.4.1.1 tell 10.4.25.12
etc...

J'ai pensé à un virus mais plusieurs scans n'ont rien donné (ce qui ne
veut peut-être rien dire...).
Par contre, je sais que le processus Windows qui génère ces requêtes arp
est :
svchost -k netsvcs

qq'un a déjà rencontré ce pb ?

10.4.25.12 scan votre réseau. Ca peut être tout et n'importe quoi,
virus, logiciel réseau ....

Renaud

"cwpbl" <cwpbl@rf.oohay> a écrit dans le message de news:
49f3a69d$0$2652$426a74cc@news.free.fr...

Bon, je pense avoir trouvé, ce serait : Net-Worm.Win32.Kido
qui se propage via MS08-067...

comment ca "qui se propage" ?


--
Cordialement,
Az Sam.

Az Sam a écrit :

"cwpbl" <cwpbl@rf.oohay> a écrit dans le message de news:
49f3a69d$0$2652$426a74cc@news.free.fr...

Bon, je pense avoir trouvé, ce serait : Net-Worm.Win32.Kido
qui se propage via MS08-067...

comment ca "qui se propage" ?

http://www.viruslist.com/en/viruses/encyclopedia?virusid!782790

"cwpbl" <cwpbl@rf.oohay> a écrit dans le message de news:
49f492a9$0$6717$426a74cc@news.free.fr...

http://www.viruslist.com/en/viruses/encyclopedia?virusid!782790

ah oui d'accord, il se propage via _une faille que corrige_ MS08-067.


--
Cordialement,
Az Sam.