Bonsoir,
 
Sur un réseau, classe d'adresses 192.168.0.0 (masque 255.255.0.0) sont connectés un ensemble de machines. Plusieurs switchs équipent ce réseau.
 
Ma question :
 
Quelque soit l'endroit où je me place dans le réseau avec mon portable et lorsque je mets ma carte réseau en mode promiscuous (application etherape par exemple), je vois l'ensemble des connexions réseau à l'instant T.
 
Quel dysfonctionnement me permet de visualiser l'ensemble du trafic ?
 
Merci bien

tu es sur que se sont des switchs et non des hubs ?

ou alors tu pense tout voir mais en fait tu ne vois que le broadcast ?

Ce sont bien des switchs manageable.
 
Machines A,B,C,D etc <------> SWITCH1 <-------> SWITCH2 <------> SWITCH3 <---------> Machines E,F,G,H etc...
 
Que je me place derrière le SWITCH1, 2 ou 3, je vois (ceci est un exemple) les communications entre les machines A,B,C et D vers la machine E (s'agissant d'un serveur). Si derrière le SWITCH3 est placé un routeur tourné vers l'internet, je vais voir les communications de la machine B par exemple vers une machine distante sur la toile.
 
Je vois toutes les communications sur les protocoles (www, smb, https, ipp, icmp, snmp, pop3, imap, kerberos, etc.)
 
Quand je dis je vois, l'application affiche graphiquement les connections entre les 2 hôtes et leurs adresses IP ou le nom des machines.
 
Cela semble étrange car l'application ne diffuse pas. La carte est mise en écoute et je n'ai pas de raison hormis le multicast et le broadcast de recevoir des trames.
 
Maintenant, je ne vois peut-être qu'une partie du trafic réseau. Sur une heure de temps, l'application a pris en compte 1,5 Mbytes de trafic sur le port 80 et 1 Mbytes de trafic sur le proto SMB, le reste des proto évoqués au dessus utilisent la bande passante de façon marginale (excepté peut-être microsoft-ds et netbios-ns)
 
Votre aide pourrait m'aider à comprendre. S'agissant peut-être (hypothèse 1) que d'une vue partielle du trafic (mais je n'en suis pas certain), qu'est-ce qui fait que les machines font du broadcast (WINS n'est pas actif) ?
 
A l'instant, je viens de lire un sujet sur le broadcast et plus précisément sur la configuration des swicths : le port mirroring (les trames destinées à un port étant envoyées sur un port spécifique).

ca m'étonnerait fort que tu vois tout le traffic.
 
Tu as essayé de faire un ping entre deux autres machines pendant que tu écoutes le réseau?  
Vérifies si tu vois passer les trames ou pas.

Il s'agit en effet d'une partie du trafic.
 
Par contre, je ne comprends quel dysfonctionnement me permet de voir ce trafic.

un flood arp ?

Bonjour,
Oui un flood arp permet de faire passer un switch en mode hub, par saturation de sa table arp. De mon côté je ne comprends pas par quel mécanisme on passe en mode promiscuous.

ce n'est pas la saturation de la table CAM qui transforme un switch en hub ?

Excusez moi, je voulais dire table mac