Académique Documents
Professionnel Documents
Culture Documents
Lien : https://www.varonis.com/fr/blog/comment-utiliser-wireshark#:~:text=Wireshark%20est
%20un%20logiciel%20open,r%C3%A9seau%20et%20m%C3%A9thodes%20de%20chiffrement.
Wireshark est un logiciel open source d’analyse des protocoles réseau créé par Gerald
Combs en 1998. Un groupe international d’experts réseau et de développeurs gère
aujourd’hui cet outil et le met à jour pour assurer sa compatibilité avec les nouvelles
technologies réseau et méthodes de chiffrement. Wireshark ne pose absolument aucun
risque de sécurité. Il est notamment utilisé par des agences gouvernementales, de grandes
entreprises, des organisations à but non lucratif et des établissements pédagogiques pour
résoudre des problèmes réseau et assurer des formations. Il n’y a pas de meilleur moyen
pour apprendre le fonctionnement des réseaux que d’analyser du trafic sous le microscope
de Wireshark. La question de la légalité de Wireshark est souvent posée, car il s’agit d’un
puissant outil de capture de paquets. Pour rester du côté lumineux de la Force, vous ne
devez utiliser Wireshark que sur les réseaux dont vous avez l’autorisation d’inspecter les
paquets. Utiliser Wireshark pour observer des paquets sans autorisation vous ferait basculer
du côté obscur de la Force.
Wireshark est un outil de capture et d’analyse de paquets. Il capture le trafic du réseau local
et stocke les données ainsi obtenues pour permettre leur analyse hors ligne. Wireshark est
capable de capturer le trafic Ethernet, Bluetooth, sans fil (IEEE.802.11), Token Ring, Frame
Relay et plus encore. Remarque : un « paquet » est un message d’un protocole réseau (par
ex., TCP, DNS, etc.). Le trafic du réseau local est basé sur le concept de diffusion, cela
signifie qu’un seul ordinateur disposant de Wireshark peut visualiser le trafic reliant deux
autres ordinateurs. Pour visualiser le trafic émis vers un site externe, vous devez capturer
les paquets sur l’ordinateur local. Wireshark vous permet de filtrer le journal avant le début
de la capture ou pendant l’analyse. Il vous est ainsi possible d’éliminer le bruit pour trouver
exactement ce que vous recherchez dans la trace réseau. Par exemple, vous pouvez définir
un filtre qui n’affiche que le trafic TCP entre deux adresses IP. Vous pouvez également
choisir de n’afficher que les paquets envoyés depuis un ordinateur précis. Si Wireshark est
devenu une référence de l’analyse de paquets, c’est en grande partie grâce à ses filtres.
Sous Windows, Wireshark est disponible en versions 32 bits et 64 bits. Choisissez la version
adaptée à votre système d’exploitation. Au moment de la rédaction de cet article, la version
la plus récente est la 3.0.3. L’installation est très simple et ne devrait pas poser de problème.
Wireshark est disponible pour Mac sous forme d’installation Homebrew. Pour
installer Homebrew, vous devez exécuter la commande suivante dans le
terminal : /usr/bin/ruby -e "$(curl -
fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)”. Une fois le
système Homebrew en place, vous avez accès à différents projets open source pour
Mac. Pour installer Wireshark, exécutez cette fois la commande suivante dans le
terminal : brew install wireshark. Homebrew télécharge et installe alors Wireshark
et toutes les dépendances éventuellement nécessaires.
Lorsque vous ouvrez Wireshark, un écran vous présente la liste de toutes les
connexions réseau que vous pouvez surveiller. Vous disposez également d’un
champ de filtre de capture vous permettant de capturer uniquement le trafic réseau
qui vous
intéresse.
Wireshark propose trois panneaux permettant d’inspecter les données des paquets.
Le panneau du haut, intitulé Packet List, répertorie tous les paquets capturés.
Lorsque vous cliquez sur un paquet, les deux autres panneaux présentent des
informations le concernant. Vous pouvez également voir si le paquet fait partie d’une
conversation. Voici quelques informations sur chacune des colonnes du panneau
supérieur :
No. : numéro du paquet capturé. Le trait vertical indique que ce paquet fait partie
d’une conversation.
Time : cette colonne indique combien de temps après le lancement de la capture le
paquet a été capturé. Vous pouvez changer la nature de cette valeur dans les para-
mètres.
