Traffic réseaux anormal
Traffic réseaux anormal - Windows & Software
Marsh Posté le 21-06-2006 à 20:56:46
c'est quoi ses trames là ? leur nom ? c'est pas du broadcast ?
Marsh Posté le 21-06-2006 à 21:01:30
ce sont des traffic entre plusieurs machines de mon réseaux.
Marsh Posté le 21-06-2006 à 21:02:53
leur nom, stp ! si tu veux pas que l'on voit ton IP tu la change, mais donne nous des infos, nous sommes pas divain !!
Marsh Posté le 21-06-2006 à 21:31:21
en faite sur mon switch je fait un port mirrorpour rediriger le traffic vers ma sonde ethereal.
Marsh Posté le 21-06-2006 à 21:39:12
je crois que tu peux enregistrer les résultats au format txt, fait le et copie nous le fichier ici ou une partie du moins 
Marsh Posté le 21-06-2006 à 21:41:31
[img]http://url/de/l'image[/img] |
Sinon donne les numéros de ports
Ethereal réussit a analyser tes trames ? il détecte quoi comme protocole ?
Marsh Posté le 21-06-2006 à 21:42:28
No. Time Source Destination Protocol Info
1 0.000000 10.0.136.13 10.10.0.122 TCP [TCP segment of a reassembled PDU]
Frame 1 (81 bytes on wire, 81 bytes captured)
Ethernet II, Src: Cisco_01:20:08 (00:0d:66:01:20:08), Dst: Ibm_31:79:d4 (00:14:5e:31:79:d4)
Internet Protocol, Src: 10.0.136.13 (10.0.136.13), Dst: 10.10.0.122 (10.10.0.122)
Transmission Control Protocol, Src Port: 1039 (1039), Dst Port: 1494 (1494), Seq: 0, Ack: 0, Len: 15
No. Time Source Destination Protocol Info
2 0.000080 10.10.0.122 10.0.136.13 TCP [TCP segment of a reassembled PDU]
Frame 2 (81 bytes on wire, 81 bytes captured)
Ethernet II, Src: Ibm_31:79:d4 (00:14:5e:31:79:d4), Dst: LannetDa_d5:8e:02 (00:40:0d:d5:8e:02)
Internet Protocol, Src: 10.10.0.122 (10.10.0.122), Dst: 10.0.136.13 (10.0.136.13)
Transmission Control Protocol, Src Port: 1494 (1494), Dst Port: 1039 (1039), Seq: 120, Ack: 15, Len: 15
No. Time Source Destination Protocol Info
3 0.000791 10.0.136.13 10.10.0.122 TCP 1039 > 1494 [PSH, ACK] Seq=4294967281 Ack=30 Win=31659 Len=0 TSV=690443 TSER=226495
Frame 3 (66 bytes on wire, 66 bytes captured)
Ethernet II, Src: Cisco_01:20:08 (00:0d:66:01:20:08), Dst: Ibm_31:79:d4 (00:14:5e:31:79:d4)
Internet Protocol, Src: 10.0.136.13 (10.0.136.13), Dst: 10.10.0.122 (10.10.0.122)
Transmission Control Protocol, Src Port: 1039 (1039), Dst Port: 1494 (1494), Seq: 4294967281, Ack: 30, Len: 0
No. Time Source Destination Protocol Info
4 0.000817 10.10.0.122 10.0.136.13 TCP [TCP Dup ACK 2#1] 1494 > 1039 [ACK] Seq=135 Ack=15 Win=63754 Len=0 TSV=226496 TSER=690444
Frame 4 (66 bytes on wire, 66 bytes captured)
Ethernet II, Src: Ibm_31:79:d4 (00:14:5e:31:79:d4), Dst: LannetDa_d5:8e:02 (00:40:0d:d5:8e:02)
Internet Protocol, Src: 10.10.0.122 (10.10.0.122), Dst: 10.0.136.13 (10.0.136.13)
Transmission Control Protocol, Src Port: 1494 (1494), Dst Port: 1039 (1039), Seq: 135, Ack: 15, Len: 0
No. Time Source Destination Protocol Info
5 0.003618 10.10.0.115 10.0.128.11 TCP [TCP segment of a reassembled PDU]
Frame 5 (153 bytes on wire, 153 bytes captured)
Ethernet II, Src: Ibm_a3:c8:d5 (00:09:6b:a3:c8:d5), Dst: LannetDa_d5:8e:02 (00:40:0d:d5:8e:02)
Internet Protocol, Src: 10.10.0.115 (10.10.0.115), Dst: 10.0.128.11 (10.0.128.11)
Transmission Control Protocol, Src Port: 1494 (1494), Dst Port: 1045 (1045), Seq: 0, Ack: 0, Len: 87
Marsh Posté le 21-06-2006 à 21:44:51
la machine observer est la 10.10.0.167
et elle cense converser avec la 10.10.0.162
mais qu'avec lui parce que, on observer son traffic a son port.
