Fw: [gull] Question bateau / Administration - tcpdump (parce que je le vaux bien)

bastien.beguelin at geneva.msf.org bastien.beguelin at geneva.msf.org
Tue Dec 16 11:22:05 CET 2008 




> Loïc Kuhn <loic_kuhn at bluewin.ch>
> Sent by: gull-bounces at forum.linux-gull.ch
>
> En tant qu'administrateur d'un parc d'une trentaine de machines
> (essentiellement sous win* :(), j'aimerai me configurer un pc me
> permettant de gérer celui-ci.

Comme on avait parlé de tcpdump pour détecter les machines infectées,
et que cela m'a tiré d'affaire la semaine dernière,
je te mets la ligne de commande, si cela peux t'être utile (ou du moins
être un point de départ) :

      tcpdump -l -n arp | egrep 'arp who-has' | head -100 | awk '{ print
$NF }' |sort | uniq -c | sort -n

il va afficher les 100 premières requêtes arp de manière uniques et triées,
en affichant le nombre par machines.

le NF de awk :

      Number of Fields in the current record.
            donc ici, affiche le nombre de requêtes arp par machine.



Exemple  d'output :

1 10.41.5.123
2 10.41.5.186
2 10.41.5.134
4 10.41.7.21
53 10.41.5.209

les 4 premières lignes,
indiquent que ces machines ont fait 1 ,2 et 4 requêtes arp.
ce que l'on peux considérer comme tout à fait "normal".

la dernière machine (10.41.5.209) est un poste client standard sous
windows,
et n'a donc aucune bonne raison de vouloir dialoguer avec 53 machines.
(et kaspersky a confirmé;)

ce qui est intéressant de souligner, c'est que, autant on ne va pas
résoudre le problème
avec tcpdump, autant il a permis d'isoler rapidement les machines
infectées, et éviter le pire.
Alors même que toutes les belles solutions avast et kaspersky ne
permettaient pas d'identifier ça,
aussi précisement et surtout aussi rapidement.

Autre astuce, qui n'est pas très cartésienne (quoi que..),
en temps normal suivant la taille du réseau, la commande devrait prendre
quelques minutes.
En cas de virus qui tentent une propagation, ça prend quelques secondes...

Evidemment le nombre 100, est arbitraire (mais très pratique pour faire des
pourcentages)
Suivant la taille de ton réseau, tu peux le réduire à 50 ou 30.

More information about the gull mailing list