Logiciel analyse utilisation réseau sur un PC [Résolu]

Logiciel analyse utilisation réseau sur un PC [Résolu] - Réseaux - Systèmes & Réseaux Pro

Marsh Posté le 23-05-2011 à 09:15:19    

Bonjour,
 
J'ai un PC dans mon LAN qui fait des requêtes étranges, j'aimerais savoir s'il existe un logiciel que l'on peut installer sur ce PC qui me permettrait de savoir ce qui utilise le réseau (applications) sur ce PC et faire des logs avec ça. Un bon antivirus doit pouvoir le faire, mais la celui que l'on a ne le fait pas.
 
Sinon qui saurait pourquoi un PC fait des demandes DNS vers toutes les machines du réseau connectées un week-end à 3h du mat et recommence toutes les 3h?
Sachant que je n'ai pas encore pût voir les autres requêtes que la machine faisait en même temps.
 
Donc pour être précis j'aimerais un logiciel/application me permettant de savoir qui utilise le service de requête DNS.
 
Merci
 
PS: Je sais pas si fallait mieux mettre ce topic dans sécurité désolé


Message édité par toronto37 le 03-06-2011 à 09:06:09
Reply

Marsh Posté le 23-05-2011 à 09:15:19   

Reply

Marsh Posté le 23-05-2011 à 11:14:20    

wireshark?

Reply

Marsh Posté le 23-05-2011 à 12:03:10    

Bah soit c'est pas possible, soit je ne sais pas faire mais c'est avec wireshark que j'ai justement remarqué ces trames louches.

 

PS: la dernière fois il m'a fait un scan ARP en plus des demandes DNS sur tous les hôtes déconnectés.


Message édité par toronto37 le 23-05-2011 à 12:04:40
Reply

Marsh Posté le 23-05-2011 à 23:56:57    

perfmon ! Surveillance sur les éléments réseaux...
 
T'es sûr que c'est des requêtes DNS et pas du broadcast / de l'ARP ?

Reply

Marsh Posté le 24-05-2011 à 09:35:31    

Pas c'est des requête DNS type PTR vers toutes les adresses du réseau et il fait pareil avec l'ARP. Il fait une demande ARP vers toutes les machines du réseau.

 

Merci pour ta réponse je vais voir pour perfmon.

 

Après avoir regardé, je pense pas que perfmon pourra me donner les informations que je cherche.
Car malheureusement, il ne dit pas qui utilise le réseau.


Message édité par toronto37 le 24-05-2011 à 09:54:05
Reply

Marsh Posté le 24-05-2011 à 10:12:45    

procmon, mais c'est extrêmement verbeux
à la limite tcpview, mais il n'y n'enregistre pas les captures car c'est du live

Reply

Marsh Posté le 24-05-2011 à 10:42:36    

Oui, j'ai déjà regarder TCPview, mais pas procmon, je vais voir.

 

Procmon à l'air d'être pour le processeur, mais je teste.

 

J'ai testé ça à l'air très intéressant j'ai pu voir lors d'un test que c'était un nslookup qui faisait une demande dns (normal, j'ai fait un test avec nslookup), j'espère qu'il me donnera qui utilise nslookup, si c'est comme ça qu'il fait ses demandes DNS, sinon vous auriez une idée de comment savoir ce qui lance le nslookup (genre quel script, fichier, logiciel, virus...)

 

Merci


Message édité par toronto37 le 24-05-2011 à 10:56:42
Reply

Marsh Posté le 24-05-2011 à 11:23:48    

tu regardes le PPID (parent PID) du nslookup, ca te donnera le process parent qui l'a lancé

Reply

Marsh Posté le 24-05-2011 à 16:38:05    

Oui, j'ai vu ça mais comment relier un PID à un service, une application?
 
Parce que je peux chercher dans services.msc mais il n'y sont pas tous et en plus c'est pas évident.

Reply

Marsh Posté le 24-05-2011 à 16:44:30    

heu non c'est pas comme ca que ca marche
Un PID c'est à un instant T, le PID est relié à un process
Un service lance un exécutable qui deviendra un process avec un ID (PID = process ID)
Pour avoir les PID des process qui tournent, il suffit de lancer le task manager et d'ajouter la colonne PID
L'utilitaire process explorer te permet d'avoir pas mal d'infos, il arrive notamment à relier un process à son service si il a été lancé par un service

Reply

Marsh Posté le 24-05-2011 à 16:44:30   

Reply

Marsh Posté le 25-05-2011 à 08:57:56    

couak a écrit :

heu non c'est pas comme ca que ca marche
Un PID c'est à un instant T, le PID est relié à un process
Un service lance un exécutable qui deviendra un process avec un ID (PID = process ID)
Pour avoir les PID des process qui tournent, il suffit de lancer le task manager et d'ajouter la colonne PID
L'utilitaire process explorer te permet d'avoir pas mal d'infos, il arrive notamment à relier un process à son service si il a été lancé par un service

 


Ok merci je vais voir ça.

 


EDIT:

 

Bon après de multiple recherche, j'ai pu voir que c'est dnscache.exe qui fait les demandes DNS or ça me sert à rien, il faudrait que je sache qui utilise ce processus, quelqu'un connait un moyen?
Sinon est-il possible avec Officescan de TrendMicro de savoir qui veut utiliser le port x si vous le bloquez? Avec Nod32 oui, il me semble mais la j'aimerais savoir s'il fait la même chose.

 

Merci


Message édité par toronto37 le 31-05-2011 à 09:19:42
Reply

Marsh Posté le 03-06-2011 à 09:05:48    

Bon j'ai résolu mon probème avec Wireshark car après chaque scan il y avait une connexion HTTP sur un de nos serveur et l'on pouvait lire dans les trames /OCSInvetory...
 
Donc pour ceux qui un jour ce demanderait pourquoi ils auraient un scan complet de leur réseau, arp et DNS, à partir d'une machine lambda du réseau regarder du côté d'OCS Inventory.
Le serveur OCS Inventory "élit" une machine du réseau pour faire ce travail à sa place.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed