[LAN] un bon sniffer?

un bon sniffer? [LAN] - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 13-10-2003 à 09:21:19    

Quel sniffer utilisez vous pour surveiller votre reseau ou emmerder un colloc particulierement lourd? :D
Ettercap a l'air pas mal a premiere vue...

Reply

Marsh Posté le 13-10-2003 à 09:21:19   

Reply

Marsh Posté le 13-10-2003 à 09:50:36    

ntop : très bon analyseur de traffic, je ne sais pas exactement ce que tu recherches, mais tu auras des infos telles que le volume de données qu'il transfère, les URL accédées, etc ....
 
http://www.ntop.org/ntop.html

Reply

Marsh Posté le 13-10-2003 à 20:49:17    

Snort est très bien fait pour détecter les scans de ports ou les traffic de virus.
 
http://www.snort.org

Reply

Marsh Posté le 13-10-2003 à 21:29:46    

Pour ce qui est de mener un analyse un bon ethereal + à la limmite tcpdump c'est imparable !

Reply

Marsh Posté le 13-10-2003 à 21:33:59    

de toute façon, les hubs ont tendance à disparaitre tant la différence de prix avec un switch est faible, donc l'intéret des outils dans cette optique diminue...


---------------
Bitcoin, Magical Thinking, and Political Ideology
Reply

Marsh Posté le 13-10-2003 à 21:39:31    

farib => meme avec un switch on peut parfaitement sniffer les données....
 
des sniffeurs => iris sous windows
ethereal sous linux
par exemple

Reply

Marsh Posté le 13-10-2003 à 22:03:43    

impulse a écrit :

Quel sniffer utilisez vous pour surveiller votre reseau ou emmerder un colloc particulierement lourd? :D
Ettercap a l'air pas mal a premiere vue...


 
la drogue, smal :o

Reply

Marsh Posté le 13-10-2003 à 22:07:26    

Reply

Marsh Posté le 13-10-2003 à 22:08:17    

euuuh, sous debian c'est un package qui contient pas mal de programme sympa, et pas seulement dsniff


---------------
Non au projet de loi DADVSI ! (droits d'auteurs)
Reply

Marsh Posté le 13-10-2003 à 23:34:56    

splurf a écrit :

farib => meme avec un switch on peut parfaitement sniffer les données....
 
des sniffeurs => iris sous windows
ethereal sous linux
par exemple


 
sniff sur un switch  :non:  
 
A part faire du mirroring je vois pas comment , si tu as une autre methode ca m'interesse ?


---------------
"Rengaines ton arrogance et essaies plutôt d'aider ceux qui débutent : ils ont besoin de toi."
Reply

Marsh Posté le 13-10-2003 à 23:34:56   

Reply

Marsh Posté le 14-10-2003 à 00:25:19    

tu peux faire de l'arp spoofing, ça marche, mais tu n'écoutes qu'une "conversation" à la fois


Message édité par farib le 14-10-2003 à 00:25:37

---------------
Bitcoin, Magical Thinking, and Political Ideology
Reply

Marsh Posté le 14-10-2003 à 01:02:07    

jamiroq78 a écrit :


 
sniff sur un switch  :non:  
 
A part faire du mirroring je vois pas comment , si tu as une autre methode ca m'interesse ?


 
il y'a (en fait il doit y en avoir plus, mais je n'en connais que 2) 2 solutions
=> port miroring
=> mac flooding (envoyer des paquets avec des @mac différentes à un taux élevé pour saturer la table @mac=>port du switch)
 
voilà

Reply

Marsh Posté le 14-10-2003 à 06:30:38    

La troisieme c'est l'ARP spoofing comme l'a dit farib : tu envoie a interval regulier (genre toute les deux secondes) des réponses ARP qui associent l'IP de l'autre a ton adresse MAC. Comme tout ce qui est destiné a l'autre se retrouve chez toi. Evidemment ca ne marche pas si a un endroit ou a un autre les tables ARP sont codées « en dur ».
 
Ah et j'allais oublier : tcpdump, ou dsniff si tu ne veux chopper que les passwords (c'est mal, mais de toute façon sniffer c'est mal).


Message édité par matafan le 14-10-2003 à 06:33:11
Reply

Marsh Posté le 14-10-2003 à 07:56:36    

splurf a écrit :


 
il y'a (en fait il doit y en avoir plus, mais je n'en connais que 2) 2 solutions
=> port miroring
=> mac flooding (envoyer des paquets avec des @mac différentes à un taux élevé pour saturer la table @mac=>port du switch)
 
voilà


ouaih ok tu satyures le switch mais tu n'ecoutes pas !!!
big difference , sniff c ecouteer le plus passivement possible .


---------------
"Rengaines ton arrogance et essaies plutôt d'aider ceux qui débutent : ils ont besoin de toi."
Reply

Marsh Posté le 14-10-2003 à 07:56:36    

Matafan a écrit :


Ah et j'allais oublier : tcpdump, ou dsniff si tu ne veux chopper que les passwords (c'est mal, mais de toute façon sniffer c'est mal).


:non:  
tout dépend comment tu utilises ces sniffers. Maintenant il y a moins de pass en clair de toute façon(ssh,SSL). Pour moi ethereal est très utile en prog réseau par exemple, je m'en sers systématiquement à chaque fois que je code.
Et sur mes serveurs j'ai snort d'installé, bref je les utilise quotidiennement ces sniffers et je ne suis pas un pirate  :D

Reply

Marsh Posté le 14-10-2003 à 07:57:45    

Matafan a écrit :

La troisieme c'es :hello: t l'ARP spoofing comme l'a dit farib : tu envoie a interval regulier (genre toute les deux secondes) des réponses ARP qui associent l'IP de l'autre a ton adresse MAC. Comme tout ce qui est destiné a l'autre se retrouve chez toi. Evidemment ca ne marche pas si a un endroit ou a un autre les tables ARP sont codées « en dur ».
 
