NetTraffic me détecte une petite activité internet (200 Octets/s)

Philippe Gueguen a tapoté du bout de ses petites papattes :

Bonjour.

Je suis sous Windows 7 avec antivir et spybot, connecté à une freebox par
câble Ethernet.
J'ai fait un récent scan de mon systeme avec antivir, pas de problème.

J'ai installé le logiciel NetTraffic pour mesurer mon trafic internet.

J'ai constaté que j'ai un débit constant de 200 Octets/s en upload surtout
(en rouge sur le graphique).

Ça sent le cheval de Troie?

Par contre quand je vais dans "centre Réseau et partage" puis "connexion au
réseau local", je ne retrouve pas cette activité.
Même chose avec le gestionnaire de tâche.(pour ce dernier peut être que
l’échelle est trop petite pour afficher un tel débit?)

Que faire?

Comment savoir d’où vient ce trafic?

Merci pour votre aide.

Avec Online Armor tu saurais quelles tâches envoient ou reçoivent
quelle quantité.

--
LeLapin

Avec Online Armor tu saurais quelles tâches envoient ou reçoivent quelle
quantité.

Merci pour ta réponse rapide.

Online Armor semble être un firewall?
Si je l'installe ça m'oblige de changer de firewall.

IL n'y a pas d'autres logiciels moins contraignant?

Philippe Gueguen a exprimé avec précision :

Avec Online Armor tu saurais quelles tâches envoient ou reçoivent quelle
quantité.

Merci pour ta réponse rapide.

Online Armor semble être un firewall?
Si je l'installe ça m'oblige de changer de firewall.

IL n'y a pas d'autres logiciels moins contraignant?

Install "Network Monitor" (de chez MS) ou WireShark, c'est des
sniffers, tu peux t'en servir pour sniffer ta carte locale.

De préférence, pour faire ça prend Network Monitor, il est capable de
relier le traffic avec le process en cause.

Trés simple, fout pas le souk sur la machine, tu peut le virer
facilement aprés, ou même le laisser sans t'en servir.


Reste le risque d'un trojan/rootkit trés bien planqué, et là une seule
méthode, mettre ton PC sur un hub (ou un switch manageable) et sniffer
le traffic avec un autre PC.

--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça
arrive.

Le Sat, 27 Aug 2011 20:00:56 +0200, Ascadix <ascadix.ng@free.fr> a écrit:

Philippe Gueguen a exprimé avec précision :

Avec Online Armor tu saurais quelles tâches envoient ou reçoivent
quelle
quantité.

Merci pour ta réponse rapide.

Online Armor semble être un firewall?
Si je l'installe ça m'oblige de changer de firewall.

IL n'y a pas d'autres logiciels moins contraignant?

Install "Network Monitor" (de chez MS) ou WireShark, c'est des sniffers,
tu peux t'en servir pour sniffer ta carte locale.

De préférence, pour faire ça prend Network Monitor, il est capable de
relier le traffic avec le process en cause.

Trés simple, fout pas le souk sur la machine, tu peut le virer
facilement aprés, ou même le laisser sans t'en servir.


Reste le risque d'un trojan/rootkit trés bien planqué, et là une seule
méthode, mettre ton PC sur un hub (ou un switch manageable) et sniffer
le traffic avec un autre PC.

microsoft sysinbternals tcpview.exe

si peu de trafic, ce n'est pas un cheval de troie, c'est simplement la
carte réseau et la couche ip qui disent qu'elles sont vivantes

--
Utilisant le client e-mail révolutionnaire d'Opera :
http://www.opera.com/mail/

DuboisP avait prétendu :

Le Sat, 27 Aug 2011 20:00:56 +0200, Ascadix <ascadix.ng@free.fr> a écrit:

Philippe Gueguen a exprimé avec précision :

Avec Online Armor tu saurais quelles tâches envoient ou reçoivent quelle
quantité.

Merci pour ta réponse rapide.

Online Armor semble être un firewall?
Si je l'installe ça m'oblige de changer de firewall.

IL n'y a pas d'autres logiciels moins contraignant?

