Bonjour,
 
Sur le "réseau" de mon entreprise je contaste depuis une machine qui a wireshark d'installé un flot de requêtes ARP important dont une qui revient sans arrêt.
 
Celle-ci vient d'un serveur 2008R2 qui demande à parler à une adresse qui ne répond pas au ping.
 
Pas trouvé de trace de l'entrée ARP dans le cache du serveur à l'aide de la commande arp -a. Normal pas de machine qui répond derrière.
 
1.Comment une machine peut vouloir parler à une autre machine qui ne répond pas au ping. J'ai regardé sur le serveur pas de trace de l'ip demandée dans le paramétrage réseau.
 
2.Comment puis-je empêcher au serveur de vouloir parler à l'adresse en question qui ne répond pas ?
 
3. Est-ce normal qu'il y aient plusieurs broadcast identiques sources comme destination ? Normalement on le fait une fois puis la table de cache ARP est mis à jour.
 
Merci de votre aide

Le ping est peut-être désactivé sur la machine qui ne répond pas.
Avant d'empêcher ton serveur de vouloir communiquer avec la machine, assure toi avec les différents admins que c'est un comportement anormal.

Il n'y a pas de compétence à ce niveau. Je suis le seul admin et fraichement arrivé dans des fonctions qui sont nouvelles pour moi.
 
Aucun serveur n'a cette IP chez nous.
 
Et même si la réponse ping avait été désactivée la mise à jour du cache arp serait passée elle si la machine existait vraiment et devait vraiment parler avec ce serveur.
 
J'aurai vu une entrée dans le cache.
 
En réalité j'ai beaucoup de machines qui font des broadcast ARP vers des IP qui ne répondent pas au ping.
 
Bizarre. Infos utiles, il n'y a pas de pare-feu en frontale et j'ai 11 mini switch sur les switch non manageable de la boite qui sont reliés à un switch principale relié au routeur adsl direct comme à la maison. Un truc de ouf.

1/ Il y a pas que le ping dans la vie, elle peut vouloir communiquer avec pour autre chose (faudrait savoir quel process essaie d'initier la communication vers cette IP)
 
2/ firewall et encore, pas pour l'arp
3/ oui, le cache arp ça se périme

J'ai un tas de type de broadcast à répétition
 
En l'espace d'une minute
 
DU NBNS Name query de plusieurs postes.
20 lignes du même poste vers la même query.
 
DU ARP broadcast depuis plusieurs poste je dirais 6 postes principalement, qui s'acharnent sur des ips qui ne répondent pas.
80 lignes en une minutes vers des ip qui ne répondent pas au ping.
 
Voilà ce qui me dérange le plus pour le moment.
 
Je continue mes recherches, si vous avez déjà vu ça ... je suis tout ouie.
 
 
 
 
 

J'ai eu un user dont son poste flood le réseau avec des trames NBNS (netbios) pour atteindre le allia-pc qui serait son pc perso qu'il a à la maison avec lequel il n'y a pas de partage particulier.
 
Je ne vois pas comment lui faire arrêter cela pour le moment.

Bah rien, mais c'est pas gênant

Je n'ai pas compris Je@nb.
Ba rien quoi ?
C'est pas gênant ? De quoi ? de voir des broadcast archarnés vers des Noms qui ne sont pas sur le réseau ?
 
Perso ça me parait pas bien normal. Je me trompe?

tu peux rien faire et non c'est pas gênant ces requêtes. Tous les postes font du broadcast, ça fait partie du comportement normal.

Les broadcast arp n'ont rien d'anormaux, les postes mettent régulièrement à jour leur cache

Ok, merci de votre aide.
 
Régulièrement ça veut dire 10 fois de suite toutes les 30 secondes du même poste source vers la même IP destination ?
 
Je repose ma question autrement:
 
-Comment expliquer qu'un poste émette de 3 à 10 broadcast arp vers une IP qui n'existe plus.
 
-Qu'est-ce qui est à l'origine de cette "envie" de parler à cette ip qui historiquement est un ancien serveur ? Ca ça me concerne plus personnellement car un soft essaie peut-être de communiquer avec. Mais niveau système est-ce qu'il y a un moyen à part les logs qui ne donnnent rien de plus, de savoir qu'est-ce qui déclenche ses broadcast ?
 
Merci à vous.

S'il cherche un ancien serveur qui n'existe plus c'est que tu as un process, une appli qui ne devrait plus être ou qui est mal configuré,
il y a des outils chez sysinternals qui permettent de suivre les process, mais bon faut avoir le temps pour ca,
Pour ma part si j'ai un doute avec un poste et que je ne peux déterminer rapidement l'origine je remet un master.
Le choix a faire est de savoir combien de temps tu est près à perdre sur ce pb

 
Ce n'est pas très clair, un broadcast ne pointe pas sur une adresse IP justement, un broadcast est un message envoyé à l'ensemble du domaine de diffusion, c'est à dire à l'ensemble des machines qui sont dans le même réseau IP.
Il y a plusieurs raisons pour laquelle un client peut interroger un serveur d'autant plus si ce serveur faisait office de passerelle, essayes de revoir la configuration IP du poste, voir si l'adresse IP de l'ancien serveur n'est pas inscrite comme dns ou passerelle.
Après comme l'a dit phil255, il faut tenter de voir les appli qui ont besoin d'une ressource réseau, et elles sont nombreuses...Bon courage.