SOMMAIRE

• Chap01: Introduction au «piratage éthique»

• Chap02: Collecte d'informations sur les cibles: reconnaissance, empreinte et ingénierie socialeChap03: Collecte d'informations

• sur le réseau et l'hôte: analyse et énumérationChap04: SystemHacking: Cracking de mot de passe, augmentation des privilèges

• et masquage de fichiers Chap05: chevaux de Troie, portes dérobées, virus et vers

• Chap06: Collecte de données à partir de réseaux: renifleurs

• Chap07: Déni de service et détournement de session

• Chap08: Piratage Web: Google, serveurs Web, vulnérabilités des applications Web et techniques de piratage de mots de passe basées sur le Web

• Chap09: Attaquer les applications Web: injection SQL et débordements de tampon Chap10: Hacking

• de réseau sans fil

• Chap11: Sécurité du site physique Chap12:

• Piratage des systèmes Linux

• Chap13: Piratage des plates-formes mobiles (Android) Chap14:

• Cryptanalyse
ChapitreChapitre Chapitre 6: Collecte de données à partir de réseaux:

66 Renifleurs
OBJECTIFS COUVERTS DANS CE CHAPITRE

Comprendre le protocole susceptible de renifler

Comprendre le reniflement actif et passif

Comprendre l'empoisonnement ARP

Comprendre la capture éthérée et les filtres d'affichage

Comprendre l'inondation MAC

Comprendre les techniques d'usurpation DNS

Décrire les contre-mesures de reniflage

ChapitreChapitre Ga t he ri ng Da taf rom Ne tworks: Sn iffe rs

66 Reniflement
• Un renifleur est un outil de capture de paquets ou de capture d'images. Il

capture et affiche essentiellement les données telles qu'elles sont transmises

d'hôte à hôte sur le réseau.

• En règle générale, un sniffer intercepte le trafic sur le réseau et l'affiche

dans un ligne de commande ou GUI format à afficher par un pirate.

• La plupart des renifleurs affichent à la fois Couche 2 (image) ou couche 3

(paquet) en-têtes et la charge utile des données.

• Certains sophistiqué les renifleurs interprètent les paquets et

peut remonter le flux de paquets dans les données d'origine, comme un e-mail

ou un document
ChapitreChapitre Ga t he ri ng Da taf rom Ne tworks: Sn iffe rs

66 Communication d'hôte à hôte

• Dans les opérations réseau normales, les données de la couche application sont
encapsulées et un en-tête contenant des informations d'adresse est ajouté au début
des données.

• Un en-tête IP contenant les adresses IP source et de destination est ajouté

aux données ainsi qu'un en-tête MAC contenant les adresses MAC source et
destination.

• Les adresses IP sont utilisées pour acheminer le trafic vers le réseau IP approprié, et
les adresses MAC garantissent que les données sont envoyées au bon hôte sur le
réseau IP de destination

"
Dans des opérations réseau normales, un hôte ne doit pas recevoir de données
destinées à un autre hôte car le paquet de données ne doit être reçu que par le
destinataire prévu.
En termes simples, les données ne doivent être reçues que par la station avec l'adresse IP et

MAC correcte. Cependant, nous savons que les renifleurs reçoivent des données qui ne leur

sont pas destinées

"
ChapitreChapitre Ga t he ri ng Da taf rom Ne tworks: Sn iffe rs

66 Format d'en-tête TCP

• Port source: 16 bits Numéro de port source. Port de destination: 16 bits

• Numéro de port de destination. Numéro de séquence: 32 bits Numéro de

• séquence du premier octet de données de ce segment (sauf lorsque SYN

est présent). Si SYN est présent, le numéro de séquence est le numéro de

séquence initial (ISN) et le premier octet de données est ISN + 1.

• Numéro d'accusé de réception: 32 bits Si le bit de contrôle ACK est mis à

1, ce champ contient la valeur du prochain numéro de séquence que

l'expéditeur du segment s'attend à recevoir.

• Décalage des données: 4 bits Le nombre de mots de 32 bits dans l'en-tête TCP.

• ACK: champ de reconnaissance significatif Cela indique où les données commencent. Réservé: 6 bits Réservé pour une

• PSH: fonction de poussée • utilisation future. Doit être zéro. Bits de contrôle: 6 bitsURG: champ du pointeur

• RST: réinitialiser la connexion • urgent significatif

• SYN: synchroniser les numéros de séquence

• FIN: plus de données d'envoi

ChapitreChapitre Ga t he ri ng Da taf rom Ne tworks: Sn iffe rs

66 Comment fonctionne un renifleur

• Le logiciel Sniffer fonctionne en capturant des paquets non destinés à l'adresse MAC du système sniffer mais plutôt à l'adresse

MAC de destination d'une cible. Ceci est connu comme mode promiscuité .

