DOS? (Symantec Ghost) - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 22-06-2004 à 09:43:39
Moi je dirais qu'il y a qqu'un sur ton rezo qui utilise ghost entreprise et qui s'amuse avec la restauration multiposte par broadcast.
Et la ton rezo il s'écroule....
Marsh Posté le 22-06-2004 à 09:44:58
IGMP c'est pour la gestion du multicast (abonnement, désabonnement au groupe multicast). L'adresse 224.0.0.9 fait parti du block d'adresse réservé pour le multicast. C'est différent du broadcast
Marsh Posté le 22-06-2004 à 09:48:27
ça ne change pas grand chose à ma théorie, y'a quelque qui diffuse une image système sur le rezo sauf que ce doit être en multicast...
Marsh Posté le 22-06-2004 à 09:51:49
moritan> oui je pensais a un truc du genre, mais ses paquets ne contiennent quasi rien!! seulement la chaine "STRMBROADSymantecghost"
Marsh Posté le 22-06-2004 à 09:55:50
C'est probablement une chaine d'identifiant de paquet qui attend une reponse de ta part pour lancer l'image, c'est tout
Marsh Posté le 22-06-2004 à 10:02:38
à 500+ paquets par seconde?
(j'ai pas mesuré avec precision
Marsh Posté le 22-06-2004 à 10:07:52
j'ai quasiment pas utilisé cette fonction de ghost et mes souvenirs remontent à 2 ans donc y'a surement des lacunes...
L'intérêt de ce système c'est de ghoster plusieurs machines simultanément à partir d'un serveur d'image central et ce très rapidement. Le problème c'est qu'il faut le faire sur un reseau dédié...
Dans la pratique tu mets ton serveur en multicast sur le rézo et tu bootes sur une disquette tes postes clients, les clients viennent s'abonner au serveur et l'image est redescendu.
Je dirais qu'il y a un boulet dans ta résidence qui a voulu faire une restauration par le reseau de son poste et qui à choisu l'option multicast dans ghost.
En plus quand on voit le prix d'une license ghost, je parie qu'il s'agit d'un ghost piraté...
Marsh Posté le 22-06-2004 à 10:08:26
pourquoi pas ? c'est du multicast violent, peut etre qu'il envoie en boucle jusqu'a ce qu'il obtienne une reponse...
Marsh Posté le 22-06-2004 à 10:15:09
moritan> merci pour la precision. c'est tres probablement ce qui se passe.
ca a tourné tte la nuit, j'espere q ca sera bon ce soir. (va surement se faire taper sur les doigts...)
Marsh Posté le 22-06-2004 à 10:18:57
Encore faut-il le retrouver...
Ce soir grande chasse à l'homme
Marsh Posté le 22-06-2004 à 09:21:19
J'habite en residence univiersitaire, avec connection eth sur le rezo universitaire (10Mb).
Depuis hier soir un host broadcast sur port udp (2638) et du coup le rezo s'est ecroulé (du moins, ce q je crois).
les packets contiennent seulement: "STRMBROADSymantecghost"
j'ai aussi remarqué qq packet venant d'autres IP:IGMP type unknow: 0x40"
broadcastant sur 224.0.0.9
et contenant "STRMBROADSymantecg"
google m'a rien trouvé
juste un exploit de Symantec Ghost mais qui n'a pas de rapport avec ce q je subit.
est-ce q ca vous dit qqch?
j'ai pas envie d'emmerder les admins , ils doivent surement bosser dessus..