Install "Network Monitor" (de chez MS) ou WireShark, c'est des sniffers, tu
peux t'en servir pour sniffer ta carte locale.

De préférence, pour faire ça prend Network Monitor, il est capable de
relier le traffic avec le process en cause.

Trés simple, fout pas le souk sur la machine, tu peut le virer facilement
aprés, ou même le laisser sans t'en servir.


Reste le risque d'un trojan/rootkit trés bien planqué, et là une seule
méthode, mettre ton PC sur un hub (ou un switch manageable) et sniffer le
traffic avec un autre PC.

microsoft sysinbternals tcpview.exe

si peu de trafic, ce n'est pas un cheval de troie, c'est simplement la carte
réseau et la couche ip qui disent qu'elles sont vivantes

N'est pas très convivial. Je lui préfère, en plus il cause français,
CurrPorts, tout simple et qui vous dit tout sur les ports qui entrent
et qui sortent, qui les a demandés et où ils vont. On le trouve, avec
un tas d'utilitaires freewares, là
http://www.nirsoft.net/
Utile et complémentaires : IPNetInfo qui vous dira quel est le hacker
chinois qui réussi à grenouiller dans votre serveur FTP (pourtant bien
protégé) et vous permettra de mettre toute sa classe d'adresses en
exclusion. "La direction se réserve le droit d'entrée", Ah mais !

Install "Network Monitor" (de chez MS) ou WireShark, c'est des sniffers,
tu peux t'en servir pour sniffer ta carte locale.

De préférence, pour faire ça prend Network Monitor, il est capable de
relier le traffic avec le process en cause.

J'ai suivi ton conseil, j'ai installé Network Moniteur.

D'abords le nom des colonnes:

"Frame Number" "Time Date local adjusted" "Time Offset" "process Name"
"Source" "Destination" "Protocal Name" "Description" "Conv Id"

Les résultats:

1 10:45:26 28/08/2011 1.4781848 NetmonFilter NetmonFilter:Updated
Capture Filter: None
2 10:45:26 28/08/2011 1.4781848 NetworkInfoEx NetworkInfoEx:Network
info for , Network Adapter Count = 3
3 10:45:26 28/08/2011 1.4781848 FE80:0:0:0:A57A:1860:91C:712E
FF02:0:0:0:0:0:0:C SSDP SSDP:Request, M-SEARCH * {HTTP:3, UDP:2, IPv6:1}
4 10:45:29 28/08/2011 4.4783435 FE80:0:0:0:A57A:1860:91C:712E
FF02:0:0:0:0:0:0:C SSDP SSDP:Request, M-SEARCH * {HTTP:3, UDP:2, IPv6:1}
5 10:45:33 28/08/2011 8.4786774 FE80:0:0:0:A57A:1860:91C:712E
FF02:0:0:0:0:0:0:C SSDP SSDP:Request, M-SEARCH * {HTTP:3, UDP:2, IPv6:1}
6 10:45:36 28/08/2011 11.4787609 FE80:0:0:0:A57A:1860:91C:712E
FF02:0:0:0:0:0:0:C SSDP SSDP:Request, M-SEARCH * {HTTP:3, UDP:2, IPv6:1}
7 10:45:39 28/08/2011 14.4789131 FE80:0:0:0:A57A:1860:91C:712E
FF02:0:0:0:0:0:0:C SSDP SSDP:Request, M-SEARCH * {HTTP:3, UDP:2, IPv6:1}
8 10:45:43 28/08/2011 18.4792511 FE80:0:0:0:A57A:1860:91C:712E
FF02:0:0:0:0:0:0:C SSDP SSDP:Request, M-SEARCH * {HTTP:3, UDP:2, IPv6:1}
9 10:45:46 28/08/2011 21.4793346 FE80:0:0:0:A57A:1860:91C:712E
FF02:0:0:0:0:0:0:C SSDP SSDP:Request, M-SEARCH * {HTTP:3, UDP:2, IPv6:1}
10 10:45:49 28/08/2011 24.4794855 FE80:0:0:0:A57A:1860:91C:712E
FF02:0:0:0:0:0:0:C SSDP SSDP:Request, M-SEARCH * {HTTP:3, UDP:2, IPv6:1}
11 10:45:53 28/08/2011 27.5207769 svchost.exe 192.168.0.2
94.245.121.251 ICMPv6 ICMPv6:Router Solicitation {IPv6:7, TEREDO:6,
UDP:5, IPv4:4}
12 10:45:53 28/08/2011 27.6147102 svchost.exe 94.245.121.251
192.168.0.2 ICMPv6 ICMPv6:Router Advertisement {IPv6:8, TEREDO:6, UDP:5,
IPv4:4}
13 10:45:53 28/08/2011 28.4798231 FE80:0:0:0:A57A:1860:91C:712E
FF02:0:0:0:0:0:0:C SSDP SSDP:Request, M-SEARCH * {HTTP:3, UDP:2, IPv6:1}
14 10:45:56 28/08/2011 31.4799004 FE80:0:0:0:A57A:1860:91C:712E
FF02:0:0:0:0:0:0:C SSDP SSDP:Request, M-SEARCH * {HTTP:3, UDP:2, IPv6:1}
15 10:45:58 28/08/2011 32.4998532 192.168.0.2 192.168.0.254 ARP
ARP:Request, 192.168.0.2 asks for 192.168.0.254
16 10:45:58 28/08/2011 32.5001184 192.168.0.254 192.168.0.2 ARP
ARP:Response, 192.168.0.254 at 00-07-CB-10-9E-26
17 10:45:59 28/08/2011 34.4800551 FE80:0:0:0:A57A:1860:91C:712E
FF02:0:0:0:0:0:0:C SSDP SSDP:Request, M-SEARCH * {HTTP:3, UDP:2, IPv6:1}
18 10:46:04 28/08/2011 38.4803999 FE80:0:0:0:A57A:1860:91C:712E
FF02:0:0:0:0:0:0:C SSDP SSDP:Request, M-SEARCH * {HTTP:3, UDP:2, IPv6:1}
19 10:46:07 28/08/2011 41.4804840 FE80:0:0:0:A57A:1860:91C:712E
FF02:0:0:0:0:0:0:C SSDP SSDP:Request, M-SEARCH * {HTTP:3, UDP:2, IPv6:1}
20 10:46:10 28/08/2011 44.4806271 FE80:0:0:0:A57A:1860:91C:712E
FF02:0:0:0:0:0:0:C SSDP SSDP:Request, M-SEARCH * {HTTP:3, UDP:2, IPv6:1}
21 10:46:14 28/08/2011 48.4809664 FE80:0:0:0:A57A:1860:91C:712E
FF02:0:0:0:0:0:0:C SSDP SSDP:Request, M-SEARCH * {HTTP:3, UDP:2, IPv6:1}
22 10:46:17 28/08/2011 51.4810571 FE80:0:0:0:A57A:1860:91C:712E
FF02:0:0:0:0:0:0:C SSDP SSDP:Request, M-SEARCH * {HTTP:3, UDP:2, IPv6:1}
23 10:46:20 28/08/2011 54.4812001 FE80:0:0:0:A57A:1860:91C:712E
