Aller au contenu

Analyse du trafic réseau


Messages recommandés

Bonjour

Je voulais savoir si l'un d'entre vous savait comment on peut savoir ce qui transite par le réseau. L'idéal serait un soft sympa. Comme beaucoup il m'est arrivé de constater du débit sortant dont je ne connais pas la nature. J'ai bien un moniteur de trafic avec Virus Barrier mais il n'est pas exhaustif (pas moyen de tout monitorer en simultané), bien que ce soit déjà l'un des meilleurs outils que j'ai vu dans le genre (trafic entrant et sortant de 5 protocoles).

Lien vers le commentaire
Partager sur d’autres sites

les couches OSI et le data, oui, c'est un peu plus que je n'ai besoin. Mais un rapport des ports, interface et protocoles ça cébon :D

Pas super convivial mais complet, je peux pas dire, merci :)

Edit: ha bah le graphique est aussi limité à 5 catégories, c'est une maladie ça :p

Lien vers le commentaire
Partager sur d’autres sites

Bon grâce à ce soft j'ai trouvé... c'est mon portable PC visiblement... bouh... saturation de cslistener, genre attaque DOS. VirusBarrier n'a pas réagi... enfin je suis loin d'être un spécialiste, le port est 9000. Qu'en pensez-vous?

Edit: si, VB a détecté une alerte orange pour ce motif (j'ai cherché dans les logs), nombreux ports sources différents pour un même port de destination: 9000.

Lien vers le commentaire
Partager sur d’autres sites

"cslistener is part of IBM's websphere server". Donc si tu n'as pas de WebSphere, ce port peut être utilisé par n'importe qui, n'importe quoi (parce que supérieur à 1023) :transpi:

Un emule, shareaza un truc de pirate en somme qui tourne sur ce port :siffle:

Sinon, cela peut être un trojan :craint:

Lien vers le commentaire
Partager sur d’autres sites

Moué... Port 9000, ça m'évoque rien non plus... Donc 2 questions:

> Est-ce que le port est en ecoute ?

> Si oui, quel process se cache derrière le port ?

:arrow:http://hdrapin.wordpress.com/2008/12/07/mac-securite-analyse-des-ports-tcpip-ouverts/

De plus, tu es derrière un routeur non ? Si c'est du trafic "spontané" en provenance du net, comment se fait-il que les paquets ne soient pas droppés ?

Aurais-tu un NAT foireux vers ton PC portable dans ton routeur ? Ou alors, c'est un process ayant ouvert ce NAT via uPnP ? :roll:

Faut regarder ça de près...

:chinois:

Lien vers le commentaire
Partager sur d’autres sites

C'est un portable avec très peu d'applications installées. Pas de P2P Ce qui m'étonne c'est la bande passante utilisée et la rotation rapide du port d'origine. J'ai bien un serveur Ghost qui tourne mais ça ne semble pas correspondre. Après c'est un portable professionnel, il y a peut-être des services qui broadcastent lourdement à la recherche d'un service particulier. Sur le réseau WiFi ça brasse en local, vu les débits ce n'est pas un transit du net du moins pas direct.

Bref ça peut être beaucoup de chose... j'ai éteint le PC.

Lien vers le commentaire
Partager sur d’autres sites

C'est sur Mac que l'ai constaté les connexions entrantes, le PC/XP serait la source. Donc sujet mixte...

Il aurait fallu regarder quel programme faisait ça dans une console "netstat -taupe" sous *NIX et "netstat /b" sous Windows.

Merci je regarderai à ça si le problème resurgit.

Lien vers le commentaire
Partager sur d’autres sites

Bon, bein puisque j'arrive encore après la bataille, je ne peux que plussoyer le choix de Wireshark, et éventuellement signaler l'existence de tcpdump, version texte, qui peut s'avérer pratique sur une machine un peu faiblarde : on capture le traffic avec un tcpdump -w kikoolol.pcap et ensuite on ouvre kikoolol.pcap au calme avec Wireshark pour étudier la trace tranquillement.

J'ai d'ailleurs tellement pris l'habitude que dorénavant, même sur un système avec interface graphique, je tcpdump d'abord et je réfléchis après :D

PS : tcpdump dispo en standard dans 10.6 et même avant je pense ;)

Lien vers le commentaire
Partager sur d’autres sites

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.

×
×
  • Créer...