Ah et j'allais oublier : tcpdump, ou dsniff si tu ne veux chopper que les passwords (c'est mal, mais de toute façon sniffer c'est mal).


 
ouaih mais si je te colle les(et ta) machines ds des VLAN ... :d  , c


---------------
"Rengaines ton arrogance et essaies plutôt d'aider ceux qui débutent : ils ont besoin de toi."
Reply

Marsh Posté le 14-10-2003 à 08:22:30    

Citation :

de toute façon, les hubs ont tendance à disparaitre tant la différence de prix avec un switch est faible, donc l'intéret des outils dans cette optique diminue...


 
Oui mais la c'est mon switch et quand tu as acces a un switch manageable il doit bien y avoir moyen de faire ce que tu veux. :D
 

Citation :

Ah et j'allais oublier : tcpdump, ou dsniff si tu ne veux chopper que les passwords (c'est mal, mais de toute façon sniffer c'est mal).


 
Sniffer c'est pas mal quand c'est ton LAN. Sur ton LAN tu fais ce que tu veux. :)

Reply

Marsh Posté le 14-10-2003 à 08:48:30    

Quand tu gère le LAN, le tout est de tracer la limite entre ce qui est necessaire pour maintenir un service correct ( par exemple en monitorant le traffic pour detecter ceux qui font ce qu'il ne sont pas censer faire ) et respecter la vie privée des users ( genre lire leur mails )

Reply

Marsh Posté le 14-10-2003 à 08:54:02    

246tnt a écrit :

Quand tu gère le LAN, le tout est de tracer la limite entre ce qui est necessaire pour maintenir un service correct ( par exemple en monitorant le traffic pour detecter ceux qui font ce qu'il ne sont pas censer faire ) et respecter la vie privée des users ( genre lire leur mails )


:jap:
et puis si il veut monitorer il suffit de pauser sa sonde (sniffer)sur un port du switch (a l'aide d1 chti hub 100mbit)


---------------
"Rengaines ton arrogance et essaies plutôt d'aider ceux qui débutent : ils ont besoin de toi."
Reply

Marsh Posté le 14-10-2003 à 09:42:59    

Pour ceux que ça interesse =>
 

Citation :

ARP Spoofing
One of the basic operations of the Ethernet protocol revolves around ARP (Address Resolution Protocol) requests and replies. In general, when Node A wants to communicate with Node C on the network, it sends an ARP request. Node C will send an ARP reply which will include the MAC address. Even in a switched environment, this initial ARP request is sent in a broadcast manner. It is possible for Node B to craft and send an unsolicited, fake ARP reply to Node A. This fake ARP reply will specify that Node B has the MAC address of Node C. Node A will unwittingly send the traffic to Node B since it professes to have the intended MAC address. Some available tools are specialized for sending fake ARP replies to classes of machines (i.e., NFS servers, HTTP servers, etc). One such tool is dsniff5 and it works well to sniff for specific types of traffic. Other tools listen for the general ARP request and send the fake ARP reply at that time. The parasite4 program falls into this category and it serves well to sniff the entire network. For this type of attack to work, we need the ability to forward on the frames we receive to their intended host. This is most commonly achieved through some type of IP forwarding, either at the kernel or application level.
 
MAC Flooding
Since switches are responsible for setting up the virtual circuits from one node to another, they must keep a translation table that tracks which addresses (specifically, which MAC addresses) are on which physical port. The amount of memory for this translation table is limited. This fact allows the switch to be exploited for sniffing purposes. On some switches, it is possible to bombard the switch with bogus MAC address data. The switch, not knowing how to handle the excess data, will 'fail open'. That is, it will revert to a hub and will broadcast all network frames to all ports. At this point, one of the more generic network sniffers will work.
 
MAC Duplicating
It's not difficult to imagine that, since all frames on the network are routed based on their MAC address, that the ability to impersonate another host would work to our advantage. That's just what MAC duplicating does. You reconfigure Node B to have the same MAC address as the machine whose traffic you're trying to sniff. This is easy to do on a Linux box if you have access to the 'ifconfig' command. This differs from ARP Spoofing because, in ARP Spoofing, we are 'confusing' the host by poisoning it's ARP cache. In a MAC Duplicating attack, we actually confuse the switch itself into thinking two ports have the same MAC address. Since the data will be forwarded to both ports, no IP forwarding is necessary.


 
source => http://www.sans.org/resources/idfa [...] etwork.php

Reply

Marsh Posté le 17-10-2003 à 00:34:07    


 
:jap: Intéressant !
Par contre je pense que la technique de MAC flooding va gentillement écrouler le réseau... Pour infiiltrer ça va, mais pour analyser c plus dur
Les autres techniques sont un peu plus fines.

Reply

Marsh Posté le 17-03-2004 à 16:06:18    

une bonne explication en images pour ceux qui connaissent pas la méthode ARP ;)
 
http://www.oxid.it/downloads/apr-intro.swf
 
alors venez pas dire "router => pas sniffer" ok? :)
 
:-P

Reply

Marsh Posté le 17-03-2004 à 16:16:50    

On peut meme appeller ARP un protocole, sisi.
 
Dsniff est vieux et plus maintenu.
ettercap semble le remplacer.
sniffer (ou monitorer appelez ca comme vous voulez) son LAN est un DEVOIR de l'administrateur, ne serait-ce que pour reperer les virus qui ont infecté les 30 postes sous winXP derriere le firewall...

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed