Quel sniffer utilisez vous pour surveiller votre reseau ou emmerder un colloc particulierement lourd?
Ettercap a l'air pas mal a premiere vue...

ntop : très bon analyseur de traffic, je ne sais pas exactement ce que tu recherches, mais tu auras des infos telles que le volume de données qu'il transfère, les URL accédées, etc ....
 
http://www.ntop.org/ntop.html

Snort est très bien fait pour détecter les scans de ports ou les traffic de virus.
 
http://www.snort.org

Pour ce qui est de mener un analyse un bon ethereal + à la limmite tcpdump c'est imparable !

de toute façon, les hubs ont tendance à disparaitre tant la différence de prix avec un switch est faible, donc l'intéret des outils dans cette optique diminue...

farib => meme avec un switch on peut parfaitement sniffer les données....
 
des sniffeurs => iris sous windows
ethereal sous linux
par exemple

 
la drogue, smal

dsniff

euuuh, sous debian c'est un package qui contient pas mal de programme sympa, et pas seulement dsniff

 
sniff sur un switch    
 
A part faire du mirroring je vois pas comment , si tu as une autre methode ca m'interesse ?

tu peux faire de l'arp spoofing, ça marche, mais tu n'écoutes qu'une "conversation" à la fois

 
il y'a (en fait il doit y en avoir plus, mais je n'en connais que 2) 2 solutions
=> port miroring
=> mac flooding (envoyer des paquets avec des @mac différentes à un taux élevé pour saturer la table @mac=>port du switch)
 
voilà

La troisieme c'est l'ARP spoofing comme l'a dit farib : tu envoie a interval regulier (genre toute les deux secondes) des réponses ARP qui associent l'IP de l'autre a ton adresse MAC. Comme tout ce qui est destiné a l'autre se retrouve chez toi. Evidemment ca ne marche pas si a un endroit ou a un autre les tables ARP sont codées « en dur ».
 
Ah et j'allais oublier : tcpdump, ou dsniff si tu ne veux chopper que les passwords (c'est mal, mais de toute façon sniffer c'est mal).

ouaih ok tu satyures le switch mais tu n'ecoutes pas !!!
big difference , sniff c ecouteer le plus passivement possible .

 
tout dépend comment tu utilises ces sniffers. Maintenant il y a moins de pass en clair de toute façon(ssh,SSL). Pour moi ethereal est très utile en prog réseau par exemple, je m'en sers systématiquement à chaque fois que je code.
Et sur mes serveurs j'ai snort d'installé, bref je les utilise quotidiennement ces sniffers et je ne suis pas un pirate  

 
ouaih mais si je te colle les(et ta) machines ds des VLAN ...  , c

 
Oui mais la c'est mon switch et quand tu as acces a un switch manageable il doit bien y avoir moyen de faire ce que tu veux.
 

 
Sniffer c'est pas mal quand c'est ton LAN. Sur ton LAN tu fais ce que tu veux.

Quand tu gère le LAN, le tout est de tracer la limite entre ce qui est necessaire pour maintenir un service correct ( par exemple en monitorant le traffic pour detecter ceux qui font ce qu'il ne sont pas censer faire ) et respecter la vie privée des users ( genre lire leur mails )

et puis si il veut monitorer il suffit de pauser sa sonde (sniffer)sur un port du switch (a l'aide d1 chti hub 100mbit)

Pour ceux que ça interesse =>
 

 
source => http://www.sans.org/resources/idfa [...] etwork.php

 
Intéressant !
Par contre je pense que la technique de MAC flooding va gentillement écrouler le réseau... Pour infiiltrer ça va, mais pour analyser c plus dur
Les autres techniques sont un peu plus fines.

une bonne explication en images pour ceux qui connaissent pas la méthode ARP
 
http://www.oxid.it/downloads/apr-intro.swf
 
alors venez pas dire "router => pas sniffer" ok?
 
:-P

On peut meme appeller ARP un protocole, sisi.
 
Dsniff est vieux et plus maintenu.
ettercap semble le remplacer.
sniffer (ou monitorer appelez ca comme vous voulez) son LAN est un DEVOIR de l'administrateur, ne serait-ce que pour reperer les virus qui ont infecté les 30 postes sous winXP derriere le firewall...