Sur notre réseau, le logiciel Cain détecte un PC Linux (Slackware-11.0)
qui répond aux test ARP "B31" et "B16".
Or la doc de Cain (http://www.oxid.it/ca_um/) dit:
[...]machines, that are not sniffing the network, normally respond to ARP
Test (Broadcast 16-bit) and ARP Test (Multicast group1) only. On the
contrary when a sniffer is activated, and the network card is put into
promiscuous-mode, they start to respond at ARP Test (Broadcast 31-bit) as
well.(*)
Ce PC Linux répond aussi à tous les autres tests (B8, G, M0, M1 et M2).
De plus, il emet des requêtes arp en pagaille. Il n'y a pas, à ma
connaissance (ps), de tcpdump ou autre outil de ce style qui y fonctionne.
J'aimerais comprendre ce qui se passe. Je ne trouve pas de liens
pertinents sur le sujet du broadcast 31, 16 et 8. S'il s'agit de
broadcast IP, pourquoi les machines saines répondent-elles; ou à quoi,
plus exactement ? La signification de G m'échappe aussi (peut-être un
multicast sur des adresses en classe D ?) Quant à M0, M1 et M2,
il s'agirait des groupes gérés par IGMP ?
J e n a g e. Il faut désactiver quelquechose dans le noyau ? Quelqu'un
pourrait-il m'indiquer des liens ? Merci par avance.
--
Hervé
