Bonjour,
Je suis actuellement dans une PME en tant que administrateur réseau, je supervise et monitoring tout le réseau transitant entre mes sites distants. (QoS, config switch, routage, analyse de trames etc..)
J'ai récemment implémenté un serveur IDS en complément de wireshark sur mon coeur de réseau. Nous avons également un serveur Centreon qui me donne le traffic_in & traffic_out max via le protocole SNMP. En terme d'analyse je pense avoir tous les outils nécessaire.
Voici ma problématique :
- En premier lieu, j'ai constaté un traffic_in important sur l'interface SDSL eth (+ de 60%)
Je n'y ai pas spécifiquement prêté intention les premiers jours (des datas circulent régulièrement).. Au bout de quelques jours, maintenant deux semaines, le traffic_in reste "gourmand" en consommation (toujours dans le même taux des 60%), j'ai décidé d'analyser les trames circulant..
- J'ai pu trouver qu'une machine revenait beaucoup en ip source/destination dans mes trames (des ports bizzare entre 1200 et 1400 apparaissent entre sa machine et mon serveur IIS/antivirus) , et effectivement quand je lui ai fais éteindre sa machine, le traffic revenait à la normale !!!
-J'ai donc décidé de nettoyer la machine avec spybot , antimalware, analyse antivirus nod32, bref un bon gros nettoyage complet du poste en question.. Rien à faire celle-ci perturbe toujours mon réseau en consommation.
Je suis toujours perplexe dans mon hypothese d'un trojan/malware/virus mais je vous avouerais que je sèche un peu..
Si quelqu'un a déja rencontré cette problématique et me donner une piste je lui en serait tres reconnaissant (ne serait-ce que par curiosité, je vois déja les petits malin me dire de reformater la machine ^^)
Dans quel cas pouvons avoir un traffic important, constant, sur une liaison sans mettre en hypothèse un virus ?
Merci de vos réponses
Ce qui le tue le plus c'est : "bjr g un pb avc mn ordinateur je c pas ce ki se pass"