• En mode promiscuité, une carte réseau lit tout le trafic et l'envoie au sniffer pour traitement.
Le mode promiscuité est activé sur une carte réseau avec le installation d'un logiciel pilote
spécial

• Beaucoup du piratage outils pour renifler inclure un pilote en mode promiscuité pour faciliter ce processus

" Tous les protocoles qui ne chiffrent pas les données sont susceptibles de renifler "

POP3
ChapitreChapitre Ga t he ri ng Da taf rom Ne tworks: Sn iffe rs

66 Comment fonctionne un renifleur

Reniflement passif Reniflage actif

implique le lancement d'une attaque par usurpation

implique l'écoute et la capture du trafic, et d'adresse ARP (Address Resolution Protocol) ou par

est utile dans un réseau connecté par des saturation de trafic contre un commutateur afin de

hubs; capturer le trafic. Comme son nom l'indique, le

reniflement actif est détectable mais le reniflage passif

n'est pas détectable

ChapitreChapitre Ga t he ri ng Da taf rom Ne tworks: Sn iffe rs

66 Contournement des limitations des commutateurs: Empoisonnement ARP

• En raison du fonctionnement des commutateurs Ethernet, il est plus difficile de collecter des informations utiles lors de la détection sur un
réseau commuté.

Empoisonnement ARP

Trafic normal
ChapitreChapitre Ga t he ri ng Da taf rom Ne tworks: Sn iffe rs

66 Contournement des limitations des commutateurs: Empoisonnement ARP

• En raison du fonctionnement des commutateurs Ethernet, il est plus difficile de collecter des informations utiles lors de la détection sur un
réseau commuté.

Empoisonnement ARP

Trafic empoisonné
192.168.0.20 est à 192.168.0.120 De: 11:
22: 33: 44: 55: 40
À: 11: 22: 33: 44: 55: 10

Pirate
IP: 192.168.0.40
MAC:
11: 22: 33: 44: 55: 40
ChapitreChapitre Ga t he ri ng Da taf rom Ne tworks: Sn iffe rs

66 1. Installez WireShark: Tools \ Chapter6 \ Wireshark

ExErCiSE 6.1: utilisation Wireshark pour renifler le trafic
2. Cliquez sur le menu Capture puis sélectionnez les interfaces

3. Cliquez sur le bouton Démarrer à côté de l'interface qui affiche les paquets envoyés et reçus. Si vous avez plusieurs interfaces avec une activité de

paquets, choisissez l'une d'entre elles, de préférence l'interface avec le plus d'activité

4. Cliquez sur un paquet pour analyser ce paquet unique. Les en-têtes détaillés seront affichés sous l'écran de capture de paquets.

5. Développez chaque en-tête (IP, TCP) d'un paquet et identifiez les informations d'adresse.
ChapitreChapitre Ga t he ri ng Da taf rom Ne tworks: Sn iffe rs

66 Filtres Wireshark
ChapitreChapitre Ga t he ri ng Da taf rom Ne tworks: Sn iffe rs

66
adresse
ExErCiSE 6.2: Créez un Filtre Wireshark pour capturer uniquement le trafic vers ou depuis une adresse IP
1. Wirehark ouvert

2. Cliquez sur l'interface réseau active pour capturer le trafic Cliquez sur le

3. bouton nouveau pour créer un nouveau filtre. Nommez le nouveau filtre dans

4. le champ du nom du filtre. Saisissez l'adresse IP de l'hôte dans le champ de

5. chaîne de filtre. Cliquez sur OK.

6.

sept. Sélectionnez le menu de capture et cliquez sur Démarrer pour commencer la capture. Répétez les

8. étapes ci-dessus pour créer des filtres à l'aide des chaînes suivantes:

• net 192.168.0.0/24 Pour capturer le trafic vers ou depuis une plage d'adresses IP

• src net 192.168.0.0/24 Pour capturer le trafic d'une plage d'adresses IP

• dst net 192.168.0.0/24 Pour capturer le trafic vers une plage d'adresses IP.

• port 53 Pour capturer uniquement le trafic DNS (port 53)

• hôte www.example.com et non (port 80 ou port 25) Pour capturer le trafic non HTTP et non SMTP sur votre serveur.

• port pas 53 et pas arp tcp Pour capturer tout le trafic sauf ARP et DNS Pour capturer

• portrange 1501-1549 le trafic dans une plage de ports

ChapitreChapitre Ga t he ri ng Da taf rom Ne tworks: Sn iffe rs

66 Prérequis:
ExErCiSE 6.3: MITM avec websploit
- Kali VM

- Windows 7VM

1. # apt-get install websploit

2. # websploit

3. # show modules (copieur réseau / mitm)

4. # use (coller réseau / mitm)

