Bonjour,
 
J'ai un PC dans mon LAN qui fait des requêtes étranges, j'aimerais savoir s'il existe un logiciel que l'on peut installer sur ce PC qui me permettrait de savoir ce qui utilise le réseau (applications) sur ce PC et faire des logs avec ça. Un bon antivirus doit pouvoir le faire, mais la celui que l'on a ne le fait pas.
 
Sinon qui saurait pourquoi un PC fait des demandes DNS vers toutes les machines du réseau connectées un week-end à 3h du mat et recommence toutes les 3h?
Sachant que je n'ai pas encore pût voir les autres requêtes que la machine faisait en même temps.
 
Donc pour être précis j'aimerais un logiciel/application me permettant de savoir qui utilise le service de requête DNS.
 
Merci
 
PS: Je sais pas si fallait mieux mettre ce topic dans sécurité désolé

wireshark?

Bah soit c'est pas possible, soit je ne sais pas faire mais c'est avec wireshark que j'ai justement remarqué ces trames louches.

PS: la dernière fois il m'a fait un scan ARP en plus des demandes DNS sur tous les hôtes déconnectés.

perfmon ! Surveillance sur les éléments réseaux...
 
T'es sûr que c'est des requêtes DNS et pas du broadcast / de l'ARP ?

Pas c'est des requête DNS type PTR vers toutes les adresses du réseau et il fait pareil avec l'ARP. Il fait une demande ARP vers toutes les machines du réseau.

Merci pour ta réponse je vais voir pour perfmon.

Après avoir regardé, je pense pas que perfmon pourra me donner les informations que je cherche.
Car malheureusement, il ne dit pas qui utilise le réseau.

procmon, mais c'est extrêmement verbeux
à la limite tcpview, mais il n'y n'enregistre pas les captures car c'est du live

Oui, j'ai déjà regarder TCPview, mais pas procmon, je vais voir.

Procmon à l'air d'être pour le processeur, mais je teste.

J'ai testé ça à l'air très intéressant j'ai pu voir lors d'un test que c'était un nslookup qui faisait une demande dns (normal, j'ai fait un test avec nslookup), j'espère qu'il me donnera qui utilise nslookup, si c'est comme ça qu'il fait ses demandes DNS, sinon vous auriez une idée de comment savoir ce qui lance le nslookup (genre quel script, fichier, logiciel, virus...)

Merci

tu regardes le PPID (parent PID) du nslookup, ca te donnera le process parent qui l'a lancé

Oui, j'ai vu ça mais comment relier un PID à un service, une application?
 
Parce que je peux chercher dans services.msc mais il n'y sont pas tous et en plus c'est pas évident.

heu non c'est pas comme ca que ca marche
Un PID c'est à un instant T, le PID est relié à un process
Un service lance un exécutable qui deviendra un process avec un ID (PID = process ID)
Pour avoir les PID des process qui tournent, il suffit de lancer le task manager et d'ajouter la colonne PID
L'utilitaire process explorer te permet d'avoir pas mal d'infos, il arrive notamment à relier un process à son service si il a été lancé par un service

Ok merci je vais voir ça.

EDIT:

Bon après de multiple recherche, j'ai pu voir que c'est dnscache.exe qui fait les demandes DNS or ça me sert à rien, il faudrait que je sache qui utilise ce processus, quelqu'un connait un moyen?
Sinon est-il possible avec Officescan de TrendMicro de savoir qui veut utiliser le port x si vous le bloquez? Avec Nod32 oui, il me semble mais la j'aimerais savoir s'il fait la même chose.

Merci

Bon j'ai résolu mon probème avec Wireshark car après chaque scan il y avait une connexion HTTP sur un de nos serveur et l'on pouvait lire dans les trames /OCSInvetory...
 
Donc pour ceux qui un jour ce demanderait pourquoi ils auraient un scan complet de leur réseau, arp et DNS, à partir d'une machine lambda du réseau regarder du côté d'OCS Inventory.
Le serveur OCS Inventory "élit" une machine du réseau pour faire ce travail à sa place.