Hello,
 
J'ai eu un mail de l'administrateur du serveur d'un des réseau dont je "m'occupe" me disant qu'il reçoit des requêtes étranges de la part d'une adresse MAC et me demande de le retrouver et de régler ce problème.
 
Y a-t-il un moyen de savoir où il est situé?
 
Merci

un scanner fera l'affaire. mais là çà rentre pas ds lezs coutumes du forum. ME TT PAS J'AI RIEN DIT !!

pour info ya aucune correspondance  
  adresse mac <----> emplacement de pc dans un batiment.
 
 

bah la je me demande si justement si y a pas qq1 qui essaie de pénétrer le réseau. Car comme il n'obtient pas d'adresse du serveur, ça m'étonnerait que qq1 qui n'arrive pas à se connecter ne prenne pas contact avec nous. Je sais que c'est un appareil de marque HP, mais bon tous nos derniers PC sont des HP, ça ne m'avance pas des masses. Il y a quand même près de 80 stations sur le réseau.
 
Un scanner pourra me donner quoi comme info? et as-tu un exemple de scanner à essayer?

tu le sais comment que l'appareil est de marque HP ?
 
tu n'aurais pas des switch de marque HP ?
 
enfin, une copie du log serait + explicite, pour voir le type de requete qui est diffusé (voir le protocole)

t'a un switch manageable ?
Y'a pas de noms du poste ?
Avec le scanner tu recup l'ip le nom netbios et l'os !!

 
il parle d'un scanner d'ip
 
ça te donne (entre autre)  adresse ip et masque de sous reseau

je n'ai pas de copie du log, je n'ai pas d'accès au serveur. Je fais partie de la cellule informatique qui s'occupe des postes clients. Mon job est d'installer des clients donc les seuls accès que j'ai au serveur sont les dossiers partagés. Mais si je peux récupérer l'ip (et j'en suis pas très sûr puisqu'apparemment c'est un poste qui fait des requetes DHCP) mais le nom netbios peut éventuellement m'aider

j'ajouterai que tous les switch sont des d-link sauf quelques uns qui sont des accton, mais bon je ne vois pas pourquoi un switch enverrait une requete dhcp

 
En fait c'est l'administrateur qui me l'a écrit dans son mail que c'est un HP

je presume que l'admin a su que ct un HP grace a la partie vendorID de l'adresse mac.

j'ai essayé avec un scanner d'ip, seulement je ne peux que faire des scans sur une rangée. Je ne pense pas que ça soit judicieux de scanner de 0.0.0.0 à 255.255.255.255, ça prendrait un temps énorme, ca ralentirait certainement mon réseau et je ne suis mm pas sûr que ca marche.

Je comprend rien la...
cette fameuse adresse mac, elle fait des requetes DHCP? donc ton admin doit bien voir au niveau du serveur DHCP quelle est l'adresse IP de la machine a ce moment la??? pourquoi il ne fait pas simplement un net send a l'adresse IP en demandant à le contacter ????

 
Bah s'il fait une requête DHCP, c'est par définition qu'il n'a pas (encore ) d'adresse IP, non ?

pour eviter ce genre de hic, ya peut etre une parade :
 
attribuer une ip fixe a chaque poste (plus facile de les retrouver, on peux les numéroter style 192.168.0.48 -> poste 48 et son emplacement) et désactiver le serveur dhcp (on en a plus besoin si les ip sont attribués manuelement)
 
ensuite prendre la dernière ip du réseau, et refuser toute les suivantes en LAN, comme ca terminé
 
(c'est ce que j'ai fais...)

 
Vaut mieux réserver les adresses sur le serveur DHCP pour leur attribuer une adresse "fixe"... ainsi les adresses MAC sont connues et la gestion reste centralisée sans devoir passer par des scripts avec netsh au moindre changement de config IP.

+1

bah ça je peux rien faire, j'ai aucun pouvoir de décision concernant l'administration du réseau. bon, ben j'en conclue que c'est pas possible de retrouver ce PC à partir de son adresse MAC, on s'inquiétera si ça continue...

Si tu n'as pas le controle la dessus c'est sur que ce n'est pas à toi d'essayer de le retrouver ...
 
