Académique Documents
Professionnel Documents
Culture Documents
et mesures en 29/11/2016
télécommunications
Analyseur de paquets Analyseur de paquets
Usages
Un analyseur de paquets (aussi connu comme un analyseur de réseau, Analyser les problèmes réseau
analyseur de protocole ou renifleur de paquets -ou, pour certains types de
réseaux , un renifleurs Ethernet ou renifleurs sans fil) est un programme Détecter les tentatives d'intrusion réseau (piratage (hacking ))
informatique ( logiciel ) ou un morceau de matériel informatique qui peut lire et
enregistrer le trafic qui passe au- dessus un convertisseur numérique réseau ou Détecter une mauvaise utilisation du réseau par les utilisateurs internes et externes
d'une partie d'un réseau. Comme les flux de données circulent à travers le réseau,
le sniffer capture chaque paquet et, si nécessaire, décode les données brutes Obtenir des informations pour effectuer une intrusion réseau
(base) du paquet, montrant les valeurs des différents champs dans le paquet, et
analyse son contenu selon le lieu RFC (Request for comment) ou d' autres Isoler les systèmes exploités
spécifications. L'analyseur de paquets permet ainsi la résolution de problèmes
réseaux en visualisant ce qui passe à travers l'interface réseau. Surveiller l'utilisation de la bande passante WAN (Wide Area Network) des réseaux
étendus (WAN est un réseau informatique ou un réseau de télécommunications
Types Le renifleur peut être un équipement matériel ou un logiciel : le couvrant une grande zone géographique )
premier est bien plus puissant et efficace que le second, encore Surveiller l'utilisation du réseau (y compris les utilisateurs et les systèmes internes
que, la puissance des machines augmentant sans cesse. Mais le et externes)
premier est surtout beaucoup plus cher que le second.
Surveiller les données en mouvement
Surveiller l'état de la sécurité WAN et de l'extrémité
USTHB 2016/2017 Dr T.Bensouici 82 USTHB 2016/2017 Dr T.Bensouici 83
Analyseur de paquets Analyseur de paquets
Usages Analyseurs de paquets notables
Rassemblez et signalez les statistiques du réseau
Analyseur de paquets Analyseur de paquets
Protocole Ensemble de règles permettant à des entités informatiques de
communiquer (clairement) sans ambiguïté et sans erreur.
La suite TCP/IP est l'ensemble des protocoles utilisés pour le transfert des données sur
Au début des années 1970, lorsque s'est posé le problème de faire communiquer
Internet. Elle est souvent appelée TCP/IP, d'après le nom de ses deux premiers protocoles : 2 machines au travers d'un réseau, ce gros problème a été divisé en plusieurs
TCP (Transmission Control Protocol) et IP (Internet Protocol).
sous-problèmes. Cette normalisation est le modèle OSI (Modèle formel en couches
Le Domain Name System (ou DNS, système de noms de domaine) est un service
permettant de traduire un nom de domaine en informations de plusieurs types qui y sont couvrant tous les aspects de la communication d
d'ordinateurs
ordinateurs en réseau et normalisé par
associées, notamment en adresses IP de la machine portant ce nom.
l'ISO.). Une couche du modèle OSI correspond donc à un sous-problème. Un
L'HyperText Transfer Protocol, plus connu sous l'abréviation HTTP — littéralement protocole « appartient » à une couche s'il résout ce sous-problème. Un protocole
« protocole de transfert hypertexte » — est un protocole de communication client-serveur
développé pour le World Wide Web. correspond donc à un traitement effectué. Ce traitement est implémenté dans
différents composants du réseau. Dans votre machine, où les traitement de
File Transfer Protocol (protocole de transfert de fichier), ou FTP, est un protocole
toutes les couches sont implémentés, vous devez savoir où chacun l'est :
de communication destiné au partage de fichiers sur un réseau TCP/IP. Il permet,
depuis un ordinateur, de copier des fichiers vers un autre ordinateur du réseau, ou
encore de supprimer ou de modifier des fichiers sur cet ordinateur.
USTHB 2016/2017 Dr T.Bensouici 86 USTHB 2016/2017 Dr T.Bensouici 87
1
Capteurs et mesures en 29/11/2016
télécommunications
Analyseur de paquets Analyseur de paquets
Couche Problème Implémenté dans Exemple de protocole
Communication
Le « modèle Internet » est celui qui implémente les protocoles de la famille « TCP/IP »
Application
machine/utilisateur
Logiciel http, ftp, ssh, ... appelée aussi DoD (Department of Defense) :
Transport Faire communiquer 2 machines
OS TCP, UDP
entre elles indépendamment de
ce qui se passe sur le réseau (Operating System) Cette couche fournit simplement le point d'accès au réseau
système d'exploitation
par les applications.
Réseau
Trouver le chemin
OS
entre les 2 machines (la IP ggère les communications de bout en bout entre pprocessus.
suite d'équipements
intermédiaires à ajoute la notion de routage des paquets d'information depuis une
traverser)
Gérer l'accès au
adresse source et en les transférant de proche en proche vers une
Liaison de données Carte réseau
medium (câble, sansfil, Ethernet, WiFi, … adresse destination (c'est par exemple à ce niveau qu'interviennent
fibre, …), comme
accès multiple,
les adresses IP).
correction d'erreur, etc.
