Sniffer r�seau : comment ca marche ?

Les r�seaux s'agrandissent et il est parfois int�ressant de savoir ce qui circule dans nos c�bles et... m�me dans les airs.

Le sniffer r�seau peut-�tre imag� de la fa�on suivante :

Un matin vous vous levez avec une toux grasse. Vous allez chez le m�decin et vous lui dites que vos voies respiratoires sont obstru�es par je ne sais quoi. Son premier r�flexe sera de vous ausculter avec son st�toscope. Et bien voil� le sniffer est � l'administrateur r�seaux ce qu'est le st�toscope au m�decin : tout simplement indispensable.

C'est vrai on peut �tre parfois surpris. Il vous est d�j� arriv� d'installer un logiciel libre (un freeware) et, sans que vous ne le sachiez, celui-ci se connecte � un serveur particulier et envoie des informations concernant votre syst�me.
De la m�me fa�on il est possible de d�tecter des spyware.

En effet un sniffer est un programme install� sur votre machine qui va vous permettre de mettre en �vidence les trames qui passent par votre carte r�seau et ainsi voir ce qui s'y passe. Il est bien entendu que vous ne pourrez voir que ce qui passe entre vous et le serveur et non pas toutes les communications entre le serveur et les autres internautes.

Cependant une utilisation mal intentionn�e d'un sniffer r�seau peut �tre d�vastatrice. En clair, prenez un sniffer r�seau et, par un moyen qui ne m'int�resse pas, vous arrivez � vous connecter sur un r�seau d'entreprise : de l� vous pouvez collecter des donn�es confidentielles de grande importance. Je ne vous raconterai pas la suite ni les divers applications possibles avec ces donnees "volees"(espionage industriel etc..)

Alors me demanderez vous comment faire avec les r�seaux sans fil ? Et bien c'est tout simple : installez une carte r�seau sans fil sur votre machine puis le sniffer r�seau et le tour est jou�.

Voici un lien o� vous pourrez t�l�charger un sniffer r�seau gratuitement et qui de plus est tr�s utilis� par les administrateurs r�seaux : Ethereal. Cerise sur le g�teau vous pouvez l'installer sur Linux.
http://www.ethereal.com/

Post� le: Sam Nov 19, 2005 11:18 Sujet du message:

Tutorial Ethereal:

Voici un tutorial concernant un sniffer r�seau bien connu et surtout gratuit. Nous allons prendre XP comme syst�me d�exploitation.

Ce tutorial se divise donc en 5 parties:
1. L�installation d�Ethereal sur XP (ou 98/ME/2000)
2. Premier pas avec Ethereal
3. Comment capturer les trames sur le r�seau
4. Comment d�finir un filtre pour la capture des trames
5. Comment d�finir un filtre pour la visualisation des trames

Le but de ce tutorial n�est pas de reprendre le guide de l�utilisateur d�ethereal mais plut�t d�en faire un r�sum�. En effet l�utilisateur d�sireux d�aller loin pourra se r�f�rer � celui-ci.

1. L�installation d�Ethereal sur XP
L�installation sous XP est assez simple : dans un premier temps vous devez installer le "package" WinPcap, puis dans un deuxi�me temps le �package� Ethereal.

1.1 Installation du �package� WinPcap
Vous pouvez t�l�charger WinPcap � partir du lien suivant : http://www.ethereal.com/distribution/win32/

Prenez le fichier WinPcap_3_0.exe et installez le. C�est tres simple (next, next...)
En th�orie il n�y a pas besoin de red�marrer la machine.

1.2 Installation d�Ethereal
Vous pouvez t�l�charger Ethereal � partir lien suivant: http://www.ethereal.com/distribution/win32/

Prenez le fichier ethereal-setup-0.10.4.exe et installez le. C�est toujours tr�s simple (next, I agree, Install�)
Ici non plus pas besoin de red�marrer votre machine mais je vous conseille de le faire tout de m�me !

2. Premier pas avec Ethereal
D�marrez l�application Ethereal. Cr�ez un raccourci sur votre bureau il vous sera bien utile.

La fen�tre est divis�e en trois parties.
La premi�re partie est de type g�n�ral, on y trouve des informations de type adresse IP des machines ou encore protocole utilis� lors de l��change des donn�es.
La deuxi�me partie de la fen�tre reprend ici la trame s�lectionn�e et la d�taille soit dans les sept couches du mod�les OSI ou dans les quatre couches du mod�le IP. Pour plus d�informations � ce sujet des tutoriaux sont disponibles sur le net.
La troisi�me et derni�re partie est une vision de la trame en codage hexad�cimal.

Nous allons voir maintenant comment capturer les trames sur le r�seau sur lequel le sniffer est connect�.