Source : adresse du système qui a émis le paquet.
Destination : adresse de la destination du paquet.
Protocole : type du paquet. Par exemple : TCP, DNS, DHCPv6 ou ARP.
Length : cette colonne indique la longueur du paquet, en octets.
Info : cette colonne présente plus d’informations sur le contenu du paquet et varie se-
lon le type du paquet.
Le panneau central, intitulé Packet Details, présente autant d’informations lisibles sur
le paquet que possible, en fonction du type de paquet. Vous pouvez effectuer un clic
droit et créer des filtres basés sur le texte en surbrillance dans ce champ. Le
panneau inférieur, Packet Bytes, présente le paquet exactement tel qu’il a été
capturé, sous sa forme hexadécimale. Lorsque vous observez un paquet qui fait
partie d’une conversation, vous pouvez effectuer un clic droit dessus et sélectionner
Follow pour afficher uniquement les paquets qui font partie de la conversation.
Filtres Wireshark
Les filtres de capture et les filtres d’affichage comptent parmi les fonctionnalités les
plus utiles de Wireshark. Ils vous permettent d’opter pour le mode d’affichage le plus
efficace pour résoudre vos problèmes. Voici quelques exemples de filtres qui vous
aideront à vous lancer.
Vous pouvez configurer Wireshark de sorte qu’il colorise les paquets de la liste de
paquets en fonction du filtre d’affichage appliqué. Vous pouvez ainsi mettre en
évidence les paquets qui vous intéressent. Vous trouverez plusieurs exemples sur
cette
page.
Par défaut, Wireshark ne capture que les paquets envoyés et reçus par l’ordinateur
sur lequel il est exécuté. En cochant la case Promiscuous Mode dans les paramètres
de capture, vous pouvez capturer la plupart du trafic intervenant sur le réseau local.
Commandes de Wireshark
Indicateurs et statistiques
IP route
Il sait maintenant que l'adresse IP du routeur est 192.168.1.1 pour son interface wlan0 .
nmap 192.168.1.1-255
Après quelques secondes la console lui retourne une liste d'adresse IP, supposons
qu'il souhaite cibler 192.168.1.9 .
À nouveau dans le terminal de commande, une simple ligne, permet d'activer le mode
promisc sur la carte réseau.
Pour empoisonner des caches ARP entre le routeur 192.168.1.1 et l'ordinateur cible à
l'adresse IP 192.168.1.9 et pouvoir sniffer le trafic entre ces deux équipements :
Dans le même ordre d'idée, il est parfaitement possible d'empoisonner les caches ARP
entre le routeur et une plage d'équipement (ce qui ralentit terriblement le trafic réseau)
ici de l'adresse IP 192.168.1.2 jusqu'à 192.168.1.9 .
Vous commencez à faire le rapprochement avec ce qui est expliqué plus haut ? Sans
chiffrement asymétrique entre les deux parties, impossible de définir si la
communication s'établit bien avec le bon terminal ou avec un terminal placé en MITM à
l'aide d'une attaque ARP Spoofing.
www.analyse-innovation-solution.fr A 192.168.1.5
Comment collecter des mots de passes à l'aide d'une attaque MITM et le DNS
spoofing ?
Dans un premier temps on utilisera l'outil de pentest SET créé par David Kennedy
disponible sous Kali pour réaliser un clone du site cible.
setoolkit
Puis pour le basculer en attaque d'ingénierie sociale avec duplication de site avec
collecte des informations d'identifications :
Pour que cette supercherie ne soit pas découverte, le trafic intercepté est transmis au système
initialement visé. Le pirate devient alors l’homme du milieu. Si les paquets de données
interceptés, au lieu d’être transférés, sont supprimés, on parle alors d’une attaque par déni de
service. L’ARP spoofing fonctionne aussi bien dans les environnements LAN que WLAN. Même
le chiffrement d’un réseau sans fil via un accès wifi protégé (WPA), n’offre pas de protection
suffisante. Pour communiquer dans des réseaux IPv4 locaux, tous les appareils connectés
doivent résoudre les adresses MAC, ce qui ne peut se faire que via l’ARP.
