Les Forums

Les Forums

Les forums sont fermés. Ils restent présent pour consultation et archivage.
Vous pouvez désormais poser vos questions directement dans les commentaires en bas de chaque page du site.
Alors n'hésitez pas à participer

saturation réseau - translation proxy

Bonjour à tous,

Nous avons une saturation de notre bande passante en download sur notre réseau.
Je scan alors les flux sur notre proxy(avec iftop), et je détecte des adresses ip qui engorge notre réseau. Or ces ip changent toutes les 2-3 minutes.

Je souhaiterai - je me tire les cheveux - savoir quelle machine dans notre réseau communiquent avec ces IP que j'ai précédement cité. Or c'est un proxy, donc il y aune translation d'addresse...

Représentation :
machineLocale:xxx -> proxy:80 ------- [u:6b1deba674]proxy:80->ipWeb:80[/u:6b1deba674]

En partant de la partie soulignée, je souhaiterai avoir "machineLocale".

Quelqu'un sait comment je dois m'y prendre ? J'ai testé en comparant des captures de tcpdump, mais je ne trouve rien! Je ne sais trop comment m'y prendre.

En vous remerciant beaucoup par avance,

Skoobs
tcpdump est pour tant un bon choix.

As-tu un environnement graphique sur le proxy ? si oui tu peux installer etherape qui te dira qui fait quoi en détail.
Sinon tu peux installer ntop ou snort qui eux aussi te diront qui fait quoi.
Je n'ai pas d'environnement graphique, d'où le choix de tcpdump, mais je n'y arrive pas 😕

Le problème c'est la translation du proxy. Je cherche un moyen de suivre un paquet au travers d'un proxy.

Est-ce que le proxy modifie simplement les adresses source et destination ?
Esct-que les acquittement et sequence de la trame tcp changent au travers du proxy ?
Oui, et oui. il refait une nouvelle connexion TCP.

Si tu n'as qu'une interface réseau, essaye de ne repérer que les paquets entrants, tu peux le faire avec iptables. Ou sinon avec quelques bonnes options de tcpdump tu devrais t'en sortir.
D'accord, donc ce n'est pas sur la couche TCP qu'il faut matcher les correspondance. Je suppose qu'il modifie la couche IP aussi et MAC, les adresses source et destination...

Sur quels champs alors je peux matcher ?
Cela dépend si tu n'as qu'une interface. Si c'est le cas, tu peux regarder les adresses MAC, et faire une corrélation avec la table CAM d'un switch par exemple.
Si tu as deux interfaces, fais un tcpdump sur l'interface interne.
Je n'ai qu'une interface sur le serveur.

Je scan donc les paquets au niveau MAC avec tcpdump.
Apparement le proxy ne modifie pas les adresses niveau MAC, je vais tacher de faire une corrélation, IP/MAC.
Normalement si, une fois le paquet traité il ressort avec la MAC du proxy en source et celle du prochain routeur en destination. Par conter avant d'être taité on voit l'adresse MAC de la source, et dans le paquet l'adresse IP destination.

Pour que les choses soient plus visuelles, tu peux faire un sniff tcpdump vers un fichier, puis importer ce fichier dans wireshark, c'est plus lisible.
Le probleme, que je ne comprends pas, c'est qu'avant d'être traités(les paquets sur le proxy), les adresses IP destination sont l'adresse du proxy. Je n'ai donc aucun moyen de suivre les paquets.
Je ne vois pas comment il relai les paquets ....