Bonjour,
je donne un coup de main dans ma boite pour le bon fonctionnement du réseau, la sortie du réseau est assurée par un pix puis un routeur cisco.
Ce sont des équipements loues par le provider et donc je n ai aucuns accès, seulement une adresse IP pour faire un ping.
J'ai installe un hub avant le pix et j'ai installe sur ce hub une machine avec un sniffer (observer) pour voir le trafic sortant et avoir quelques stats.
Cette installation a pu résoudre pas mal de problèmes et identifier les personnes qui consommaient trop de bande passante et empêchait les autre de sortir sur le net.
Aujourd'hui un utilisateur vient me voir et me dit qu'il a un p2p de brancher, qu`il n`y a pas de filtres, pour voir si cela ne gênait pas les autres utilisateurs.
Hélas malgré les 500 KB qu'il utilisait, mon sniffert a vu la machine en IP mais avec une consommation de bande passante quasi nulle, par contre sur 2 captures différentes du trafic de cette machine a donne 2 nom différents pour la même adresse IP.
(Consommation trafic 0%)
Ma question est la suivante, cette personne est connue comme bonne en système, y aurai-il moyen d provoquer cela aux moyens de tools pour tromper le sniffer et se payer ma tête, comme un outil de spoofing ou de poisoning, astuces, vpn/crypto etc
Si cela n'est pas malveillant et qu'il est de bonne fois, ce symptôme a-t-il une explication, y a-t-il moyen de tromper un sniffer comme cela, qui normalement en mode promiscious doit capturer la totalité du traffic sortant sur le net ?
Merci pour votre aide