FF02:0:0:0:0:0:0:C SSDP SSDP:Request, M-SEARCH * {HTTP:3, UDP:2, IPv6:1}
24 10:46:24 28/08/2011 58.4814868 FE80:0:0:0:A57A:1860:91C:712E
FF02:0:0:0:0:0:0:C SSDP SSDP:Request, M-SEARCH * {HTTP:3, UDP:2, IPv6:1}
25 10:46:27 28/08/2011 61.4816209 FE80:0:0:0:A57A:1860:91C:712E
FF02:0:0:0:0:0:0:C SSDP SSDP:Request, M-SEARCH * {HTTP:3, UDP:2, IPv6:1}
26 10:46:30 28/08/2011 64.4817673 FE80:0:0:0:A57A:1860:91C:712E
FF02:0:0:0:0:0:0:C SSDP SSDP:Request, M-SEARCH * {HTTP:3, UDP:2, IPv6:1}
27 10:46:30 28/08/2011 65.1582655 FE80:0:0:0:A57A:1860:91C:712E
FF02:0:0:0:0:0:1:2 DHCPV6 DHCPV6:MessageType = SOLICIT {UDP:10, IPv6:9}
28 10:46:31 28/08/2011 66.1578071 FE80:0:0:0:A57A:1860:91C:712E
FF02:0:0:0:0:0:1:2 DHCPV6 DHCPV6:MessageType = SOLICIT {UDP:10, IPv6:9}
29 10:46:33 28/08/2011 68.1579034 FE80:0:0:0:A57A:1860:91C:712E
FF02:0:0:0:0:0:1:2 DHCPV6 DHCPV6:MessageType = SOLICIT {UDP:10, IPv6:9}
30 10:46:34 28/08/2011 68.4821060 FE80:0:0:0:A57A:1860:91C:712E
FF02:0:0:0:0:0:0:C SSDP SSDP:Request, M-SEARCH * {HTTP:3, UDP:2, IPv6:1}
31 10:46:35 28/08/2011 69.9080617 svchost.exe 192.168.0.2
94.245.121.251 ICMPv6 ICMPv6:Router Solicitation {IPv6:7, TEREDO:6,
UDP:5, IPv4:4}
32 10:46:35 28/08/2011 70.0022036 svchost.exe 94.245.121.251
192.168.0.2 ICMPv6 ICMPv6:Router Advertisement {IPv6:8, TEREDO:6, UDP:5,
IPv4:4}
33 10:46:37 28/08/2011 71.4821335 FE80:0:0:0:A57A:1860:91C:712E
FF02:0:0:0:0:0:0:C SSDP SSDP:Request, M-SEARCH * {HTTP:3, UDP:2, IPv6:1}
34 10:46:37 28/08/2011 72.1581292 FE80:0:0:0:A57A:1860:91C:712E
FF02:0:0:0:0:0:1:2 DHCPV6 DHCPV6:MessageType = SOLICIT {UDP:10, IPv6:9}
35 10:46:40 28/08/2011 74.4822745 FE80:0:0:0:A57A:1860:91C:712E
FF02:0:0:0:0:0:0:C SSDP SSDP:Request, M-SEARCH * {HTTP:3, UDP:2, IPv6:1}
36 10:46:40 28/08/2011 74.5001807 192.168.0.2 192.168.0.254 ARP
ARP:Request, 192.168.0.2 asks for 192.168.0.254
37 10:46:40 28/08/2011 74.5004695 192.168.0.254 192.168.0.2 ARP
ARP:Response, 192.168.0.254 at 00-07-CB-10-9E-26
38 10:46:44 28/08/2011 78.4826189 FE80:0:0:0:A57A:1860:91C:712E
FF02:0:0:0:0:0:0:C SSDP SSDP:Request, M-SEARCH * {HTTP:3, UDP:2, IPv6:1}
39 10:46:45 28/08/2011 80.1586889 FE80:0:0:0:A57A:1860:91C:712E
FF02:0:0:0:0:0:1:2 DHCPV6 DHCPV6:MessageType = SOLICIT {UDP:10, IPv6:9}
40 10:46:47 28/08/2011 81.4827683 FE80:0:0:0:A57A:1860:91C:712E
FF02:0:0:0:0:0:0:C SSDP SSDP:Request, M-SEARCH * {HTTP:3, UDP:2, IPv6:1}
41 10:46:50 28/08/2011 84.4829161 FE80:0:0:0:A57A:1860:91C:712E
FF02:0:0:0:0:0:0:C SSDP SSDP:Request, M-SEARCH * {HTTP:3, UDP:2, IPv6:1}
42 10:46:54 28/08/2011 88.4832319 FE80:0:0:0:A57A:1860:91C:712E
FF02:0:0:0:0:0:0:C SSDP SSDP:Request, M-SEARCH * {HTTP:3, UDP:2, IPv6:1}
43 10:46:57 28/08/2011 91.4833376 FE80:0:0:0:A57A:1860:91C:712E
FF02:0:0:0:0:0:0:C SSDP SSDP:Request, M-SEARCH * {HTTP:3, UDP:2, IPv6:1}
44 10:47:00 28/08/2011 94.4879594 FE80:0:0:0:A57A:1860:91C:712E
FF02:0:0:0:0:0:0:C SSDP SSDP:Request, M-SEARCH * {HTTP:3, UDP:2, IPv6:1}

