Les ordinateurs communiquent via des réseaux. Ces réseaux peuvent être sur un réseau local LAN ou exposés à Internet. Les Network Sniffers sont des programmes qui capturent les données de paquets de bas niveau transmises sur un réseau. Un attaquant peut analyser ces informations pour découvrir des informations précieuses telles que les identifiants utilisateur et les mots de passe.
Dans cet article, nous vous présenterons les techniques et les outils courants de détection de réseau utilisés pour détecter les réseaux. Nous examinerons également les contre-mesures que vous pouvez mettre en place pour protéger les informations sensibles transmises sur un réseau.
Qu'est-ce que le reniflage de réseau?
Les ordinateurs communiquent en diffusant des messages sur un réseau à l'aide d'adresses IP. Une fois qu'un message a été envoyé sur un réseau, l'ordinateur destinataire avec l'adresse IP correspondante répond avec son adresse MAC.
Le reniflage de réseau est le processus d'interception des paquets de données envoyés sur un réseau.Cela peut être fait par un logiciel spécialisé ou un équipement matériel. Le reniflement peut être utilisé pour:
- Capturez des données sensibles telles que les identifiants de connexion
- Écouter les messages de chat
- Les fichiers de capture ont été transmis sur un réseau
Le following sont des protocoles vulnérables au reniflage
- Telnet
- Se connecter
- HTTP
- SMTP
- NNTP
- POP
- Ftp
- IMAP
Les protocoles ci-dessus sont vulnérables si vous vous connecteztails sont envoyés en texte brut
Reniflage passif et actif
Avant d'examiner le reniflage passif et actif, examinons deux principaux appareils utilisés pour mettre en réseau les ordinateurs: concentrateurs et commutateurs.
Un hub fonctionne en envoyant des messages de diffusion à tous les ports de sortie, à l'exception de celui qui a envoyé la diffusion.. L'ordinateur destinataire répond au message diffusé si l'adresse IP correspond. Cela signifie que lorsque vous utilisez un hub, tous les ordinateurs d'un réseau peuvent voir le message diffusé. Il operatests au niveau de la couche physique (couche 1) du Modèle OSI.
Le schéma ci-dessous illustre le fonctionnement du hub.
Un interrupteur fonctionne différemment; il mappe les adresses IP/MAC sur les ports physiques. Les messages de diffusion sont envoyés aux ports physiques qui correspondent aux configurations d'adresse IP/MAC de l'ordinateur destinataire. Cela signifie que les messages diffusés ne sont vus que par l'ordinateur destinataire. Commutateurs operate au niveau de la couche liaison de données (couche 2) et de la couche réseau (couche 3).
Le schéma ci-dessous illustre le fonctionnement du commutateur.
Le reniflage passif consiste à intercepter les paquets transmis sur un réseau qui utilise un hub. On parle de reniflage passif car il est difficile à détecter. Cette opération est également facile à réaliser car le hub envoie des messages diffusés à tous les ordinateurs du réseau.
Le reniflage actif consiste à intercepter les paquets transmis sur un réseau utilisant un commutateur.. Il existe deux méthodes principales utilisées pour détecter les réseaux liés aux commutateurs: Empoisonnement ARP, et inondation MAC.
Activité de piratage: renifler le trafic réseau
Dans ce scénario pratique, nous allons utilisé Wireshark pour renifler les paquets de données lorsqu'ils sont transmis via le protocole HTTP. Pour cet exemple, nous allons renifler le réseau en utilisant Wireshark, puis connectez-vous à une application Web qui n'utilise pas de communication sécurisée. Nous nous connecterons à une application Web sur http://www.techpanda.org/
L'adresse de connexion est admin@google.com, et le mot de passe est Password2010.
Remarque: nous nous connecterons à l'application Web à des fins de démonstration uniquement. La technique peut également détecter les paquets de données provenant d'autres ordinateurs qui se trouvent sur le même réseau que celui que vous utilisez pour détecter. Le reniflage ne se limite pas seulement à techpanda.org, mais renifle également tous les paquets de données HTTP et autres protocoles.
Renifler le réseau en utilisant Wireshark
L'illustration ci-dessous vous montre les étapes que vous allez effectuer pour réaliser cet exercice sans confusion
Télécharger Wireshark à partir de ce lien http://www.wireshark.org/download.html
- Ouvert Wireshark
- Vous obtiendrez le suiviwing écran
- Sélectionnez l'interface réseau que vous souhaitez renifler. Notez que pour cette démonstration, nous utilisons une connexion réseau sans fil. Si vous êtes sur un réseau local, vous devez sélectionner l'interface du réseau local.
- Cliquez sur le bouton Démarrer comme indiqué ci-dessus
- Ouvrez votre navigateur Web et saisissez http://www.techpanda.org/
- Le login email is admin@google.com et le mot de passe est Password2010
- Cliquez sur le bouton Soumettre
- Une connexion réussie devrait vous donner la suitewing tableau de bord
- Retour à Wireshark et arrêtez la capture en direct
- Filtrer les résultats du protocole HTTP uniquement en utilisant le texte du filtrebox
- Localisez la colonne Info et recherchez les entrées avec le verbe HTTP POST et cliquez dessus
- Juste en dessous des entrées du journal, se trouve un panneau avec un résumé des données capturées. Recherchez le résumé indiquant Données texte basées sur une ligne: application/x-www-form-urlencoded
- Vous devriez pouvoir afficher les valeurs en texte brut de toutes les variables POST soumises au serveur via le protocole HTTP.
Qu’est-ce qu’une inondation MAC ?
L'inondation MAC est une technique de détection du réseau qui inonde la table MAC du commutateur avec de fausses adresses MAC.. Cela conduit à une surcharge de la mémoire du commutateur et le fait agir comme un hub. Une fois que le commutateur a été compromis, il envoie les messages diffusés à tous les ordinateurs d'un réseau. Cela permet de détecter les paquets de données lors de leur envoi sur le réseau.
Contre-mesures contre les inondations MAC
- Certains commutateurs disposent de la fonction de sécurité des ports. Cette fonctionnalité peut être utilisée pour limiter le nombre de Adresses MAC sur les ports. Il peut également être utilisé pour maintenir une table d'adresses MAC sécurisée en plus de celle fournie par le commutateur.
- Serveurs d'authentification, d'autorisation et de comptabilité peut être utilisé pour filtrer les adresses MAC découvertes.
Contre-mesures de reniflement
- Restriction aux supports physiques du réseau réduit considérablement les chances qu'un renifleur de réseau ait été installé
- Cryptage des messages car ils sont transmis sur le réseau, leur valeur est considérablement réduite car ils sont difficiles à déchiffrer.
- Changer le réseau en Secure Shell (SSH)réseau et réduit également les chances que le réseau soit reniflé.
Résumé
- Le reniflage du réseau consiste à intercepter les paquets lorsqu'ils sont transmis sur le réseau.
- Le reniflage passif est effectué sur un réseau qui utilise un hub. C’est difficile à détecter.
- Le reniflage actif est effectué sur un réseau qui utilise un commutateur. C’est facile à détecter.
- L'inondation MAC fonctionne en inondant la liste d'adresses de la table MAC avec de fausses adresses MAC. Cela fait le passage à operatu aimes un HUB
- Les mesures de sécurité décrites ci-dessus peuvent aider à protéger le réseau contre le reniflage.