Marsh Posté le 21-06-2006 à 21:49:40
Heu... Il n y a aucun traffic entre ces deux adresse ![[:opus dei]](https://forum-images.hardware.fr/images/perso/opus dei.gif "[:opus dei]")
il n y a que entre 10.0.136.13 10.10.0.122 et entre 10.10.0.115 10.0.128.11
Marsh Posté le 21-06-2006 à 21:53:46
attends:
No. Time Source Destination Protocol Info
6 0.003634 10.10.0.115 10.0.128.11 TCP [TCP Out-Of-Order] [TCP segment of a reassembled PDU]
Frame 6 (153 bytes on wire, 153 bytes captured)
Ethernet II, Src: Ibm_a3:c8:d5 (00:09:6b:a3:c8:d5), Dst: LannetDa_d5:8e:02 (00:40:0d:d5:8e:02)
Internet Protocol, Src: 10.10.0.115 (10.10.0.115), Dst: 10.0.128.11 (10.0.128.11)
Transmission Control Protocol, Src Port: 1494 (1494), Dst Port: 1045 (1045), Seq: 0, Ack: 0, Len: 87
No. Time Source Destination Protocol Info
7 0.003882 10.0.0.38 10.10.0.115 TCP [TCP segment of a reassembled PDU]
Frame 7 (81 bytes on wire, 81 bytes captured)
Ethernet II, Src: LannetDa_d5:8e:02 (00:40:0d:d5:8e:02), Dst: Ibm_a3:c8:d5 (00:09:6b:a3:c8:d5)
Internet Protocol, Src: 10.0.0.38 (10.0.0.38), Dst: 10.10.0.115 (10.10.0.115)
Transmission Control Protocol, Src Port: 1029 (1029), Dst Port: 1494 (1494), Seq: 0, Ack: 0, Len: 15
No. Time Source Destination Protocol Info
8 0.003892 10.0.0.38 10.10.0.115 TCP [TCP Out-Of-Order] [TCP segment of a reassembled PDU]
Frame 8 (81 bytes on wire, 81 bytes captured)
Ethernet II, Src: LannetDa_d5:8e:02 (00:40:0d:d5:8e:02), Dst: Ibm_a3:c8:d5 (00:09:6b:a3:c8:d5)
Internet Protocol, Src: 10.0.0.38 (10.0.0.38), Dst: 10.10.0.115 (10.10.0.115)
Transmission Control Protocol, Src Port: 1029 (1029), Dst Port: 1494 (1494), Seq: 0, Ack: 0, Len: 15
No. Time Source Destination Protocol Info
9 0.003933 10.10.0.115 10.0.0.38 TCP 1494 > 1029 [ACK] Seq=0 Ack=15 Win=63625 Len=0 TSV=344451 TSER=414100
Frame 9 (66 bytes on wire, 66 bytes captured)
Ethernet II, Src: Ibm_a3:c8:d5 (00:09:6b:a3:c8:d5), Dst: LannetDa_d5:8e:02 (00:40:0d:d5:8e:02)
Internet Protocol, Src: 10.10.0.115 (10.10.0.115), Dst: 10.0.0.38 (10.0.0.38)
Transmission Control Protocol, Src Port: 1494 (1494), Dst Port: 1029 (1029), Seq: 0, Ack: 15, Len: 0
No. Time Source Destination Protocol Info
10 0.003951 10.10.0.115 10.0.0.38 TCP [TCP Dup ACK 9#1] 1494 > 1029 [ACK] Seq=0 Ack=15 Win=63625 Len=0 TSV=344451 TSER=414100
Frame 10 (66 bytes on wire, 66 bytes captured)
Ethernet II, Src: Ibm_a3:c8:d5 (00:09:6b:a3:c8:d5), Dst: LannetDa_d5:8e:02 (00:40:0d:d5:8e:02)
Internet Protocol, Src: 10.10.0.115 (10.10.0.115), Dst: 10.0.0.38 (10.0.0.38)
Transmission Control Protocol, Src Port: 1494 (1494), Dst Port: 1029 (1029), Seq: 0, Ack: 15, Len: 0
No. Time Source Destination Protocol Info
11 0.004831 10.10.0.167 10.10.0.162 TNS Response, Data (6), Data
Frame 11 (955 bytes on wire, 955 bytes captured)
Ethernet II, Src: Ibm_40:2b:42 (00:11:25:40:2b:42), Dst: Broadcom_03:40:c8 (00:10:18:03:40:c8)
Internet Protocol, Src: 10.10.0.167 (10.10.0.167), Dst: 10.10.0.162 (10.10.0.162)
Transmission Control Protocol, Src Port: 1521 (1521), Dst Port: 1854 (1854), Seq: 0, Ack: 0, Len: 901
Transparent Network Substrate Protocol
No. Time Source Destination Protocol Info
12 0.004851 10.10.0.167 10.10.0.162 TNS [TCP Out-Of-Order] Response, Data (6), Data
Frame 12 (955 bytes on wire, 955 bytes captured)
