Consulting, services, computer engineering. Implementation of technology solutions and support for businesses.

User Rating: 5 / 5

Star ActiveStar ActiveStar ActiveStar ActiveStar Active
 

wireshark tutorial français guide : définition analyseur de paquets

 

Analyseur de paquets
Logiciel pouvant lire ou enregistrer des données
transitant par le biais d'un réseau local non-commuté

Permet de :
Capturer chaque paquet du flux de données (en) traversant le réseau,
voire de décoder les paquets de données brutes
Afficher les valeurs des divers champs du paquet
Analyser leur contenu conformément aux spécifications ou RFC appropriées

Se présente aussi sous les termes (EN) :
packet analyzer, network analyzer, protocol analyzer ou encore packet sniffer


Wireshark est certainement le plus connu mais il en existe bien d’autres !!

On citera en logiciels Open Source :
tcpdump, ngrep, WinDump ,tshark, dumpcap, rawshark, ipgrab, etc…

Service en ligne possible avec CloudShark

Permet de présenter des captures en version Web
partages, commentaires, wireshark-like

Ne remplit pas la fonction de capture (laissée à des logiciels de bas niveau)

 

 

 

 

Consultingit suite fleche 299

 

  

Une question? Posez-la ici

wireshark tutorial français guide: que permet la capture de paquets?

 

 


La capture de paquets permet de :

Comprendre et apprendre les protocoles

Reproduire leur comportement et valider ces comportements

Réaliser un audit de performance du réseau
Identifier des problèmes dans une phase de diagnostic
Implémenter du QoS dans le cadre de la gestion de la bande passante


Dans une phase de reconnaissance passive ou active, le sniffing permet d’interpréter :

les résultats d’une prise d’empreinte par le réseau dans un cadre plus défensif

les pots de miel (honeypots)

les systèmes de détection/prévention d’intrusions (IDS/IPS)
qui utilisent la capture de trafic
à des fins de journalisation ou de prise de décision

 


La capture de paquets en téléphonie aide à :

surveiller et à recomposer les conversations dans un cadre légal strict
salles de marchés, services de centre d’appels, enquête légale, etc…


Les compétences à développer sont :

L’identification précise des hôtes et des utilisateurs d’une conversation plongée au sein d’un trafic dense

Faire interagir les conversations accessoires pour comprendre une conversation utile

Être capable d’identifier la charge d’une conversation voire la restituer


Vue formelle modèles TCP/IP et OSI

Une activité d’observation du trafic réseau permet de s’initier à des pratiques plus avancées grâce à un analyseur de paquets

Un analyseur de paquets est donc un logiciel :

qui se met à l’écoute d’une des interfaces de l’ordinateur

qui met en mémoire le trafic qui passe par elle

qui est capable de décoder, sauvegarder, traiter, analyser et présenter la capture

 


Vue formelle modèles TCP/IP et OSI

Une activité d’observation du trafic réseau permet de s’initier à des pratiques plus avancées grâce à un analyseur de paquets

Un analyseur de paquets est donc un logiciel :

qui se met à l’écoute d’une des interfaces de l’ordinateur

qui met en mémoire le trafic qui passe par elle

qui est capable de décoder, sauvegarder, traiter, analyser et présenter la capture


Rappel : Modèle OSI


Pour les retenir, il suffit de se dire que « Pour Le Réseau, Tout Se Passe Automatiquement ».

Physique // Pour
Liaison // Le
Réseau // Réseau
Transport // Tout
Session // Se
Présentation // Passe
Application // Automatiquement

Services applicatifs :

Couche de communication qui s’interface avec les utilisateurs

S’exécute sur les machines hôtes terminales


Services applicatifs :

Couche de communication qui s’interface avec les utilisateurs

S’exécute sur les machines hôtes terminales

Transport :

Responsable du dialogue entre les hôtes terminaux d’une communication

Utilisation de TCP pour un transport fiable et UDP sans ce service

Routeurs NAT + pare-feu = filtrage au niveau de la couche transport


Internet :

Permet de déterminer le meilleur chemin à travers les réseaux

Identifie globalement les interfaces

Les routeurs transfèrent le traffic IP qui ne leur est pas destiné

Accès Réseau :

Organise le flux binaire

Identifie physiquement les interfaces

Règle la méthode d’accès au support

Place le flux binaire sur les supports physique

Commutateurs, câbles, NIC, etc…

 


En dédiant le transfert du trafic d’une interface à l’autre du LAN :

le commutateur empêche l’interception des communications

captures beaucoup plus faciles à réaliser

Dans la suite de cette formation, on proposera des méthodes plus adéquates pour réaliser ce genre de tâche dans un environnement commuté


Méthodes d’écoute

 


La méthode d’écoute dépendra :

du type de dialogue à surveiller

de l’environnement de cette communication (technologie supportée)

de la maîtrise de cet environnement

du coût à consentir pour réaliser la capture

 


Port mirroring (port monitoring, span port)