3. Comment capturer les trames sur le r�seau
Allez dans le menu �Capture� et cliquez sur �Start�.

Choisissez l�interface sur laquelle vous voulez ��couter�. Si vous en avez qu�une le choix ne sera pas tr�s difficile .
Par d�faut l�espace r�serv� � la collecte des donn�es est d�fini � 1MB. Cela devrait �tre suffisant. Dans le cas contraire augmentez le.
Activer l�option �Capture packets in promiscuous mode�. En fait cette option permet � la carte r�seau de lire et d�intercepter tout le trafic sur le r�seau. Dans le cas contraire celle-ci n�interceptera que les trames qui lui sont destin�es et ainsi vous ne verrez pas toutes les trames Multicast et Broadcast.
Laissez le champ �Capture Filter� vide dans un premier temps. Nous verrons par la suite comment le remplir.
Nous ne toucherons pas non plus aux autres options.

Il ne vous reste plus qu�� d�marrer la capture en cliquant sur �OK�.

Cliquez sur �Stop�. Ethereal va alors afficher les trames vues par la carte r�seau dans un format lisible

Sur la premi�re partie de cette fen�tre les diff�rentes trames captur�es s�affichent et suivant les colonnes nous avons les informations suivantes :

Premi�re colonne : num�ro de la trame.
Deuxi�me colonne : temps �coul� depuis le d�part de la capture et l�arriv�e de la trame.
Troisi�me colonne : adresse IP ou nom de la machine �mettrice
Quatri�me colonne : adresse IP ou nom de la machine r�ceptrice
Cinqui�me colonne : protocole utilis� entre les deux machines
Sixi�me colonne : informations compl�mentaires

La quantit� de donn�es captur�es peut vite devenir consid�rable, d�autant plus que plusieurs communications peuvent �tres �tablies en parall�le comme par exemple une connexion � www.google.fr et une autre � archive.e-zenzone.net

C�est pourquoi nous allons voir comment d�finir un filtre pour capturer une partie de tout ce que voit la carte r�seau.

Post� le: Sam Nov 19, 2005 11:21 Sujet du message:

4. Comment d�finir un filtre pour la capture des trames ( Capture Filter)
Allez dans le menu "Capture". Puis cliquez sur "Capture Filters".

Consid�rons que notre machine ai l�adresse IP 192.168.1.33 .
Nous voulons capturer uniquement les trames �chang�es entre celle-ci et la machine avec l�adresse IP 145.200.80.45.
Pour cela cliquez sur "New".
Dans le champ "Filter Name" entrez le nom de votre filtre : mon filtre (par exemple).
Dans le champ "Filter string" entrez la cha�ne suivante : host 145.200.80.45
Cliquez maintenant sur "save" et voil� votre filtre est d�fini vous pouvez cliquez sur "close" pour fermer la fen�tre.

Retournez dans le menu "Capture" et cliquez sur "Start"
Reprenez les m�mes options que pr�c�demment.
Cliquez sur le bouton "Capture Filter" et s�lectionnez votre filtre.
Voil� cliquez sur "OK" pour d�marrer la capture avec le filtre en question.

Pour plus de d�tail sur la structure des filtres vous pouvez consulter l�aide en appuyant sur la touche F1 et en allant sur l�onglet "Capture Filter"

Une autre m�thode consiste � capturer toutes les trames dans un premier temps et de filtrer par la suite. L�avantage de cette solution est d�avoir toujours la capture de d�part et d�y appliquer par la suite autant de filtres que l�on souhaite.

5. Comment d�finir un filtre pour la visualisation des trames (Display Filter)
Essayons d�appliquer le m�me filtre que pr�c�demment. Dans un premier temps faites une capture sans appliquer de filtre (reportez vous au premier paragraphe).
Stoppez la capture. Allez dans le menu "Analyze" et cliquez sur "Display Filters".

L� vous cliquez sur "New". Dans le champ "Filter Name" entrez le nom de votre filtre : notre filtre (par exemple).
Dans le champ "Filter string" entrez la cha�ne suivante : ip.addr==145.200.80.45 et cliquez sur "Apply". Voil� le filtre est appliquez. Si vous voulez le sauvegarder cliquez sur "Save".
Si maintenant vous voulez l�annuler, effacez la cha�ne dans le champ "Filter string" et cliquez de nouveau sur "Apply".

Il existe �galement une barre "Filter" que vous pouvez activer en allant dans le menu "View" et en cliquant sur "Filter Toolbar". Remplissez le champ "Filter" de la m�me fa�on que pr�c�demment et cliquez sur "Apply".

Pour revenir � la capture initiale effacez le champ "Filter".

et voila ; vous avez instaler , configurer et essayer Ethereal et vous savez maintenant tout ce qui se passe sur votre reseau