Ethernet II, Src: Ibm_40:2b:42 (00:11:25:40:2b:42), Dst: Broadcom_03:40:c8 (00:10:18:03:40:c8)
Internet Protocol, Src: 10.10.0.167 (10.10.0.167), Dst: 10.10.0.162 (10.10.0.162)
Transmission Control Protocol, Src Port: 1521 (1521), Dst Port: 1854 (1854), Seq: 0, Ack: 0, Len: 901
Transparent Network Substrate Protocol
No. Time Source Destination Protocol Info
13 0.004975 10.10.0.167 10.10.0.162 TNS Response, Data (6), Data
Frame 13 (521 bytes on wire, 521 bytes captured)
Ethernet II, Src: Ibm_40:2b:42 (00:11:25:40:2b:42), Dst: Broadcom_03:40:c8 (00:10:18:03:40:c8)
Internet Protocol, Src: 10.10.0.167 (10.10.0.167), Dst: 10.10.0.162 (10.10.0.162)
Transmission Control Protocol, Src Port: 1521 (1521), Dst Port: 1636 (1636), Seq: 0, Ack: 0, Len: 467
Transparent Network Substrate Protocol
No. Time Source Destination Protocol Info
14 0.004984 10.10.0.167 10.10.0.162 TNS [TCP Out-Of-Order] Response, Data (6), Data
Frame 14 (521 bytes on wire, 521 bytes captured)
Ethernet II, Src: Ibm_40:2b:42 (00:11:25:40:2b:42), Dst: Broadcom_03:40:c8 (00:10:18:03:40:c8)
Internet Protocol, Src: 10.10.0.167 (10.10.0.167), Dst: 10.10.0.162 (10.10.0.162)
Transmission Control Protocol, Src Port: 1521 (1521), Dst Port: 1636 (1636), Seq: 0, Ack: 0, Len: 467
Transparent Network Substrate Protocol
No. Time Source Destination Protocol Info
15 0.005355 10.10.0.167 10.10.0.162 TCP [TCP segment of a reassembled PDU]
Frame 15 (1514 bytes on wire, 1514 bytes captured)
Ethernet II, Src: Ibm_40:2b:42 (00:11:25:40:2b:42), Dst: Broadcom_03:40:c8 (00:10:18:03:40:c8)
Internet Protocol, Src: 10.10.0.167 (10.10.0.167), Dst: 10.10.0.162 (10.10.0.162)
Transmission Control Protocol, Src Port: 1521 (1521), Dst Port: 1871 (1871), Seq: 0, Ack: 0, Len: 1460
No. Time Source Destination Protocol Info
16 0.005371 10.10.0.167 10.10.0.162 TCP [TCP Out-Of-Order] [TCP segment of a reassembled PDU]
Frame 16 (1514 bytes on wire, 1514 bytes captured)
Ethernet II, Src: Ibm_40:2b:42 (00:11:25:40:2b:42), Dst: Broadcom_03:40:c8 (00:10:18:03:40:c8)
Internet Protocol, Src: 10.10.0.167 (10.10.0.167), Dst: 10.10.0.162 (10.10.0.162)
Transmission Control Protocol, Src Port: 1521 (1521), Dst Port: 1871 (1871), Seq: 0, Ack: 0, Len: 1460
No. Time Source Destination Protocol Info
17 0.005383 10.10.0.167 10.10.0.162 TNS Response, Data (6), Data
Frame 17 (605 bytes on wire, 605 bytes captured)
Ethernet II, Src: Ibm_40:2b:42 (00:11:25:40:2b:42), Dst: Broadcom_03:40:c8 (00:10:18:03:40:c8)
Internet Protocol, Src: 10.10.0.167 (10.10.0.167), Dst: 10.10.0.162 (10.10.0.162)
Transmission Control Protocol, Src Port: 1521 (1521), Dst Port: 1871 (1871), Seq: 1460, Ack: 0, Len: 551
Reassembled TCP Segments (2011 bytes): #15(1460), #16(1460), #17(551), #18(551)
Transparent Network Substrate Protocol
Marsh Posté le 21-06-2006 à 21:58:40
ca serait a priori un truc de control de licence pour oracle
Un port utilisé par oracle mais "réservé" par l'iana pour autre chose (ncube licence manager) d'apres ce que j'ai compris
Message édité par l0ky le 21-06-2006 à 22:01:44
Marsh Posté le 21-06-2006 à 22:02:24
qu'est ce que ca a voir avec mon problème de traffic intempestif
Marsh Posté le 21-06-2006 à 22:05:04
en gros j'ai koi comme probleme sous oracle. l'anglais c'est aps trop mon truc.
