Mon PC envoie des paquets ARP en broadcast

Le
Philippe Gueguen
Bonjour.

J'utilise Windows XP SP3 (mise à jour activée), avast, le firewall d'XP .
Je suis connécté à l'ADSL free par l'intermédiaire d'une freebox en
éthernet.

Le problème est que j'ai une petite activité internet (en émission
essentiellement), quand je n'ai aucun programme internet qui fonctionne.

On m'a conseillé d'utiliser Wireshark (http://www.wireshark.org/ ) pour
savoir quel paquet était envoyé.

La plupart des données échangées sont de protocole ARP avec comme
destination "Broadcast"
et comme infos: "who has 192.168.0.x tell 192.168.0.1" (la valeur x varie
suivant les paquets)

Par moment aussi j'ai des UDP avec "destination port: canon-bjnp1" (J'ai une
imprimante canon relier en Wi Fi et une autre canon relié en USB).
Pour ces paquets j'ai comme destination : "255.255.255.255 " et comme infos:
"source port: vfo destination port: canon-bjnp1"

J'ai aussi un peu de:
Protocole Info
NBNS NAME Query NB MSHOME<1b>
BROWSER Get Backup List Request
comme destination j'ai 192.168.0.255

Est ce que ces activités(surtout en ARP) peuvent être due à un virus?

Merci pour votre aide.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Philippe Gueguen
Le #18920241
Petites précisions:
La plupart des données échangées sont de protocole ARP avec comme
destination "Broadcast"
et comme infos: "who has 192.168.0.x tell 192.168.0.1" (la valeur x varie
suivant les paquets)


La source d'émission est mon adaptateur ethernet (asusteckC_7c:14:f2)



Par moment aussi j'ai des UDP avec "destination port: canon-bjnp1" (J'ai
une
imprimante canon relier en Wi Fi et une autre canon relié en USB).
Pour ces paquets j'ai comme destination : "255.255.255.255 " et comme
infos:
"source port: vfo destination port: canon-bjnp1"


La source d'émission est: 192.168.0.1


J'ai aussi un peu de:
Protocole Info
NBNS NAME Query NB MSHOME<1b>
BROWSER Get Backup List Request
comme destination j'ai 192.168.0.255


La source d'émission est: 192.168.0.1
Albert ARIBAUD
Le #18920381
Le Tue, 17 Mar 2009 12:05:57 +0100, Philippe Gueguen a écrit :

Bonjour.

J'utilise Windows XP SP3 (mise à jour activée), avast, le firewall d'XP
. Je suis connécté à l'ADSL free par l'intermédiaire d'une freebox en
éthernet.

Le problème est que j'ai une petite activité internet (en émission
essentiellement), quand je n'ai aucun programme internet qui fonctionne.

On m'a conseillé d'utiliser Wireshark (http://www.wireshark.org/ ) pour
savoir quel paquet était envoyé.

La plupart des données échangées sont de protocole ARP avec comme
destination "Broadcast"
et comme infos: "who has 192.168.0.x tell 192.168.0.1" (la valeur x
varie suivant les paquets)

Par moment aussi j'ai des UDP avec "destination port: canon-bjnp1" (J'ai
une imprimante canon relier en Wi Fi et une autre canon relié en USB).
Pour ces paquets j'ai comme destination : "255.255.255.255 " et comme
infos: "source port: vfo destination port: canon-bjnp1"

J'ai aussi un peu de:
Protocole Info
NBNS NAME Query NB MSHOME<1b> BROWSER Get Backup List
Request
comme destination j'ai 192.168.0.255

Est ce que ces activités(surtout en ARP) peuvent être due à un virus?

Merci pour votre aide.



N'as-tu pas un utilitaire Canon qui de temps en temps chercherait à
parler à l'imprimante ?n

Amicalement,
--
Albert.
mr.tux
Le #18921781
Albert a raison (une fois de plus :)) le brodcast ARP (résolution) est
normal et la connexion UDP sur le port 8611 correspond au moniteur Canon
BJNP.
Pour plus d'infos voir : http://www.pc-library.com/ports/tcp-udp-port/8611/

Albert ARIBAUD a écrit :
Le Tue, 17 Mar 2009 12:05:57 +0100, Philippe Gueguen a écrit :

Bonjour.

J'utilise Windows XP SP3 (mise à jour activée), avast, le firewall d'XP
. Je suis connécté à l'ADSL free par l'intermédiaire d'une freebox en
éthernet.

