« Précédent | Suivant »

Les outils libres pour l’analyse réseau…

Publié le 22/06/08
par BarbUk

Ethernet a été construit autour d’un principe simple : le partage. Donc en gros, chaque machine branchée sur un réseau est capable de voir tous ce qui se passe sur ce réseau. Cependant les carte ethernet sont munies d’un filtre qui ignore les trames qui ne lui sont pas directement adressées. La plupart des outils réseau utilisent le « Promiscuous mode », ce qui permet de récupérer toutes les trames réseau.

Quelques astuces avant de commencer

grep est un programme trés puissant, qui filtre un flux pour retourner les infos qu’on lui demande. il est souvent utilisé avec le pipeline ou pipe |, qui redirige le flux de sortie d’une commande sur le flux d’entrée d’une autre. Par exemple lspci | grep ATI retournera toute les lignes contenant le mot ATI.

La redirection de flux avec <, >, >>, 2> : Tous les flux affichés dans le terminal peuvent être redirigés vers un fichier simplement grâce au symbole >. lspci > NomFichier écrira un fichier avec les informations sortie par lspci. Pour ne pas écraser le fichier dans le cas ou l’on ferai plusieurs redirection, il faut utiliser >> qui concatenera les données à la suite du fichier. 2> permet de rediriger le flux d’erreur.

less & tail : less permet de visualiser un fichier texte, avec une progression ligne par ligne. Il peut également faire une recherche. Tail à l’opposé de head, affiche les 10 dernières lignes d’un fichier. Il est extremement utile pour visualiser des fichier de logs. A noter l’existence de multitail, qui permet d’afficher plusieurs log dans un même terminal.

L’aide : tous programme sous linux possède une aide. Elle présente généralement les commandes disponibles sans les expliquer, ce qui est plutot le role de man. Accessible simplement en mettant –help, -help ou encore -h en paramètre d’un programme.

Le mot clé man : il permet d’obtenir le manuel d’un logiciel. Pour avoir le manuel de ping par exemple, il suffit de rentrer man ping. Ne pas hésiter à se servir de cette commande !

cowsay : Cowsay est un logiciel très important pour l’analyse d’un réseau, car il permet de dire des trucs vachement bien ! A noter que la commande cowthink permet de faire penser la vache plutôt que de lui faire dire tout haut ce que tout le monde pense tout bas.

Les outils de base pour tester son réseau

Commençons donc avec les petits outils indispensables pour tester son réseau

ifconfig & iwconfig : ifconfig est la commande unix qui permet de configurer ou de récupérer les informations essentiels sur les interfaces réseau de sa machine. L’utilisation est très simple :

/sbin/ifconfig
--> affiche toutes les interfaces réseau de la machine
/sbin/ifconfig interface
--> affiche les infos pour l'interface passée en paramètre

Elle affiche :

• Le nom de l’interface
• le type de liaison
• l’adresse ip
• l’adresse de broadcast
• le masque de réseau
• Le MTU (taille maximal de paquet ethernet)
• le nombre de paquets consommés et envoyés
• les erreurs, les collisions etc…

iwconfig est le penchant wireless de ifconfig. Il permet entre autre d’afficher

• le nom de l’interface
• le type et le mode de liaison

ping : ping est la commande usuelle pour tester la communication entre deux machine. Le programme envoie des requêtes ICMP de type echo et affiche si la machine distante répond et à quelle vitesse. le ttl (time to live) est le nombre de routeur que le message pourra emprunter avant d’être brulé vif sur un bucher.

netstat : Netstat est un outils de statistiques réseau bien connu sous *unix. Plusieurs paramètres sont utiles avec cette fonction.

--> -n : pas de résolution de nom de domaine (juste ip)
--> -r : afficher la table de routage
--> -i : affiche les statistiques de la carte réseau
--> -t -u -w -x : affiche les connections TCP, UDP, RAW, UNIX
--> -a : affiche également les connexions en attente

Vous pourrez donc faire un netstat -utan, pour afficher les connexions TCP & UDP, plus les connexions en attente, tout en ne faisant pas de résolution de nom de domaine.

iftop : Iftop est le ‘top’ de la carte réseau (pour ceux qui ne connaissent pas top, utilisez plutôt htop (hyper top !)). Top est trés utile pour faire un audit de bande passante, car il indique clairement les connexions qui consomment le plus..
--> -p : Promiscuous mode (voir tout le traffic sur le segment réseau)
--> -i : choix de l'interface
--> -n : pas de résolution de nom de domaine.

ettercap : Ettercap est un outils capable de sniffer les réseaux switchés. Il intègre beaucoup de fonctionnalité intéressante :

• L’injection de commande (avec l’attaque Man in the midlle)
• Le sniff de mot de passe sur les protocols TELNET, FTP, POP3, SSH v1, X11, VNC, LDAP, SNMP, NFS, IRC, MySQL..SSL sniffing
• l’identification d’OS, d’ip et d’adresses mac..
• …

Les commandes les plus utiles :

–> -T / -G : démarre l’application en Texte ou en Graphique

wireshark ( ancien ethereal ) : Wireshark est un outils puissant d’analyse réseau. Voici une petite vue de la fenêtre prncipale.

