Réseau du moniteur d'activité suspect ?

[SequoiaLynn]

Bonjour,

Mon coupe-feu est activé, je bloque toutes les connexions entrantes, tous les partages sont désactivés.
Or je constate que netbios envoie 100 fois plus d'octets qu'il n'en reçoit.
Est-ce que cela vous parait suspect ?

Contexte : Tout à l'heure sur un site commerçant, j'ai perdu ma connexion wifi une dizaine de secondes. Cela s'est déjà produit : la connexion wifi s'affiche excellente mais la page chrome reste blanche. Du côté de Safari, de mémoire, j'avais un message d'erreur DNS. Mes DNS sont ceux de ma box, local et IPV6.

Merci bien

PS : Si une âme charitable pouvait m'expliquer simplement pourquoi le ratio n'est pas le même entre paquets et octets, je suis preneur.

 

[ericse]

Si une âme charitable pouvait m'expliquer simplement pourquoi le ratio n'est pas le même entre paquets et octets, je suis preneur.

Bonjour,
Le paquet "requête" est généralement beaucoup plus petit que le paquet "réponse"

 

[Polo35230]

Salut,

@ericse t'as donné l'explication "requêtes" "réponses".

Pour le ratio, ça s'explique également par le protocole TCP (qui assure entre autre) le contrôle de flux pour adapter les échanges entre deux machines aux différents débits par son mécanisme d'acquittement des paquets reçus.
Ce mécanisme d'acquittement se fait (en général) via des messages protocolaires TCP qui ne contiennent pas de datas.

Pour faire simple (mais alors très simple!), quand un serveur t'envoie une page web par exemple de 15 000 octets, le serveur les découpe en 10 paquets de 1 500 octets (c'est la taille de la MTU), côté client (toi) tu reçois donc les 10 paquets de 1500 octets.
Ces paquets sont numérotés.
Le serveur envoie donc (toujours par exemple) le paquet numéro 8 (qui contient 1500 octets), puis attend le paquet d' acquittement que tu dois lui envoyer (de 0 octet) pour continuer et envoyer le paquet n° 9.
C'est pour ça que dans le moniteur d'activité, les nombres de paquets entrants et sortants peuvent être très proches, alors que l'écart au niveau des données peut-être très important.

Autrement, le fait que le firewall interdise les connexions entrantes n'a rien à voir avec cette histoire de ratio.

 

[SequoiaLynn]

Bonjour,
Le paquet "requête" est généralement beaucoup plus petit que le paquet "réponse"

Bonsoir, merci de votre retour.

Salut,

@ericse t'as donné l'explication "requêtes" "réponses".

Pour le ratio, ça s'explique également par le protocole TCP (qui assure entre autre) le contrôle de flux pour adapter les échanges entre deux machines aux différents débits par son mécanisme d'acquittement des paquets reçus.
Ce mécanisme d'acquittement se fait (en général) via des messages protocolaires TCP qui ne contiennent pas de datas.

Pour faire simple (mais alors très simple!), quand un serveur t'envoie une page web par exemple de 15 000 octets, le serveur les découpe en 10 paquets de 1 500 octets (c'est la taille de la MTU), côté client (toi) tu reçois donc les 10 paquets de 1500 octets.
Ces paquets sont numérotés.
Le serveur envoie donc (toujours par exemple) le paquet numéro 8 (qui contient 1500 octets), puis attend le paquet d' acquittement que tu dois lui envoyer (de 0 octet) pour continuer et envoyer le paquet n° 9.
C'est pour ça que dans le moniteur d'activité, les nombres de paquets entrants et sortants peuvent être très proches, alors que l'écart au niveau des données peut-être très important.

Autrement, le fait que le firewall interdise les connexions entrantes n'a rien à voir avec cette histoire de ratio.

Super, merci pour ces explications, j'entrevois un peu le fonctionnement : une sorte de ping pong où il faut différencier les allers retours de la balle (les paquets) et le contenu de la balle (les données) ?

Mais concernant Netbios, c'est normal qu'il s'active alors que j'ai désactivé tout ce qui le concernait ? Il cherche un périphérique windows ? Je viens de rejeter un oeil et il continue d'échanger des octets (1ko envoyés 5ko reçus).

 

[Polo35230]

j'entrevois un peu le fonctionnement : une sorte de ping pong où il faut différencier les allers retours de la balle (les paquets) et le contenu de la balle (les données) ?

Oui, c'est ça.
Que ce soit sur un LAN ou sur un WAN, les données sont "encapsulées" dans des éléments protocolaires
pour assurer le routage (IP) et le transport (TCP)
Au niveau TCP, c'est un jeu continuel de "start and stop".
La machine réceptrice communique en permanence à la machine émettrice la disponibilité (en octets) de son buffer en réception. Si elle a du mal à le vider (pour différentes raisons), elle va donner à la machine émettrice une taille de buffer réduite, voire même nulle (c'est le stop) pour qu'elle arrête d'émettre. Quand le buffer sera en partie vidé, elle enverra un paquet avec la taille disponible de son buffer, et la machine émettrice renverra à nouveau des données (c'est le start)
Pour UDP, il n'y a pas de contrôle de flux au plan protocolaire. C'est donc au niveau applicatif qu'il doit se faire (si nécessaire)

Pour Netbios, regarde dans la configuration Réseau---Avancé---Onglet WINS.
Il doit y avoir un nom Netbios de configuré.
Netbios, en plus de la gestion de noms est aussi un protocole de découverte. Je pense que c'est pour ça qu'il cause un peu...
Netbios et SMB peuvent être désactivés dans OSX via des commandes du Terminal. Mais, peu d'intérêt...

 

[SequoiaLynn]

Pour Netbios, regarde dans la configuration Réseau---Avancé---Onglet WINS.
Il doit y avoir un nom Netbios de configuré.
Netbios, en plus de la gestion de noms est aussi un protocole de découverte. Je pense que c'est pour ça qu'il cause un peu...
Netbios et SMB peuvent être désactivés dans OSX via des commandes du Terminal. Mais, peu d'intérêt...

Merci.
Mon nom netbios est celui par défaut - nom du macbook suivi des 4 derniers numéros de l'adresse mac de la carte réseau. Il n'y a aucun serveur de renseigné par contre. Pour ça que je m'interrogeais sur son activité sur le moniteur d'activité.
Je ne voudrais pas que quelque chose tourne en backdoor. J'ai récemment découvert avoir été piraté sur un autre ordinateur (windows), ça me rend suspicieux.