Cain&Abel est un logiciel particulièrement connu pour se tapir derrière les demandes de
broadcast et pour envoyer des ARP factices. Mais pour « contaminer » le cache ARP d’un
appareil réseau, un pirate n’a pas forcément besoin d’attendre les demandes d’ARP. Une autre
stratégie consiste en effet à bombarder le réseau de fausses réponses ARP. Si la plupart des
systèmes ignorent les paquets de réponses qui ne sont pas liées à une demande, ceci n’est plus
valable dès qu’un ordinateur dans le LAN envoie une requête ARP, et qu’il est donc dans
l’attente d’une réponse. En fonction de la chronologie, la fausse réponse peut arriver avant celle
du système visé. Ce modèle d’attaque peut être automatisé grâce à des programmes
comme Ettercap.
ARP-Spoofing
ARP0c/WCI : selon le fournisseur, ARP0c/WCI est un outil qui utilise l’ARP spoofing pour
intercepter des connexions dans un réseau privé. Pour ce faire, le logiciel envoie des faux
paquets de réponses ARP, qui redirigent le trafic vers le système exploitant ARP0c/WCI.
Les paquets qui ne sont pas délivrés localement sont transférés par ARP0c/WCI vers le
routeur approprié. Une attaque de l’homme du milieu n’est généralement pas détectée.
Le programme, disponible pour Windows et Linux, peut être téléchargé gratuitement sur
le site du fournisseur.
Arpoison : l’outil de ligne de commande Arpoison génère des paquets ARP définis par
les utilisateurs, dans lesquels ils peuvent définir les adresses de l’expéditeur et du desti-
nataire. Arpoison peut être utilisé pour l’analyse de réseau, mais on s’en sert également
comme d’un programme de cyberattaque. L’outil est disponible gratuitement et opère
sous la licence GNU.
Dsniff : Dsniff est un ensemble de programmes fournissant des outils pour l’analyse de
réseaux et les tests de pénétration : grâce à Dsniff, Filesnarf, Mailsnarf, Msgsnarf, Urls-
narf et Webspy, il est possible d’espionner les réseaux et d’intercepter des données, des
emails ou des mots de passe. Arpspoof, Dnsspoof et Macof permettent de détecter des
données qui ne sont normalement pas accessibles dans les réseaux commutés. Les at-
taques de l’homme du milieu dans les connexions sécurisées SSH et SSL/TLS sont per-
mises grâce à des programmes comme shmitm et Webmitm.
Ettercap : l’outil d’ARP spoofing Ettercap, tourné vers la convivialité utilisateur, est
d’abord utilisé pour des attaques de l’homme du milieu. Le programme est compatible
avec plusieurs distributions Linux ainsi qu’avec Mac OS X (Snow Leopard & Lion). Il est
possible de l’installer aussi sous Windows, mais ceci requiert des réglages supplémen-
taires. En plus de l’interface utilisateur, il existe des interfaces graphiques GTK2-GUI et
des frontends ncurses. Ce programme permet d’automatiser des piratages tels que le
sniffing, les attaques ARP et la collecte de mots de passe. Ettercap permet de manipuler
les données interceptées et d’attaquer des connexions sécurisées via SSH ou SSL. Offi-
ciellement, il est présenté comme un programme de sécurité, et utilisé pour les tests de
produits.
FaceNiff : l’application Android FaceNiff permet aux utilisateurs de lire les sessions de
cookies dans les réseaux WLAN. Les pirates utilisent cet outil pour pirater des comptes
Facebook, Amazon ou Twitter, donc il importe finalement peu que le réseau sans fil soit
ouvert ou chiffré via WEP, WPA-PSK ou WPA2-PSK. Le protocole d’identification EAP
(Extensible Authentication Protocol), comme le SSL, constitue une protection efficace
contre FaceNiff. Le programme est basé sur l’extension Firefox Firesheep, et peut être
utilisé sur smartphone, en combinaison avec les navigateurs préalablement installés.
Netcut : avec le logiciel de gestion de réseau Netcut, les administrateurs peuvent gérer
leur réseau sur la base de l’ARP. L’outil détecte tous les appareils connectés au réseau
et affiche leurs adresses MAC. Un simple clic sur l’une de ces adresses permet de dé-
connecter l’appareil correspondant du réseau. NetCut est particulièrement adapté aux at-
taques DoS, pourvu que le pirate se trouve dans le même réseau que la victime ; il ne
permet en revanche pas de mettre en œuvre des attaques de l’homme du milieu.
