Discussion :

[dumoulex]

Bonjour,

Je suis sur un réseau de taille assez importante, et je suis confronté à un problème assez grave dont j'ai du mal à trouver l'origine.

Tous les jours (depuis la semaine dernière), des tempêtes de broadcast ARP se déclenchent, mais je ne sais pas pourquoi ni comment..

Ces tempêtes ont presque des horaires réguliers, (quasi quotidiennement, problème à 19h et à 1h)

J'ai bien compris que souvent, ces tempêtes étaient déclenchées par des boucles réseau ; mais d'une part, le spaning tree est activé, ce qui devrait déjà protéger le réseau, mais de plus, les tempêtes s'arrêtent au bout de quelques temps (une moyenne de 20 minutes par tempête) ; et je ne vois pas quelqu'un créer une boucle à 1h du matin le dimanche.... Pour finir, si ces tempêtes étaient provoquées par une boucle, je suppose qu'elle ne s'arrêterait pas toute seule.

Est-ce possible que cela proviennent d'un virus sur une machine ? ou autre ?



merci d'avance

dumoulex

[JML19]

Bonjour

A quoi corresponde ces 4 IP ?

[Invité]

Salut,

Bonjour,
J'ai bien compris que souvent, ces tempêtes étaient déclenchées par des boucles réseau ; mais d'une part, le spaning tree est activé, ce qui devrait déjà protéger le réseau, mais de plus, les tempêtes s'arrêtent au bout de quelques temps (une moyenne de 20 minutes par tempête) ; et je ne vois pas quelqu'un créer une boucle à 1h du matin le dimanche.... Pour finir, si ces tempêtes étaient provoquées par une boucle, je suppose qu'elle ne s'arrêterait pas toute seule.

Si tu avais une boucle Ethernet non gérée par Spanning Tree, il y a longtemps que tu le saurais

Et à en juger par cette trace, le storm est causé par les adresses suivantes :
- 10.16.106.81 qui demande la MAC address de l'IP 10.16.106.254,
- 10.16.106.92 qui demande la MAC de 10.16.106.242.

Quelles sont ces adresses 10.16.106.242 et 254 ? Des gateways ?
Le problème, c'est que ces adresses ne répondent plus à des ARP Requests.

Steph

[dumoulex]

Celles ci sont des machines utilisateurs,

mais en remontant un peu, je détecte des IPs vraiment étonnantes, qui ne sont pas dans ma plage DHCP ni dans ma plage d'IP fixes à attribuer aux machines qui ne sont pas en DHCP.

Avec un outils (OCS) qui permet d'afficher les couples IP / macAddress je retrouve toutes les fameuses IPs / mac qui font les tempêtes ; exemple :

10.16.106.170 00:24:32:10:04:75 (Neostar Technology Co.,LTD) 255.255.255.0 2015-02-18 00:49:34 10.16.106.170
10.16.106.171 00:24:32:10:05:8A (Neostar Technology Co.,LTD) 255.255.255.0 2015-02-18 00:49:34 10.16.106.171
10.16.106.172 00:24:32:10:02B (Neostar Technology Co.,LTD) 255.255.255.0 2015-02-10 05:06:28 10.16.106.172
10.16.106.173 00:24:32:10:05:5A (Neostar Technology Co.,LTD) 255.255.255.0 2015-02-17 06:02:54 10.16.106.173
10.16.106.174 00:24:32:10:05:E4 (Neostar Technology Co.,LTD) 255.255.255.0 2015-02-22 19:33:29 10.16.106.174
10.16.106.175 00:24:32:10:05:88 (Neostar Technology Co.,LTD) 255.255.255.0 2015-02-22 19:33:29 10.16.106.175
10.16.106.177 00:24:32:10:05:7B (Neostar Technology Co.,LTD) 255.255.255.0 2015-02-18 00:49:34 10.16.106.177
10.16.106.178 00:24:32:10:05:8E (Neostar Technology Co.,LTD) 255.255.255.0 2015-02-20 05:21:38 10.16.106.178
10.16.106.179 00:24:32:10:03:8A (Neostar Technology Co.,LTD) 255.255.255.0 2015-02-21 01:10:17 10.16.106.179

le "problème" c'est que ces adresses ne sont attribuées à personne,

Je suppose qu'il s'agirait d'un virus qui s'accapare des IPs libres sur notre réseau et qui set une adresse MAC de type (Neostar Technology Co.,LTD) et une fois sur le réseau, qui balance des flood ARP

merci d'avance,

[dumoulex]

tout a fait d'accord sur la boucle, j'en ai fait à mes débuts, je le saurais si c'etait ça

sur les 2 machines il y a une passerelle et un serveur de fichier.

Voici une nouvelle capture, qui correspond plus à mon probleme :



l'adresse demandée est une passerelle, mais l'adresse IP source / MacAddress ne sont pas censé exister

[JML19]

Tu as aussi la 242 c'est quoi ?

[dumoulex]

la 242 est un serveur de fichier

[Invité]

Dans la trace que tu as fournie, je vois un storm ARP Request de sources 10.16.106.81 et 10.16.106.92.

Maintenant, tu me dis que des MAC addresses Neostar génèrent le storm

Je suppose qu'il s'agirait d'un virus qui s'accapare des IPs libres sur notre réseau et qui set une adresse MAC de type (Neostar Technology Co.,LTD) et une fois sur le réseau, qui balance des flood ARP

Rien ne permet de tirer cette conclusion pour l'instant.

Combien y-a-t-il d'adresses IP dans ce subnet 10.16.106.0/24 ?

Combien y a-t-il d'entrées ARP dans la gateway de ce subnet ?

Steph

[JML19]

Curieux ce n'est pas la même machine qui interroge la passerelle et le serveur, un virus ne serait pas dissocié il me semble ?

[JML19]

Il n'y a pas un système de sauvegarde à distance sur ton réseau ?

[dumoulex]

oui désolé la première trace n'est pas la meilleure, les deux machines sources existent bel et bien.


par contre, d'autres tempêtes (la plus grande partie) sont provoquées par des machines qui ne sont pas censées exister.

je pensais donc à un virus qui traîne sur le réseau et qui infecte des machines qui modifierait IP/macAddress pour faire ces tempêtes


Malheureusement je n'ai pas un accès direct à mon routeur, il faut que je fasse une demande..
De plus, la liste des IPs utilisées et en cours de création ( le réseau etait quand même très très crade jusqu'à il y a peu)

[JML19]

S'il y a des machines qui n'existent pas là c'est autre chose, surement un virus.

[dumoulex]

Bonjour,

le soucis a été reglé..

les IPs appartiennent à des portables qui sont branchés de temps à autres sur le réseau... et au niveau du branchement, il y a un mic mac de switchs non managés et je vous le donne Emile, il y a une belle boucle sur un des switch non managé...

la tempete etait donc déclenchée lorsque ces fameux portables étaient branchés, mais il semble que la boucle ne causait pas plus de probleme que ça sur le réseau puisque lorsque le materiel était débranché, il n'y avait rien a signaler.

Merci en tout cas pour le temps que vous avez passé sur mon topic