Bonjour, avec Ethereal sur mon reseau je ne vois rien, a part mon pc, je n'ai aucun filtre et j'ai l'option promiscious mode de coché...
 
je ne comprend pas, pourquoi ?

parce que ton réseau est probablement switché. Fait quelque recherche pour connaître la différence entre switch et hub et tu auras ta réponse.

et si tu veux vraiment pouvoir sniffer, l'arp poisonning se fait très bien, sur son réseau local bien à soi (pas chez autrui , où à tes risques et péril, je ne suis pas responsable !)

donc ethereal ne traverse pas les switchs... une solution pour trouvé une ip dans un reseau qui emet des trames ?

C'est pas que "ethereal ne traverse pas les switches", ethereal (d'ailleurs maintenant c'est wireshark) est totalement passif, il prend ce qui arrive sur l'interface réseau sur laquelle il écoute, et t'affiche le résultat, rien de plus

Quel genre de trame ?
Chope l'adresse MAC, et remonte switch par switch en regardant dans les tables CAM des switches

en j'ai un pc qui emet sur le port 5091 et j'aimerais savoir c'est lequel

ben faut que tu fasses du port mirroring sur un point bien précis de ton réseau (genre avant ton routeur NAT ) pour voir tout le trafic et trouver la machine en question...
 
si tes switchs ne sont pas manageable il faut que tu places un hub à cet endroit pour voir tout le trafic passer ou alors que tu fasses de l'arp poisoning pour voir le trafic qui passe sur ton réseau
 
sinon c'est clair que remonter cam par cam c'est ptet le plus simple si tu as l'@MAC ou meme faire un traceroute L2 si t'es switch le permettent

sinon je pourrais le mettre sur mon DC, et c'est aussi mon serveur dns ?
 
mais c'est un OS 64bit...

Ce n'est pas nous qui allons te donner des informations sur ton réseau, on ne connait pas l'architecture, les services...
Après je ne vois pas ce que ton DC vient faire dans l'histoire...

Essayons d'être constructif :
- Comment sais tu que tu as du trafic vers le port 5091 ?
- Où as tu vu ce trafic ?
- Est ce du trafic broadcast ou non ?
- Si tu as une notion de port UDP ou TCP, c'est que tu as un trafic IP, quel est l'adresse IP source de ce trafic ?

Pour connaître l'emmetteur voilà quelques idées
 - Tu te mets sur un Hub avec un des équipements qui reçoit ce trafic, tu sniffes le réseau avec wireshark ou ethereal ou autre sniffer => tu regardes l'adresse IP source et tu sauras quel est l'équipement
 - Sinon tu mets une ACL sur un switch (si tu peux) avec comme filtre le port 5091 juste pour logguer et tu regardes dans les logs pour connaître la source du trafic (l'adresse IP source)

Le port 5091 est standardisé et est réservé pour CXTP, Context Transfer Protocol. ca te parle ?

c'est FT qui nous a appele pour nous signaler une attaque exterieur sur le port 5091, (on a un routeur FT)
 
 
CXTP non ca me parle pas, connerie de FT ?

Le port est réservé pour CXTP, ca ne veut pas dire qu'on ne peut pas mettre n'importe quel protocole sur ce port.
 
Une connerie, je ne pense pas... ils ont franchement autres choses à faire que d'appeler les clients pour leur faire des canulars. Il est possible que quelqu'un les a contacté pour remonter  un trafic anormal provenant de votre réseau et utilisant ce port.
 
Ils t'ont dit quoi exactement ? Que du trafic sortait de votre réseau vers un port 5091 ?
 
Peux tu mettre un hub en coupure, juste derrière le routeur connecté à Internet et mettre un sniffer dessus pour voir quelle adresse IP émet ce trafic ? As tu moyen d'activer du filtrage dans ton réseau, sur tes switches ou autres ?
 
Décrit un peu ton réseau et donne des détails on pourrait éventuellement t'aider. Là de post en post on découvre à chaque fois de nouvelle chose. On n'est pas devin