Le problème est que j'ai une petite activité internet (en émission
essentiellement), quand je n'ai aucun programme internet qui fonctionne.

On m'a conseillé d'utiliser Wireshark (http://www.wireshark.org/ ) pour
savoir quel paquet était envoyé.

La plupart des données échangées sont de protocole ARP avec comme
destination "Broadcast"
et comme infos: "who has 192.168.0.x tell 192.168.0.1" (la valeur x
varie suivant les paquets)

Par moment aussi j'ai des UDP avec "destination port: canon-bjnp1" (J'ai
une imprimante canon relier en Wi Fi et une autre canon relié en USB).
Pour ces paquets j'ai comme destination : "255.255.255.255 " et comme
infos: "source port: vfo destination port: canon-bjnp1"

J'ai aussi un peu de:
Protocole Info
NBNS NAME Query NB MSHOME<1b> BROWSER Get Backup List
Request
comme destination j'ai 192.168.0.255

Est ce que ces activités(surtout en ARP) peuvent être due à un virus?

Merci pour votre aide.



N'as-tu pas un utilitaire Canon qui de temps en temps chercherait à
parler à l'imprimante ?n

Amicalement,


Philippe Gueguen
Le #18921871
> N'as-tu pas un utilitaire Canon qui de temps en temps chercherait à
parler à l'imprimante ?n

Amicalement,
--
Albert


Merci pour ta réponse!
Tu as tout à fait raison, c'est bien l'utilitaire Canon CNMSUT.exe qui était
la cause du trafic.
Est ce que cela pose un problème de le laisser fonctionner?

bye
Philippe Gueguen
Le #18922001
"mr.tux" 49bfbaf9$0$30107$
Albert a raison (une fois de plus :)) le brodcast ARP (résolution) est
normal et la connexion UDP sur le port 8611 correspond au moniteur Canon
BJNP.
Pour plus d'infos voir :
http://www.pc-library.com/ports/tcp-udp-port/8611/



Merci mr.tux pour ta confirmation!
Albert ARIBAUD
Le #18921991
Le Tue, 17 Mar 2009 16:12:04 +0100, Philippe Gueguen a écrit :

N'as-tu pas un utilitaire Canon qui de temps en temps chercherait à
parler à l'imprimante ?n

Amicalement,
--
Albert


Merci pour ta réponse!
Tu as tout à fait raison, c'est bien l'utilitaire Canon CNMSUT.exe qui
était la cause du trafic.
Est ce que cela pose un problème de le laisser fonctionner?

bye



Euh... Aux dernières nouvelles, c'est toi le maître du trafic sur ton
réseau. Donc si tu estimes que ce trafic sur 192.168.0.* est légitime, il
n'y a par définition pas de problème... et si ton inquiétude est de
savoir si ça va gêner la box, ben c'est le problème du fournisseur de
faire en sorte que non. :)

Amicalement,
--
Albert.
Pascal Hambourg
Le #18922101
Salut,

Philippe Gueguen a écrit :

J'utilise Windows XP SP3 (mise à jour activée), avast, le firewall d'XP .
Je suis connécté à l'ADSL free par l'intermédiaire d'une freebox en
éthernet.

Le problème est que j'ai une petite activité internet (en émission
essentiellement), quand je n'ai aucun programme internet qui fonctionne.


[...]
La plupart des données échangées sont de protocole ARP avec comme
destination "Broadcast"
et comme infos: "who has 192.168.0.x tell 192.168.0.1" (la valeur x varie
suivant les paquets)



Il est normal qu'une requête ARP ("who has") soit envoyée à l'adresse de
broadcast ethernet, puisque le but de cette requête est précisément de
découvrir l'adresse ethernet (MAC) correspondant à l'adresse IP cible.

Des requêtes ARP sont le signe que ta machine cherche à envoyer du
trafic IP à d'autres machines sur le réseau local. Cela peut être aussi
bien le résultat d'un activité normale que d'un programme malveillant
qui scanne le réseau local à la recherche d'autres machines à infecter
par exemple. Par conséquent si ces requêtes ARP concernent des adresses
IP inutilisées (et n'obtiennent pas de réponse), je m'inquièterais un peu.

J'ai aussi un peu de:
Protocole Info
NBNS NAME Query NB MSHOME<1b>
BROWSER Get Backup List Request
comme destination j'ai 192.168.0.255



Ça c'est normal, c'est inhérent au voisinage réseau Windows.

