Discussion :

[dumoulex]

Bonjour,

Je suis sur un réseau de taille assez importante, et je suis confronté à un problème assez grave dont j'ai du mal à trouver l'origine.

Tous les jours (depuis la semaine dernière), des tempêtes de broadcast ARP se déclenchent, mais je ne sais pas pourquoi ni comment..

Ces tempêtes ont presque des horaires réguliers, (quasi quotidiennement, problème à 19h et à 1h)

J'ai bien compris que souvent, ces tempêtes étaient déclenchées par des boucles réseau ; mais d'une part, le spaning tree est activé, ce qui devrait déjà protéger le réseau, mais de plus, les tempêtes s'arrêtent au bout de quelques temps (une moyenne de 20 minutes par tempête) ; et je ne vois pas quelqu'un créer une boucle à 1h du matin le dimanche.... Pour finir, si ces tempêtes étaient provoquées par une boucle, je suppose qu'elle ne s'arrêterait pas toute seule.

Est-ce possible que cela proviennent d'un virus sur une machine ? ou autre ?



merci d'avance

dumoulex

[JML19]

Bonjour

A quoi corresponde ces 4 IP ?

[dumoulex]

Celles ci sont des machines utilisateurs,

mais en remontant un peu, je détecte des IPs vraiment étonnantes, qui ne sont pas dans ma plage DHCP ni dans ma plage d'IP fixes à attribuer aux machines qui ne sont pas en DHCP.

Avec un outils (OCS) qui permet d'afficher les couples IP / macAddress je retrouve toutes les fameuses IPs / mac qui font les tempêtes ; exemple :

10.16.106.170 00:24:32:10:04:75 (Neostar Technology Co.,LTD) 255.255.255.0 2015-02-18 00:49:34 10.16.106.170
10.16.106.171 00:24:32:10:05:8A (Neostar Technology Co.,LTD) 255.255.255.0 2015-02-18 00:49:34 10.16.106.171
10.16.106.172 00:24:32:10:02B (Neostar Technology Co.,LTD) 255.255.255.0 2015-02-10 05:06:28 10.16.106.172
10.16.106.173 00:24:32:10:05:5A (Neostar Technology Co.,LTD) 255.255.255.0 2015-02-17 06:02:54 10.16.106.173
10.16.106.174 00:24:32:10:05:E4 (Neostar Technology Co.,LTD) 255.255.255.0 2015-02-22 19:33:29 10.16.106.174
10.16.106.175 00:24:32:10:05:88 (Neostar Technology Co.,LTD) 255.255.255.0 2015-02-22 19:33:29 10.16.106.175
10.16.106.177 00:24:32:10:05:7B (Neostar Technology Co.,LTD) 255.255.255.0 2015-02-18 00:49:34 10.16.106.177
10.16.106.178 00:24:32:10:05:8E (Neostar Technology Co.,LTD) 255.255.255.0 2015-02-20 05:21:38 10.16.106.178
10.16.106.179 00:24:32:10:03:8A (Neostar Technology Co.,LTD) 255.255.255.0 2015-02-21 01:10:17 10.16.106.179

le "problème" c'est que ces adresses ne sont attribuées à personne,

Je suppose qu'il s'agirait d'un virus qui s'accapare des IPs libres sur notre réseau et qui set une adresse MAC de type (Neostar Technology Co.,LTD) et une fois sur le réseau, qui balance des flood ARP

merci d'avance,

[dumoulex]

tout a fait d'accord sur la boucle, j'en ai fait à mes débuts, je le saurais si c'etait ça

sur les 2 machines il y a une passerelle et un serveur de fichier.

Voici une nouvelle capture, qui correspond plus à mon probleme :



l'adresse demandée est une passerelle, mais l'adresse IP source / MacAddress ne sont pas censé exister

[JML19]

Tu as aussi la 242 c'est quoi ?

[dumoulex]

la 242 est un serveur de fichier

[Invité]

Dans la trace que tu as fournie, je vois un storm ARP Request de sources 10.16.106.81 et 10.16.106.92.

Maintenant, tu me dis que des MAC addresses Neostar génèrent le storm

Je suppose qu'il s'agirait d'un virus qui s'accapare des IPs libres sur notre réseau et qui set une adresse MAC de type (Neostar Technology Co.,LTD) et une fois sur le réseau, qui balance des flood ARP

Rien ne permet de tirer cette conclusion pour l'instant.

Combien y-a-t-il d'adresses IP dans ce subnet 10.16.106.0/24 ?

Combien y a-t-il d'entrées ARP dans la gateway de ce subnet ?

Steph

[Invité]

Salut,

Bonjour,
J'ai bien compris que souvent, ces tempêtes étaient déclenchées par des boucles réseau ; mais d'une part, le spaning tree est activé, ce qui devrait déjà protéger le réseau, mais de plus, les tempêtes s'arrêtent au bout de quelques temps (une moyenne de 20 minutes par tempête) ; et je ne vois pas quelqu'un créer une boucle à 1h du matin le dimanche.... Pour finir, si ces tempêtes étaient provoquées par une boucle, je suppose qu'elle ne s'arrêterait pas toute seule.

Si tu avais une boucle Ethernet non gérée par Spanning Tree, il y a longtemps que tu le saurais

Et à en juger par cette trace, le storm est causé par les adresses suivantes :
- 10.16.106.81 qui demande la MAC address de l'IP 10.16.106.254,
- 10.16.106.92 qui demande la MAC de 10.16.106.242.

Quelles sont ces adresses 10.16.106.242 et 254 ? Des gateways ?
Le problème, c'est que ces adresses ne répondent plus à des ARP Requests.

Steph