Discussion :

[yoyoann]

Bonjour,
Actuellement en stage, je dois mettre en place un serveur SNMP pour ensuite y installer une solution du type nagios.
J'ai donc créer une maquette pour but de monter SNMP. Le problème est que quand je capture le traffic SNMP, je capture aussi des trames qui ne me sont pas destinés. Celles-ci ont pour destination une imprimante. J'ai pus capturer ces trames depuis deux machines différentes. Ce sont des trames SNMP du type get-request. En sachant que je ne capture aucune get-response. Quelqu'un saurait m'aiguiller sur ce que sont ces trames ? Et pourquoi sont elles diffusés sur tout le réseau.
Merci

[ram-0000]

Plusieurs réponses possibles, il faudrait que tu nous donnes au moins les headers (jusqu'à la couche UDP) de ces trames capturées

• Soit tu es sur un HUB et dans ce cas, tout le traffic est dirigé sur tous les ports. Je n'y crois plus trop car les HUB, c'est passé de mode mais pourquoi pas.
• Soit ces trames sont des broadcast MAC, IP ou UDP. Pourquoi ? Mystère
• Soit cette imprimante ne parle jamais (ou peu) et donc les switches (niveau 2) dé-apprennent l'adresse MAC de cette imprimante au bout d'un certain temps. A la première requête (il se trouve que c'est peut être ta trame SNMP qui fait du polling d'équipement), celle ci est diffusée sur tous les ports parce que le (ou les) switches ne savent plus sur quel port est ton imprimante (personnellement, je crois plus à cette dernière hypothèse).

[yoyoann]

Voici les entêtes d'une des trames capturés :

Frame 220232: 120 bytes on wire (960 bits), 120 bytes captured (960 bits) on interface 0
Interface id: 0
Encapsulation type: Ethernet (1)
Arrival Time: Apr 24, 2014 14:16:09.975394000 Paris, Madrid (heure d’été)
[Time shift for this packet: 0.000000000 seconds]
Epoch Time: 1398341769.975394000 seconds
[Time delta from previous captured frame: 0.000393000 seconds]
[Time delta from previous displayed frame: 600.063604000 seconds]
[Time since reference or first frame: 3234.579986000 seconds]
Frame Number: 220232
Frame Length: 120 bytes (960 bits)
Capture Length: 120 bytes (960 bits)
[Frame is marked: False]
[Frame is ignored: False]
[Protocols in frame: eth:ip:udp:snmp]
[Coloring Rule Name: UDP]
[Coloring Rule String: udp]
Ethernet II, Src: AsustekC_d2:ea:17 (bc:ae:c5:d2:ea:17), Dst: Canon_29:e0:16 (00:1e:8f:29:e0:16)
Destination: Canon_29:e0:16 (00:1e:8f:29:e0:16)
Source: AsustekC_d2:ea:17 (bc:ae:c5:d2:ea:17)
Type: IP (0x0800)
Internet Protocol Version 4, Src: 192.168.23.171 (192.168.23.171), Dst: 192.168.16.196 (192.168.16.196)
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00: Not-ECT (Not ECN-Capable Transport))
Total Length: 106
Identification: 0x52a7 (21159)
Flags: 0x00
Fragment offset: 0
Time to live: 128
Protocol: UDP (17)
Header checksum: 0x3e1c [validation disabled]
Source: 192.168.23.171 (192.168.23.171)
Destination: 192.168.16.196 (192.168.16.196)
[Source GeoIP: Unknown]
[Destination GeoIP: Unknown]
User Datagram Protocol, Src Port: 60934 (60934), Dst Port: snmp (161)
Source port: 60934 (60934)
Destination port: snmp (161)
Length: 86
Checksum: 0x0e5f [validation disabled]

Mais oui votre dernière hypothèse me parait très probable ! . Le problème est que j'ai reçu plusieurs trames similaires, avec la même destination. Un problème de mise en mémoire du switch ? Et ça ne fait ça qu'avec ces trames SNMP
En tout cas merci de prendre du temps pour me répondre