Dois je m'inquiéter?
Qu'est ce que le protocole SSDP?

Philippe Gueguen a écrit, le 28/08/2011 11:26 :

FF02:0:0:0:0:0:0:C SSDP SSDP:Request, M-SEARCH * {HTTP:3, UDP:2, IPv6:1 }

Dois je m'inquiéter?
Qu'est ce que le protocole SSDP?

Bonjour,

Effectivement, vu le nombre de fois que ça revient, ça encourage à se
poser cette question.

Alors, comme je ne sais pas, j'ai cherché, et voilà ce que j'ai trouv é :
http://en.wikipedia.org/wiki/Simple_Service_Discovery_Protocol

http://fr.wikipedia.org/wiki/Simple_Service_Discovery_Protocol

(le premier, en Anglais, est un tout petit chouïa plus développé)

De la lecture intéressante en attendant que quelqu'un trouve quelque
chose à ajouter.

Alors, comme je ne sais pas, j'ai cherché, et voilà ce que j'ai trouvé :
http://en.wikipedia.org/wiki/Simple_Service_Discovery_Protocol

http://fr.wikipedia.org/wiki/Simple_Service_Discovery_Protocol

Merci pour l'info.

De toute évidence la source de mon trafic a 200 Octets /s sont bien les
datagrammes de la forme:


"Frame Number" "Time Date local adjusted" "Time Offset" "process Name"
"Source" "Destination" "Protocal Name" "Description" "Conv Id"

3 10:45:26 28/08/2011 1.4781848 FE80:0:0:0:A57A:1860:91C:712E
FF02:0:0:0:0:0:0:C SSDP SSDP:Request, M-SEARCH * {HTTP:3,
UDP:2, IPv6:1}

Chacun de ces paquets mesurent bien 200 Octets.

Il n'y a pas de nom de processus.

J'ai 2 ports éthernets sur mon PC avec un seulement un connecté à ma
freebox.
Quand je vais dans le "centre réseau et partage" de windows 7 puis dans
les détails de ma connexion réseau du port Ethernet connecté à ma
freebox, je retrouve bien:
Adresse IPv6- locale de lien: FE80:0:0:0:A57A:1860:91C:712E (la même
chose que l'adresse Source des datagrammes.)

Pour l'adresse Destination peut être la même chose avec l'autre port
ethernet?

Que veut dire la colonne "Conv Id"?

Des idées?

"Williamhoustra" <williamhoustra@trapellun.net> a écrit dans le message de
news:4e593cc8$0$20455$426a74cc@news.free.fr...

Utile et complémentaires : IPNetInfo qui vous dira quel est le hacker
chinois qui réussi à grenouiller dans votre serveur FTP (pourtant bien
protégé) et vous permettra de mettre toute sa classe d'adresses en
exclusion. "La direction se réserve le droit d'entrée", Ah mais !

Dans le genre, quand on lui donne a manger l'en tète de ton message :

