Voila, j'arrive au boulot et déjà mon téléphone sonne car les applis Citrix (ouverture de session sur serveur distant) n'avance pas...
 
Donc je regarde la bande passante et là je m'apercois qu'un user utilise la moitié de la bande passante  
 
Donc je cherche le nom du mec indiqué par le logiciel Netreality qui utilise une sonde et je le trouve pas...
 
Je ping l'IP et je m'apercois que la machine en question s'appelle PCMILJANIC, nom que je connais pas...
 
Je fais un traceroute et je m'apercois qu'il passe par une machine que je connais pas puis par mon routeur...
 
Son IP est de forme 192.168.*.*. don c local ( mais il passe par le routeur...)
 
Je cherche alors sur le serveur wins la trace de l'IP et je l'ai pas...
 
Je me dis que c du VPN mais chez nous personne peut utiliser 280 de bande passante avec un accès distant .
 
Le logiciel Netreality me dit que l'IP en question utilise FTP et fait des pointes entre 260 et 280...
 
Je scanne les ports de la bécane et seul le 10 est ouvert...
 
Quest-ce que c'est que ce bordel!!!!!!!
 
Chez nous personne utilise FTP et j'arrive pas à savoir qui est ce 192.168.*.*.
 
A votre avis c un mec qui spoofe chez moi?
 
Je suis ouvert à toutes réponse merci...

dur qd meme le spoof ....
deja sur le net avoir une classe comme ça 192.168 c est tres hard.
Vérifie deja tes users si y a pas un pti malin avec un ftp qui DL des films de culs

[jfdsdjhfuetppo]--Message édité par poisse le 29-05-2002 à 12:42:50--[/jfdsdjhfuetppo]

Et je vérifie comment?
le nom qui me donne est pas sur le réseau et j'ai quasiment 800 clients locaux...
 
PS: le netsend marche pas et telnet pas ouvert...

Tas pas de logs sur ton FireWall ?

Tu blocs l'Ip au niveau du FireWall et tu voix si quelqu'un t'appel

"j'arrive pas à savoir qui est ce 192.168.*.*."
 
Tu es en DHCP ? Si oui c'est sur c'est chiant de savoir d'ou ça vient... Les ip fixes c'est pas mal, telle ip c'est tel poste à tel endroit. Même si y'a 800 clients c'est fait une fois pour toute et je trouve  ça plus propre. Enfin c'est un avis perso.

NON because il est pas chez moi et personne répond à la direction informatique depuis ce matin ( je suis connecté là haut avec une LS 512)

Et si tu fait une analyse de tram sur cette Ip, y a koi qui passe ?

 
Ca va être fait mais j'aimerais bien résoudre le prob rapidement...
 
Sinon, quand j'ai scanné ses ports le gars s'est deconnecté puis est revenu 5 minutes après

Citrix, NetReality, tt comme moi
Hum, tu connais Risc ? Ou un mec qui se nomme P-E S. ?

Il vas sur qu'elle poste ? Un server ?
Tu dois pouvoir voir sur lequelle, et ensuite voir si il n'y a pas fichier qui ne vienne pas de toi.
C'est peut-etre ton serveur de mail qui ce fait hacker

 
Comment tu fais ?

T'es swith il son administrable ou pas ? Si oui tu dois avoir un soft fournie avec, il te permeds peut-etre de faire une analyse

 
Il passe par le routeur puis par le serveur DHCP WINS et je le vois pas sur les logs du serveur DHCP

 
les switchs sont administrables mais les softs d'analyse cisco coutaient trop cher pour le DAF

Comment avec un IP le soft NetReality peut m'indiquer le nom d'utilisateur Pc-stagperso alors que nslookup m'indique PCMILJANIC?

 
De mémoire, il se base pas sur le serveur DNS pour faire la résolution inverse ?
J'avais eu des soucis de correspondance de noms, et en fait, c'était un prb de cache de noms/DNS. Il indiquait le nom de Mon PC sur un site distant alors que j'étais revenu sur le site central depuis 24h, donc quand une machine sur le site distant avait repris la même IP que moi la veuille, NEtReality croyait que ct encore moi

[jfdsdjhfuetppo]--Message édité par groody le 29-05-2002 à 13:09:02--[/jfdsdjhfuetppo]

 
Ah ca c une bonne piste merci groody
Je vais creuser l'idée

=> sylvaindns
l'analyse de trame, qu'est ce que tu veux dire par là? Comment on fait?

Je crois que l'analyse de trame, c'est regarder ce qu'il y a dans les trames qui passent sur ton réseau. par ex: quel paquets TCP/IP, de qui, pour qui, par qui ...

[jfdsdjhfuetppo]--Message édité par Mjules le 29-05-2002 à 13:28:08--[/jfdsdjhfuetppo]

ok pour l'IP en question il envoie des paquets à un IP local qui est le serveur DHCP wins et recoit des paquets via  le port 10

MJules t'as répondu
Avec NT4 ou 2000 il faut l'installer. Mais par défault tu ne peux qu'analyser les trames qui passe par ta carte réseau.
Pour NT4 il faut installer la version qui ce trouve sur SBS.
Pour 2000 je sais pas.

 
Je cherche ca et je reviens merci

Tu es sous quel environnement ?
 
As tu essaye de te connecter a cette machine avec un client ftp sur son port 10,en anonymous ?
 
Les dumps c est a la mode,mefie toi.
 
 
Ce pc envoie ou recoit principalement du traffic ?

[jfdsdjhfuetppo]--Message édité par bigstyle le 29-05-2002 à 13:52:35--[/jfdsdjhfuetppo]

 
Environnement windows serveur NT.
OUI : socket error, no connections.
Le pc recoit principalement des infos

Et tu sais d'ou elles viennent ces info ?

non netreality m'indique juste que c'est du ftp mais pas l'adresse

Si tu arrivais a sniffer ton reseau,tu pourrais savoir quels types d infos transitent vers ce poste et d ou ils viennent.

Tu peux aussi essayer le logiciel LANGuard Network Scanner (gratos) : tu scannes ton rang d'IP, il trouvera le poste en question et te sortira tout ce que tu veux y savoir : nom du poste, partages, OS, nom d'utilisateur connecté me semble-t-il aussi...et plein d'autres choses.
 
Ca te permettra déjà d'avoir des pistes.

Bon je sais d'où ca vient...
 
C un client réseau qui fait partie d'une société dont je ne m'occuppe pas et qui travaille avec un terminal sur AS400...
 
Or suite à un sombre problème due à de récents rapprochements par routage des AS400 du groupe pour le passage au CAC40, le putain d'as400 de leur société est tombé en rade et par je ne sais quel miracle il est venu repomper toutes les infos de mon AS400 pour réparer.
 
Donc occupation maximale via une ligne 2go...
 
Je pouvais pas le voir car je ne l'administre pas, le routage se fait au niveau de mon siège et de mon routeur qui a été modifié il y a quelques temps sans que je ne sois là.
 
Donc il passait par mon routeur et utilisait l'AS400 sans que personne ne le sache...
 
Truc de fous  :crazy
 
Par contre je ne sais toujours pas pourquoi Netreality indiquait FTP
 
Enfin bon tout est bien qui finit bien...

C'est pas trop grave. heuresement pour toi  

Ben le jour ou ca m arriveras....  
 
 
je fuiiiiiiiiissss  

Ben peut-être tout simplement qu'il utilisait un protocole FTP pour récupérer les fichiers...

c'est bien les dump