Physique Assurer la traduction
Carte réseau Ethernet, WiFi, …
La couche physique + La couche de liaison
bit/ondes
électromagnétiques
Encapsulation
USTHB 2016/2017 Dr T.Bensouici 88 USTHB 2016/2017 Dr T.Bensouici 89
Analyseur de paquets Analyseur de paquets
Tout d’abord une bref vue d’ensemble sur comment les ordinateurs communiquent entre
eux (et internet).
pour comprendre ce que fait Wireshark, il faut en premier lieu comprendre comment
les ordinateurs discutent entre eux sur le réseau et comment ils utilisent ces
informations pour : discuter, se connecter, envoyer des images ... Etc
Wireshark
Analyseur de paquets Analyseur de paquets
Ce que fait Wireshark.
Wireshark (anciennement Ethereal) est un logiciel libre d'analyse de protocole, ou « packet sniffer »,
utilisé dans le dépannage et l'analyse de
Quand vous allez vous connecter à un site internet par exemple, votre navigateur va réseaux informatiques, le développement de protocoles, l'éducation et la rétro-ingénierie, mais aussi le
piratage. Son but est de réaliser des captures de trames dévoilant des failles de sécurité, voir de
envoyer un POST à un serveur sur internet. Wireshark va capturer ce POST et si
localiser des pertes de performances sur le réseau.
vous savez où regarder, vous pourrez trouver des informations très intéressantes
comme desd pseudosd ou des
d passwordsd en plain
l i text. Sauf
S f sii ce dernier
d i est un site i Wireshark est multi-plates-formes, fonctionnant sur pratiquement tous les environnements et
HTTPS, à ce moment, les données seront cryptées. reconnaissant pratiquement tout les protocoles informatique existants.
Pour crypter vos données de navigation, même sur les sites en http, Il fonctionne sous Windows, Mac OS X, Linux, Solaris, ainsi que sous FreeBSD.
Site officiel : http://www.wireshark.org/
je vous conseille :
Documentation :
https://www.eff.org/fr/https-everywhere - NSA is watching you ! http://www.wireshark.org/docs/wsug_html_chunked/index.html
[Source : http://fr.wikipedia.org/wiki/Wireshark]
2
Capteurs et mesures en 29/11/2016
télécommunications
Wireshark Wireshark
Capturer des données avec Wireshark Capturer des données avec Wireshark
Après l’installation Le logiciel (Wireshark) s'ouvre sur cette page de menu , découpé en
quatre zones :
fenêtre d'ouverture de Wireshark
USTHB 2016/2017 Dr T.Bensouici 94 USTHB 2016/2017 Dr T.Bensouici 95
Wireshark Wireshark
Capturer des données avec Wireshark Capturer des données avec Wireshark
Cliquez sur "Capture" dans le menu et ensuite sur "Interface".
Choisissez l'interface à surveiller et lancez la capture en cliquant sur Start.
Désormais vous voyez défiler très rapidement sur votre écran de nombreux paquets.
Wireshark Wireshark
Capturer des données avec Wireshark Capturer des données avec Wireshark
Analyse d'un paquet Analyse d'un paquet
Lorsqu'un paquet est sélectionné, la zone centrale permet de visualiser clairement les
différentes couches d'encapsulation du paquet. Par exemple si l'on sélectionne un paquet
de type UDP , la zone centrale pourrait afficher quelque chose de similaire à ce qui est
présenté Figure 4.
Les 5 entrées présentées correspondent à différentes encapsulations, ordonnées de la
couche la plus basse à la couche la plus haute :
1 D
1. Données sur le média de capture : Wire
é l édi d t Wi = filaire sur Figure 4
fil i Fi 4
2. Trame relative à la couche liaison de donnée : Ethernet II sur Figure 4
3. Paquet relatif à la couche réseau : Internet Protocol sur Figure 4
4. Datagramme relatif à la couche transport : User Datagram Protocol sur Figure 4
5. Données de l'application : regroupe généralement les couches session, présentation, Encapsulation d'un paquet UDP, zone centrale de l'analyseur.
application.
User Datagram Protocol (UDP, en français protocole de datagramme utilisateur)
3
Capteurs et mesures en 29/11/2016
télécommunications
Wireshark Wireshark
Capturer des données avec Wireshark Capturer des données avec Wireshark
Filtrage de paquets Filtrage de paquets
L'intégralité des paquets capturés est listée dans la zone supérieure de l'analyseur. Il L'ensemble des champs utilisables dans l'établissement des règles est listé dans la
estsouvent utile de filtrer les paquets à capturer, afin de pouvoir visualiser fenêtre pop-up accessible en cliquant sur le bouton « expression ».
correctement un certain type de paquets seulement. Wireshark permet de filtrer les Les règles peuvent être élaborées en sélectionnant les champs a partir de cette fenêtre
paquets à capturer en fonction des informations des différentes couches , ou en les écrivant directement dans la zone de filtre.
d'encapsulation. Un ensemble de filtres pré-définis est accessible en cliquant sur le bouton « filter ».
La mise en place d'un filtre s'effectue par le biais d'une règle de filtre à définir dans Cette liste de filtres peut être complétée d'entrées enregistrées..
la zone « filtre » de l'analyseur.
Une règle de filtre est constituée d'un ensemble de tests d'expressions impliquant des
noms de champs et des valeurs. Un paquet n'est alors listé qu'à la condition
qu'ilsatisfasse les conditions du filtre.
Wireshark
Capturer des données avec Wireshark
Quelques filtres
Trafic UDP entre ports 40 et 67 udp && udp.port >= 40 && udp.port <=67