Marsh Posté le 21-06-2006 à 22:11:51
D'une part tu as un dialogue normal entre un client et le serveur oracle. Je connais pas les protocoles utilisé par orable. Mais ca me parait normal.
Ensuite tu as ces deux machines : 10.0.0.38 et 10.10.0.115
Ces adresses, elles te disent quelque chose ? Il semblerait quelle discute suivant le protocol ICA
Info la : http://www.neocles.fr/neocorp/page [...] cl_ica.htm
Pourquoi tu as ca sur le port de ton serveur :
deux solutions: tu as une cascade de switch branché sur ton port que tu as mirroré. Sur ce port tu as donc plusieurs équipements : a prioiri ton serveur oracle et 10.10.0.115 (meme réseau donc je suppose qu'il s'agissent de celui la).
Sinon ton mirroring est foireux. Je connais pas les avaya mais tu as put mirrorer TOUS les ports ou plusieurs.
Message édité par l0ky le 21-06-2006 à 22:14:19
Marsh Posté le 21-06-2006 à 22:11:53
ok, mais j'ai aussi ce probléme sur des machines qui ne font pas de l'oracle.
Marsh Posté le 21-06-2006 à 22:24:27
enfin de compte j'ai une pile de quatre switch branche en stack. Et je mirror un port sur un switch de la pile.
Marsh Posté le 21-06-2006 à 22:26:03
j'ai certains où j'ai un traffic cline (normal) la difference est flagrant.
Marsh Posté le 22-06-2006 à 08:59:59
Quelqu'un peut-il sniffer le trafic sur ce topic ?
Apparemment il y a des trames de type SMS qui modifient les messages de tout le monde (broadcast ?) 
Marsh Posté le 22-06-2006 à 09:45:02
| kill9 a écrit : Quelqu'un peut-il sniffer le trafic sur ce topic ? |
C'est clair ! Vive l'effort pour la demande d'aide ![[:calimero]](https://forum-images.hardware.fr/images/perso/calimero.gif "[:calimero]")
Marsh Posté le 22-06-2006 à 12:12:27
Tu n'aurai pas du "Citrix metaframe" d'installé sur ton réseau ?.
Marsh Posté le 23-06-2006 à 12:16:29
Le port 1494 que tu vois apparaitre sur tes logs, c'est pour le flux ICA.
Marsh Posté le 23-06-2006 à 16:17:25
Ouais, et alors.
ma question est pourquoi j'ai ce traffic parasite sur mon port !!!
spantree est desactivé.
Marsh Posté le 23-06-2006 à 16:20:18
Les serveur 10.10.0.115 et 10.10.0.122 doivent être des serveur Citrix. Les machines qui communiquent avec sont des clients...qu'est-ce qui ne te convient pas là-dedans ?
Marsh Posté le 23-06-2006 à 16:29:14
ce qui ne convient pas la dedans, c'est que je puisse observer ce traffic sur le port du serveur oracle 10.10.0.167, qui est censé discute qu'avec le serveur websphere 10.10.0.162.
Marsh Posté le 23-06-2006 à 18:54:41
Où ça ? Je ne vois aucun événement ayant une relation entre le port 1494 et ton serveur 10.10.0.167...ou alors j'ai loupé un truc
Sujets relatifs:
- Reseaux sans fil bizzard bizzard
- cherche retour experience sur reseaux info distributeurs automobiles
- [Help] Nouveau plantage! message d'erreur et plus de connex réseaux !
- Brancher un portable sur réseaux
- réseaux differents : problème :/
- 3 reseaux wifi avec freebox HD
- nombre de client au partage réseaux ?
- Borne d'acces réseaux wifi
- Problême réseaux entre mes 2pc
- Configurer un réseaux sans fil avec 2 dwl2000ap+ d-link ?
Marsh Posté le 21-06-2006 à 20:55:46
Bonsoir tt le monde
j'ai un gros probléme avec des switch avaya P332GT ML, quand j'éffectue des capture de trame avec ethereal, jai sur certains port du traffic qui m'on rien à voir avec le serveur sur lequel ils sont connectes. on peu y voir des trames d'autre machine dui discute.
est ce normal? qu'est ce que c'est comment phenomene. et que peut ton faire pour resoudre le probleme.
Help me please.