Fonction que l’on trouve sur un commutateur

Consiste à transférer sur un port appelé par ce nom
le trafic normalement dédié sur d’autres ports du commutateur

Cette méthode est habituellement préférée car elle n’ajoute aucune empreinte de trafic ou paquets supplémentaires

Permet de surveiller le trafic distant entre des commutateurs (la seule méthode)

Elle ne nécessite pas de déconnecter le client à surveiller

Elle est toutefois gourmande en ressources pour le commutateur

 


Port mirroring (port monitoring, span port)

Fonction que l’on trouve sur un commutateur

Consiste à transférer sur un port appelé par ce nom
le trafic normalement dédié sur d’autres ports du commutateur

Cette méthode est habituellement préférée car elle n’ajoute aucune empreinte de trafic ou paquets supplémentaires

Permet de surveiller le trafic distant entre des commutateurs (la seule méthode)

Elle ne nécessite pas de déconnecter le client à surveiller

Elle est toutefois gourmande en ressources pour le commutateur


Port mirroring (port monitoring, span port)

Fonction que l’on trouve sur un commutateur

Consiste à transférer sur un port appelé par ce nom
le trafic normalement dédié sur d’autres ports du commutateur

Cette méthode est habituellement préférée car elle n’ajoute aucune empreinte de trafic ou paquets supplémentaires

Permet de surveiller le trafic distant entre des commutateurs (la seule méthode)

Elle ne nécessite pas de déconnecter le client à surveiller

Elle est toutefois gourmande en ressources pour le commutateur

Une question? Posez-la ici

wireshark tutorial français guide:

 

  

Une question? Posez-la ici

 

 

 

wireshark tutorial français guide: que sont les aggregated taps ?

 

 


Aggregated Taps

« Aggregated Taps » ou « Nonaggregated Taps »

Périphérique matériel

Fournit un moyen d’accéder aux données circulant sur un réseau informatique

Le TAP réseau a (au moins) trois ports :
un port A
un port B
un port de moniteur

Un TAP réseau inséré entre A et B transmet tout le trafic sans obstacle
mais copie également ces mêmes données sur son port de moniteur
ce qui permet à un tiers d’écouter le dit trafic

https://www.usr.com/products/networking-taps/usr4503/


Il y a des TAPs pour chaque type de réseau : en cuivre (RJ45), en fibre optique

Mais le type de TAP peut varier :

certains peuvent dupliquer le signal réseau sur plusieurs sorties (appelés regeneration TAPs)

tandis que d’autres font de l’agrégation en rassemblant en un seul flux les données d’un réseau half duplex ou full duplex


L’interface du client à surveiller
peut être déconnectée

Permet de capturer du trafic sur des
interfaces fibres qui deviennent de plus
en plus communes dans les installations
LAN/WAN

Supporte le transfert du trafic commuté
à ses vitesse (10/1000 Mbps Full Duplex)

Matériel est assez coûteux


Attaques de redirection

Quelques attaques de redirection :
APT (Menaces persistantes avancées)
Attaques 802.1
DHCP, DNS, Routing

Méthode de capture la plus lente

Nécessite la création de paquets supplémentaires

pour rediriger le trafic vers l’analyseur de paquets

 


Il s’agit plutôt d’une méthode offensive qui s’impose lorsque l’on ne peut pas prendre la main sur l’infrastructure

Elle n’est donc pas transparente

Elle peut susciter des problèmes de performance sur le réseau (lenteur)


Installation directe sur l’hôte à surveiller

Cette méthode n’est pas recommandée sauf pour :
des tests
des constitutions de « baseline* » de sécurité

Pourquoi ?
le trafic pourrait être
perdu ou transformé

 


Il existe bon nombre de solutions de type « opérateur » qui proposent
des fonctionnalités de visualisation, de capture et de diagnostic
à travers une infrastructure complète (maîtrisées, hybrides et hétérogènes)

Ces solutions sont par exemple :
totalement intégrées et/ou utilisent une infrastructure homogène
d’autres vont déployer du SDN

ou même déployer des sortes d’agents légers
eux aussi intégrés ou utilisant des modèles d’architecture autonome


Ces solutions se combinent à des fonctions
de journalisation, d’alerte, de surveillance, etc…

Autrement dit, celles-ci deviennent intéressantes et abordables
à partir d’une certaine échelle !

D’un point de vue plus fondamental :

Comment visualiser et analyser localement dans Wireshark une capture qui se réalise en temps réel sur un hôte distant ?

Ces solutions se combinent à des fonctions
de journalisation, d’alerte, de surveillance, etc…

Autrement dit, celles-ci deviennent intéressantes et abordables
à partir d’une certaine échelle !

D’un point de vue plus fondamental :

Comment visualiser et analyser localement dans Wireshark une capture qui se réalise en temps réel sur un hôte distant ?

 

 

 

Ce transcript reflète exclusivement l'opinion de ses auteurs et n’engage en aucune façon Consultingit

 

Besoin d'aides avec Wireshark??