Path:
news.free.fr!xref-2.proxad.net!spooler2c-2.proxad.net!cleanfeed2-a.proxad.net!nnrp3-2.free.fr!not-for-mail
Subject: Re: =?ISO-8859-15?Q?NetTraffic_me_détecte_une_petite_activité? =?ISO-8859-15?Q?_internet__(200_Octets/s)? From: Williamhoustra <williamhoustra@trapellun.net>
References: <4e59257d$0$20216$426a74cc@news.free.fr>
<j3b8r8$rbn$1@talisker.lacave.net> <4e592f63$0$26886$426a74cc@news.free.fr>
<4e5930c4$0$30754$ba4acef3@reader.news.orange.fr>
<op.v0vxpxmvilk2x8@fr10-0fj1n3f>
Newsgroups: fr.comp.os.ms-windows,fr.comp.securite.virus
Organization: =?ISO-8859-15?Q?FNLC_Front_National_de_Libération_du_Casso? =?ISO-8859-15?Q?ulet_(canal_du_Midi)? X-Newsreader: MesNews/1.08.03.00
Date: Sat, 27 Aug 2011 20:51:43 +0200
MIME-Version: 1.0
X-Face:
"&slC~zHc|gV7<efO,5R;IU1NL:HV(`r'5IaU2<we^/r2;[~SL)O-&_nFH;jLw,h4ux^qi# -6Yx5oGK"3{@2BH}QNU5jBGKlD595K`huQK(-a3/}drypY]MLBO).7u-"!7VzSYYPKSQ`>|(EGz3DB
.Iqvm;PUBf`}$_^HPv&wSyq'f~?gY*U#e1!<5Iev)W
Content-Type: text/plain; charset="iso-8859-15"; format=flowed
Content-Transfer-Encoding: 8bit
Lines: 45
Message-ID: <4e593cc8$0$20455$426a74cc@news.free.fr>
NNTP-Posting-Date: 27 Aug 2011 20:51:52 MEST
NNTP-Posting-Host: 78.225.138.175
X-Trace: 1314471112 news-3.free.fr 20455 78.225.138.175:32882
X-Complaints-To: abuse@proxad.net
Xref: news.free.fr fr.comp.os.ms-windows:59719 fr.comp.securite.virus:151375


Il repond ceci (en plus de la bonne IP 78.225.138.175 , heureusement) :

% [whois.apnic.net node-5]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum: 1.8.0.0 - 1.8.255.255
netname: KNET
descr: KNET Techonlogy (BeiJing) Co.,Ltd.
descr: 4,South 4th treet, Zhongguancun,Haidian District,Beijing
country: CN
admin-c: HS1165-AP
tech-c: WL1818-AP
mnt-by: MAINT-CNNIC-AP
mnt-routes: MAINT-CNNIC-AP
mnt-irt: IRT-CNNIC-CN
status: ALLOCATED PORTABLE
changed: hm-changed@apnic.net 20110420
source: APNIC

route: 1.8.0.0/16
descr: KNET Techonlogy (BeiJing) Co.,Ltd.
country: CN
origin: AS38345
notify: lwz@knet.cn
mnt-by: MAINT-CNNIC-AP
changed: ipas@cnnic.cn 20110628
source: APNIC

person: Hanhui Sun
address: 4,South 4th treet, Zhongguancun,Haidian District,Beijing
country: CN
phone: +86-010-58813102
fax-no: +86-010-58812666-126
e-mail: sunhanhui@knet.cn
nic-hdl: HS1165-AP
mnt-by: MAINT-CNNIC-AP
changed: ipas@cnnic.net.cn 20110315
source: APNIC

person: Wenzhe Lu
address: 4,South 4th treet, Zhongguancun,Haidian District,Beijing
country: CN
phone: +86-010-58813017
fax-no: +86-010-58812666-126
e-mail: lwz@knet.cn
nic-hdl: WL1818-AP
mnt-by: MAINT-CNNIC-AP
changed: ipas@cnnic.net.cn 20110315
source: APNIC


Alors quoi ? tu serais un vilain nackeurs chinois ? ;-)


--
Cordialement,
Az Sam.

Az Sam a écrit, le 28/08/2011 23:14 :

"Williamhoustra" <williamhoustra@trapellun.net> a écrit dans le messa ge
de news:4e593cc8$0$20455$426a74cc@news.free.fr...

X-Newsreader: MesNews/1.08.03.00
Il repond ceci (en plus de la bonne IP 78.225.138.175 , heureusement) :
inetnum: 1.8.0.0 - 1.8.255.255
descr: KNET Techonlogy (BeiJing) Co.,Ltd.

Alors quoi ? tu serais un vilain nackeurs chinois ? ;-)

C'est pourtant vrai que quand on refile à l'APNIC le numéro de versio n
de MesNews, en tant qu'adresse IP, c'est bien ça qu'ils répondent :)

ça a l'air fiable, ce truc ...

Peut-être faudrait-il essayer avec l'âge du capitaine ...