5. # afficher les options

Interface eth0 Oui Nom de l'interface réseau

ROUTEUR 192.168.1.1 Oui Adresse IP du routeur

CIBLE 192.168.1.2

# set interface eth0

# set router "passerelle par deafaut" (pour récupérer executer: route -n)

# set target "@ip du cible" (pour découvrire les voisin netdiscover)

# courir
ChapitreChapitre Ga t he ri ng Da taf rom Ne tworks: Sn iffe rs

66 Prérequis:
ExErCiSE 6.4: MITM avec ettercap-graphique
- Kali VM

- Windows 7VM

1. # apt-get install ettercap-graphical

2. Ouvrez ettercap-graphical à partir du menu Kali

ChapitreChapitre Ga t he ri ng Da taf rom Ne tworks: Sn iffe rs

66 Inondation MAC et usurpation DNS

• Inondation MAC Un pirate informatique peut également inonder un commutateur avec tellement de trafic qu'il cesse de fonctionner comme

un commutateur et redevient plutôt un hub, envoyant tout le trafic vers tous les ports. Cette attaque de reniflage active permet au système

avec le renifleur de capturer tout le trafic sur le réseau

ChapitreChapitre Ga t he ri ng Da taf rom Ne tworks: Sn iffe rs

66 Inondation MAC et usurpation DNS

Pour effectuer une attaque DNS, l'attaquant exploite une faille dans le logiciel du serveur DNS qui peut lui faire accepter des informations incorrectes. Si le

serveur ne valide pas correctement les réponses DNS pour s'assurer qu'elles proviennent d'une source faisant autorité, le serveur finit par mettre en cache les

entrées incorrectes localement et les servir aux utilisateurs qui font des demandes ultérieures
ChapitreChapitre Ga t he ri ng Da taf rom Ne tworks: Sn iffe rs

66 Inondation MAC et usurpation DNS Outils de piratage

• EtherFlood est utilisé pour inonder un commutateur Ethernet de trafic pour le faire revenir à un concentrateur

• Dsniff est une collection d'outils exécutables Unix conçus pour effectuer des audits de réseau ainsi que la pénétration du réseau. Les outils suivants sont

contenus dans dsniff: filesnarf, mail-snarf, msgsnarf, urlsnarf et webspy. Ces outils surveillent passivement un réseau partagé vulnérable (tel qu'un réseau

local où le renifleur se trouve derrière un pare-feu extérieur) à la recherche de données intéressantes (mots de passe, e-mails, fichiers, etc.).

• Sshmitm et webmitm implémentez des attaques actives d'intermédiaire contre les sessions Secure Shell (SSH) et HTTPS redirigées.

• Arpspoof, dnsspoof et macof travailler sur l'interception du trafic réseau commuté qui n'est généralement pas disponible pour un programme sniffer en

raison de la commutation. Pour contourner le problème de commutation de paquets de couche 2, dsniff trompe le réseau en lui faisant croire que c'est une

passerelle que les données doivent traverser pour sortir du réseau.

• Caïn et Abel est un outil de piratage polyvalent pour Windows. Il permet une récupération facile de différents types de mots de passe en reniflant le réseau;

craquer des mots de passe cryptés à l'aide d'attaques par dictionnaire ou par force brute; enregistrement de conversations Voix sur IP ou VoIP; décoder des mots

de passe brouillés; révélant les boîtes de mot de passe; découvrir les mots de passe mis en cache; et analyser les protocoles de routage.
 Ga t he ri ng Da taf rom Ne tworks: Sn iffe rs
ChapitreChapitre

66

Questions de révision du chapitre 6

 Ga t he ri ng Da taf rom Ne tworks: Sn iffe rs

pptêterr
ChapitreCC hhaa

6 66
1. Qu'est-ce que le reniflement?
A. Envoi de données corrompues sur le réseau pour tromper un système
B. Capturer le trafic sur un réseau
C.Correction du cache ARP sur un système cible
D. Effectuer une attaque de piratage de mot de passe

2.Qu'est-ce qu'une contre-mesure au reniflement passif?

A. Implémentation d'un réseau commuté
B. Mise en place d'un réseau partagé
C. Usurpation d'ARP
D. Sécurité basée sur les ports

5. Qu'est-ce que dsniff?

A. Outil d'usurpation d'identité AMAC

B. Un outil d'usurpation d'adresse IP

C. Une collection d'outils de piratage
D. Un renifleur

8. Dans quel mode une carte réseau doit-elle fonctionner pour effectuer le sniffing?
A. Partagé
B. Non chiffré
C. Ouvrir
D. Promiscuous
 Ga t he ri ng Da taf rom Ne tworks: Sn iffe rs

pptêterr
ChapitreCC hhaa
16. Quel est le filtre Wireshark approprié pour capturer le trafic uniquement envoyé depuis l'adresse IP 131.1.4.7?

6 66 A. ip.src == 131.1.4.7
B. adresseip.src == 131.1.4.7
C. ip.source.address == 131.1.4.7
D. src.ip == 131.1.4.7

17. Quel filtre Wireshark capturera uniquement le trafic vers www.google.com ?

A. ip.dst = www.google.com
B. ip.dst eq www.google.com
C. ip.dst == www.google.com
D. http.dst == www.google.com

18. Les mots de passe se trouvent dans quelle couche du modèle OSI?

A. Application
B. IP
C. Liaison de données

D. Physique

20. Caïn et Abel peuvent exécuter laquelle des fonctions suivantes? (Choisissez tout ce qui correspond.)

A. Renifler
B. Génération de paquets
C. Cracking de mot de passe

D. Intoxication par ARP