un bon sniffer? [LAN] - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 13-10-2003 à 09:50:36
ntop : très bon analyseur de traffic, je ne sais pas exactement ce que tu recherches, mais tu auras des infos telles que le volume de données qu'il transfère, les URL accédées, etc ....
http://www.ntop.org/ntop.html
Marsh Posté le 13-10-2003 à 20:49:17
Snort est très bien fait pour détecter les scans de ports ou les traffic de virus.
http://www.snort.org
Marsh Posté le 13-10-2003 à 21:29:46
Pour ce qui est de mener un analyse un bon ethereal + à la limmite tcpdump c'est imparable !
Marsh Posté le 13-10-2003 à 21:33:59
de toute façon, les hubs ont tendance à disparaitre tant la différence de prix avec un switch est faible, donc l'intéret des outils dans cette optique diminue...
Marsh Posté le 13-10-2003 à 21:39:31
farib => meme avec un switch on peut parfaitement sniffer les données....
des sniffeurs => iris sous windows
ethereal sous linux
par exemple
Marsh Posté le 13-10-2003 à 22:03:43
impulse a écrit : Quel sniffer utilisez vous pour surveiller votre reseau ou emmerder un colloc particulierement lourd? |
la drogue, smal
Marsh Posté le 13-10-2003 à 22:07:26
ReplyMarsh Posté le 13-10-2003 à 22:08:17
euuuh, sous debian c'est un package qui contient pas mal de programme sympa, et pas seulement dsniff
Marsh Posté le 13-10-2003 à 23:34:56
splurf a écrit : farib => meme avec un switch on peut parfaitement sniffer les données.... |
sniff sur un switch
A part faire du mirroring je vois pas comment , si tu as une autre methode ca m'interesse ?
Marsh Posté le 14-10-2003 à 00:25:19
tu peux faire de l'arp spoofing, ça marche, mais tu n'écoutes qu'une "conversation" à la fois
Marsh Posté le 14-10-2003 à 01:02:07
jamiroq78 a écrit : |
il y'a (en fait il doit y en avoir plus, mais je n'en connais que 2) 2 solutions
=> port miroring
=> mac flooding (envoyer des paquets avec des @mac différentes à un taux élevé pour saturer la table @mac=>port du switch)
voilà
Marsh Posté le 14-10-2003 à 06:30:38
La troisieme c'est l'ARP spoofing comme l'a dit farib : tu envoie a interval regulier (genre toute les deux secondes) des réponses ARP qui associent l'IP de l'autre a ton adresse MAC. Comme tout ce qui est destiné a l'autre se retrouve chez toi. Evidemment ca ne marche pas si a un endroit ou a un autre les tables ARP sont codées « en dur ».
Ah et j'allais oublier : tcpdump, ou dsniff si tu ne veux chopper que les passwords (c'est mal, mais de toute façon sniffer c'est mal).
Marsh Posté le 14-10-2003 à 07:56:36
splurf a écrit : |
ouaih ok tu satyures le switch mais tu n'ecoutes pas !!!
big difference , sniff c ecouteer le plus passivement possible .
Marsh Posté le 14-10-2003 à 07:56:36
Matafan a écrit : |
tout dépend comment tu utilises ces sniffers. Maintenant il y a moins de pass en clair de toute façon(ssh,SSL). Pour moi ethereal est très utile en prog réseau par exemple, je m'en sers systématiquement à chaque fois que je code.
Et sur mes serveurs j'ai snort d'installé, bref je les utilise quotidiennement ces sniffers et je ne suis pas un pirate
Marsh Posté le 14-10-2003 à 07:57:45
Matafan a écrit : La troisieme c'es t l'ARP spoofing comme l'a dit farib : tu envoie a interval regulier (genre toute les deux secondes) des réponses ARP qui associent l'IP de l'autre a ton adresse MAC. Comme tout ce qui est destiné a l'autre se retrouve chez toi. Evidemment ca ne marche pas si a un endroit ou a un autre les tables ARP sont codées « en dur ». |
ouaih mais si je te colle les(et ta) machines ds des VLAN ... , c
Marsh Posté le 14-10-2003 à 08:22:30
Citation : de toute façon, les hubs ont tendance à disparaitre tant la différence de prix avec un switch est faible, donc l'intéret des outils dans cette optique diminue... |
Oui mais la c'est mon switch et quand tu as acces a un switch manageable il doit bien y avoir moyen de faire ce que tu veux.
Citation : Ah et j'allais oublier : tcpdump, ou dsniff si tu ne veux chopper que les passwords (c'est mal, mais de toute façon sniffer c'est mal). |
Sniffer c'est pas mal quand c'est ton LAN. Sur ton LAN tu fais ce que tu veux.
Marsh Posté le 14-10-2003 à 08:48:30
Quand tu gère le LAN, le tout est de tracer la limite entre ce qui est necessaire pour maintenir un service correct ( par exemple en monitorant le traffic pour detecter ceux qui font ce qu'il ne sont pas censer faire ) et respecter la vie privée des users ( genre lire leur mails )
Marsh Posté le 14-10-2003 à 08:54:02
246tnt a écrit : Quand tu gère le LAN, le tout est de tracer la limite entre ce qui est necessaire pour maintenir un service correct ( par exemple en monitorant le traffic pour detecter ceux qui font ce qu'il ne sont pas censer faire ) et respecter la vie privée des users ( genre lire leur mails ) |
et puis si il veut monitorer il suffit de pauser sa sonde (sniffer)sur un port du switch (a l'aide d1 chti hub 100mbit)
Marsh Posté le 14-10-2003 à 09:42:59
Pour ceux que ça interesse =>
Citation : ARP Spoofing |
source => http://www.sans.org/resources/idfa [...] etwork.php
Marsh Posté le 17-10-2003 à 00:34:07
impulse a écrit : Pour ceux que ça interesse => |
Intéressant !
Par contre je pense que la technique de MAC flooding va gentillement écrouler le réseau... Pour infiiltrer ça va, mais pour analyser c plus dur
Les autres techniques sont un peu plus fines.
Marsh Posté le 17-03-2004 à 16:06:18
une bonne explication en images pour ceux qui connaissent pas la méthode ARP
http://www.oxid.it/downloads/apr-intro.swf
alors venez pas dire "router => pas sniffer" ok?
:-P
Marsh Posté le 17-03-2004 à 16:16:50
On peut meme appeller ARP un protocole, sisi.
Dsniff est vieux et plus maintenu.
ettercap semble le remplacer.
sniffer (ou monitorer appelez ca comme vous voulez) son LAN est un DEVOIR de l'administrateur, ne serait-ce que pour reperer les virus qui ont infecté les 30 postes sous winXP derriere le firewall...
Marsh Posté le 13-10-2003 à 09:21:19
Quel sniffer utilisez vous pour surveiller votre reseau ou emmerder un colloc particulierement lourd?
Ettercap a l'air pas mal a premiere vue...