PS : Faire un crosspost sans suivi entre une hiérarchie privée et une
hiérarchie publique, c'est mal. Comme le sujet n'a aucun rapport avec
l'ADSL de Free je supprime le crosspost avec proxad.free.adsl. En fait
fr.comp.reseaux.ip aurait même été plus approprié que
fr.comp.reseaux.ethernet.
Albert ARIBAUD
Le #18922251
Le Tue, 17 Mar 2009 16:33:04 +0100, Philippe Gueguen a écrit :

Est ce que cela pose un problème de le laisser fonctionner?






Euh... Aux dernières nouvelles, c'est toi le maître du trafic sur ton
réseau. Donc si tu estimes que ce trafic sur 192.168.0.* est légitime,
il n'y a par définition pas de problème... et si ton inquiétude est de
savoir si ça va gêner la box, ben c'est le problème du fournisseur de
faire en sorte que non. :)

Amicalement,
--
Albert.



C'est vrai qu'à priori maintenant je sais que le trafic ne viens pas
d'un logiciel malveillant.
Donc pas de problème!

Par contre quel est l'intérêt de ses dialogues avec mon imprimante alors
que celle ci est éteinte?

bye



Je dirais qu'il s'agit de détecter quand elle est mise en marche, par
exemple pour signaler spontanément des niveaux d'encre faible ou lancer
les jobs d'impression encore en attente ; certes avec une imprimante USB
il suffit de détecter son branchement, mais avec une imprimante Ethernet
on ne peut pas, et on n'a guère le moyen que de lui envoyer des paquets
et voir si elle répond.

Amicalement,
--
Albert.
Philippe Gueguen
Le #18922841
"Pascal Hambourg" news: gpogj5$1ll7$

Merci pour ta réponse.



Il est normal qu'une requête ARP ("who has") soit envoyée à l'adresse de
broadcast ethernet, puisque le but de cette requête est précisément de
découvrir l'adresse ethernet (MAC) correspondant à l'adresse IP cible.

Des requêtes ARP sont le signe que ta machine cherche à envoyer du
trafic IP à d'autres machines sur le réseau local. Cela peut être aussi
bien le résultat d'un activité normale que d'un programme malveillant
qui scanne le réseau local à la recherche d'autres machines à infecter
par exemple. Par conséquent si ces requêtes ARP concernent des adresses
IP inutilisées (et n'obtiennent pas de réponse), je m'inquièterais un peu.



En fait on a trouvé le responsable du débit: c'est l'utilitaire Canon
CNMSUT.exe. (voir plus haut)
Donc pas de problème!


PS : Faire un crosspost sans suivi entre une hiérarchie privée et une
hiérarchie publique, c'est mal. Comme le sujet n'a aucun rapport avec
l'ADSL de Free je supprime le crosspost avec proxad.free.adsl. En fait
fr.comp.reseaux.ip aurait même été plus approprié que
fr.comp.reseaux.ethernet.



Que veux tu dire par suivi?
Pourquoi ne peut on pas faire un crosspost entre une hiérarchie
privée(proxad je suppose) et une hiérarchie publique?
J'ai posté à proxad.free.adsl car je me demandais si il ne pouvait y avoir
une
corrélation entre mon problème et ma freebox (mais c'est vrai que c'est peu
probable)

bye
Albert ARIBAUD
Le #18923501
Le Tue, 17 Mar 2009 18:01:46 +0100, Philippe Gueguen a écrit :

J'ai trouvé un fichier qui décrit le logiciel Canon. Il y a notamment
écrit:

1. Introduction -----------------------------------------------------
Merci d'utiliser Canon IJ Network Scan Utility. Ce produit vous permet
de numériser des données d'image dans cet ordinateur à l'aide du
panneau de commande du scanner via le réseau.

2. Contenu du produit -----------------------------------------------
Ce produit comprend les éléments décrits ci-après. Canon IJ Network
Scan Utility
Utilisez cette application pour numériser des données d'image dans
cet ordinateur à l'aide du panneau de commande du scanner via le
réseau....

Je comprend pas trop ce qu'ils veulent dire.(ça concerne la fonction
scanner de ma multifonction?)

Une idée?



Pas beaucoup plus que précédemment.

Amicalement,
--
Albert.
Publicité
Poster une réponse
Anonyme