Si tu as des switch manageable, tu peux récupérer dans la base de données des switch LE PORT sur lequel est branché cette machine. donc ensuite tu récupères la prise.
 
Sinon ton pb me fait penser aux petits boitiers HP // - ethernet qui permettent de mettre des imprimantes // en réseau et qui délirent assez souvent.

ok, je te remercie pims, il y aeffectivement des boitier qui mettent des imprimantes en réseau, on va voir de ce coté
 
 
(si t'as plus d'infos à ce sujet, je suis intéressé)

Il y a quelques temps j'avais utilisé un outil très pratique et complet qui s'appelle IP-Tools pour faire un audit du réseau. Tu peux peut-être faire quelque chose avec ça pour au moins retrouver l'adresse IP et éventuellement le nom de la machine en question.

oui je l'ai vu ce soft, le problème c'est que je ne me vois pas scanner toutes les IP de 0.0.0.0 à 255.255.255.255

le mieux serait d'analyser les trames du réseau ayant cette adresse MAC en source ou destination déjà.

euh certes, tu as sûrement raison mais mes compétences sont assez limitées

Salut,
ça pourra peut être t'aider :
télécharge nbtscan puis prends le code batch suivant

 
Exemple d'utilisation : searchmac.bat 192.168.0.0/24 00-c5-3f-1a-07-2d
 
si il trouve, il te donnera l'ip, le nom netbios de la machine ainsi que le compte utilisateur loggué dessus en fonction de l'adresse mac.
 
edit : erf si le post n'a pas d'ip j'ai bien peur que cela ne fonctionne pas.

merci bcp, je tenterai ça demain matin
(à cette heure-ci, beaucoup d'employés sont déjà partis)

Ben, il ne suffit pas de reussir à faire une requete RARP ???
Si je ne me trompe pas, une requete RARP, c'est utilisé qd on connait la MAC et qu'on vaut savoir l'IP et ARP, c'est le contraire.
Mais je sais pas encore comment on les fait ! Mes connaissances restent théoriques !

 
ouais, mais bon, faut quand meme y aller pour ca
 
tiens piouPiouM

Pas besoin de bouger pour attribuer l'ip, ya le dhcp
Ce que je voulais dire c'est que nbtscan parcourant le sous-réseau (ou ip ou plage ips) à coup d'une requête sur le port UDP 137 de chaque adresse, si pas de réponse soit l'ip n'est pas attribuée soit le port est filtré (soit le post n'utilise pas netbios)

 
Ben vi...  
mais c'est la meme chose pour les réponses suivantes...  
En clair: est ce une machine qui obtiens une IP par ses requetes DHCP ou pas? est une machine que l'admin voit faire des requetes DHCP sans obtenir d'IP, et si c'est le cas, quelle est la raison du probleme d'attribution d'IP (et ca, ce n'est que sur le serveur DHCP qu'il le verra)
 
Autre solution, regarder au niveau du switch tout simplement (enfin, pour peu qu'il soit administrable... sur un Cisco, ca prend 3 secondes meme si il y a 200 ports)...

mais avant de pouvoir regarder sur le switch, il faut que le PC soit allumé ET ai eu une activité réseau depuis moins de 3 minutes (je crois).
Ensuite, contrairement aux idées recue, on n a deja débattu, mais RARP comme son nom ne l'indique pas n'est pas l'inverse du protocole ARP ...

 
Les adresses Mac ne traversse pas les routeurs ! Si t'en possède un, elle te seras d'aucune utilité. Celle que tu possède est celle du dernier "composant".
 
Pour retrouver le destinataire, regarde si dans les informations qu'il reçoit il n'as pas l'IP de la personne. Si tu la possède tu peux déterminer le chemin : Sous l'invite de commande DOS : tracert IP. Tu auras une liste de tous les routeurs et switch traversé.
 
 
Personellement, je n'y crois pas trop mais essaye toujours. Avec un peu de chance tu pourras même pinger cette personne, à condition qu'elle n'est pas bloqué les pings entrant (ICMP).

bon et bien alors malheureusement, je n'ai pas trouvé de moyen pour trouver le PC par ce biais.
 
Par contre par chance, un collègue revenu de congé savait de quel poste il s'agissait car il y avait déjà eu des problèmes avec.
 
Je vous remercie tous énormément pour votre aide