Wireshark doit être lancé en superUtilisateur. Il suffit ensuite de cliquer sur le second icone de la barre de menu ‘Capture Option’. On définit alors l’interface de capture, les eventuels filtres.. Pensez à activer/désactiver la résolution de nom de domaine, si vous voulez les noms de domaines ou les ips.

Cliquez sur start, et voila, la liste des paquets transitant sur le réseau s’affiche sous vos yeux ébahies ! Wireshark est un logiciel excellent, si on sait ce que l’on cherche. Donc après tout ce joue avec les filtres.. Vous soupçonnez une utilisation d’eMule sur un réseau.. Commencez donc par rechercher les ports connus (4662 et 4672 par défaut). Le réseau est lent, regardez qui squatte la bande passante…

Notons que si vous ne pouvez pas blairer les interfaces graphiques, il existe ‘tshark’, un CLI pour wireshark.

cheops : Cheops est défini par ses auteurs comme le couteau suisse du réseau.. Légèrement prétentieux, car cet outil n’est pas aussi puissant que ettercap par exemple, il reste en outre trés pratique. Sur un switch en ‘promiscuous mode’, il permet de générer la structure du réseau, avec des infos sur les machines présentes sur le réseau telles que :

• L’adresse et le nom d’hote
• le système d’exploitation
• les ports ouverts sur la machine
• …

Pour le fonctionnement, il suffit de le lancer en superUtilisateur, et de faire une découverte du réseau..

les outils spécialement pour le wifi

Tous les outils vu auparavant peuvent être utilisés avec une carte wifi au même titre qu’avec une carte filaire. Il existe cependant des outils plus spécialisés pour le wifi..

kismet : kismet est détecteur de réseau wifi / sniffer de paquets / détecteur d’intrusions. Il se lance dans un terminal en superUtilisateur avec la commande ‘kismet’. Il détecte alors les réseaux environnants. Une pression sur la touche h vous indiquera toutes les touches utiles.

la touche c permet d’afficher les clients connectés sur la borne. La touche I affichera les infos sur la borne. Kismet permet de détecter l’utilisation de logiciels comme aircrack ou netstumbler sur le réseau, il permet également de dumper les paquets généré par aireplay.. Notez que kismet n’est pas du tout un logiciel d’attaque, il se contente de regarder et de prendre tout ce qui lui passe sous le nez.

aircrack : Aircrack est une collection d’outils de monitoring wifi permettant tester son réseau et de cracker les clefs WEP / WPA. Il contient les programmes :

• airodump-ng, qui permet de capturer les paquets du réseau visé.
• aireplay-ng, qui permet de générer du traffic sur le réseau cible, pour augmenter le nombre de paquets capturés.
• aircrack-ng, le casseur de clés !
• airdecap-ng, qui permet de décrypté les paquets capturés.

La démarche est simple, airodump permet de capturer les paquets du réseau cible, pendant qu’on génère du traffic avec aireplay. Une fois le nombre de paquets requis capturé, on lance le cassage grace à aircrack. Il faut environ 1 000 000 de paquets pour cracker une clés 128 bits. Dernièrement un nouvel algorithme, nommé aircrack-ptw, est sorti. Il permet de cracker un clef 128 bits avec 50 000 ~ 100 000 paquets. Pour utiliser cet algorithme avec aircrack-ng, il faut employer le paramètre -z.

Il existe également des programmes de cassage automatique, intégré dans les versions devel d’aircrack-ng. Il fout pour cela installer aircrack depuis le dépot subversion. Easside est fonctionnel, wesside est encore au stade de dévellopement.

Pour plus de détail sur la manipulation, je vous laisse consulter ce tuto très complet.

Quelques liens

Le tuto de Nicolargo sur wireshark
Un autre tuto wireshark
Les outils open source de nicolargol
Nmap
Trés intérressant
idem
Secuobs
Liste des ports et utilisation
Un tuto sur kismet
Un tuto super complet sur aircrack

Encore debout ?

Les commentaires et le ping sont désactivés

• Compiler son kernel perso
• Désactiver son touchpad pendant l’utilisation du clavier
• Mettre le cache de firefox et chromium dans la mémoire vive
• Lxde + compiz + conky toujours apparent !
• Le gâteau aux 24 cuillères