De nombreux outils utilisés pour les attaques de l’homme du milieu offrent également la
possibilité de commettre des ARP spoofing, ainsi que d’implémenter des serveurs et clients pour
SSL/TLS, SSH et d’autres protocoles de chiffrement. Ils sont en mesure d’imiter les certificats
nécessaires, et d’établir des connexions chiffrées. Cain&Abel, par exemple, simule un serveur
Web SSL, qui envoie ensuite de faux certificats SSL au système de la victime. Si les utilisateurs
sont souvent mis en garde dans ces cas-là, ces avertissements sont en général ignorés ou mal
interprétés. C’est pourquoi la gestion des certificats numériques devrait être intégrée au sein des
formations au sujet de la sécurité des réseaux.
Contre-mesures
Puisque l’ARP spoofing exploite l’adress resolution protocol, tous les réseaux IPv4 sont sujets à
des attaques de ce type. L’implémentation d’IPv6n’a pas non plus permis de résoudre ce
problème en profondeur. Le nouveau standard IP renonce à l’ARP et contrôle à la place la
résolution d’adresse dans le LAN via NDP (Neighbor Discovery Protocol), qui est également
vulnérable aux attaques de spoofing. La faille de sécurité pourrait être comblée grâce à au
protocole Neighbor Discovery (SEND), mais ce dernier n’est pas compatible avec la plupart des
systèmes d’exploitation de bureau.
L’une des façons de se protéger contre la manipulation des caches ARP réside dans les entrées
ARP statiques, qui peuvent être paramétrées notamment sous Windows, en utilisant le
programme de ligne de commande ARP et la commande arp –s. Mais puisque les entrées de ce
type doivent être faites manuellement, ces méthodes de sécurité sont en général réservées aux
systèmes les plus importants du réseau.
Une autre mesure de sécurité contre l’abus des ARP consiste à diviser les réseaux en 3 couches
commutées. En effet, les demandes de broadcast non contrôlées ne touchent que les systèmes
qui se trouvent dans le même segment de réseau. Les demandes ARP dans les autres segments
sont vérifiées par le commutateur. Si elles fonctionnent dans la couche réseau (la 3e couche),
l’adresse IP correspond à la fois avec l’adresse MAC et avec les entrées précédentes. S’il y a la
moindre différence ou si les réaffectations sont trop fréquentes, l’alarme se met en marche.
Cependant, le matériel requis pour mettre en œuvre cette méthode est relativement cher. Il
revient aux administrateurs d’estimer si le renforcement de la sécurité réseau justifie de telles
dépenses. Par ailleurs, le système à 2 couches commutées, nettement moins favorable, n’est
pas adapté ici. Bien qu’elle enregistre un changement dans l’adresse MAC, l’assignation des IP
respectives reste inchangée.
Nombreux sont les fabricants de logiciels qui proposent des programmes de surveillance des
réseaux, capables de détecter les procédés ARP. Les outils les plus célèbres sont ARP-Guard et
XArp, ainsi que le programme open-source Arpwatch. Par ailleurs, les systèmes de détection
d’intrusion tels que Snort peuvent être utilisés pour surveiller la résolution d’adresse via ARP.
ARP-Guard : produit par ISL, ARP-Guard est également un outil de surveillance des ré-
seaux internes, et repose sur deux détecteurs distincts. Le capteur LAN travaille de façon
similaire à celui d’Arpwatch : il analyse les paquets de données entrants et tire la son-
nette d’alarme s’il remarque des différences. L’architecture du système comprend égale-
ment un détecteur SNMP, qui utilise le protocole Simple Network Management (SNMP)
afin d’accéder aux appareils connectés dans le LAN et de lire leurs tables ARP. De cette
façon, ce ne sont pas seulement les attaques ARP qui sont localisées et neutralisées,
mais le système de gestion intégré des adresses permet aussi aux administrateurs de dé-
tecter les appareils indésirables et de les empêcher d’accéder au réseau.
XArp : le programme XArp, repose à la fois sur des modules actifs et passifs pour proté-
ger le réseau de l’ARP spoofing. Les modules passifs analysent les paquets ARP en-
voyés sur le réseau, et vérifient la correspondance des adresses assignées avec les an-
ciennes entrées. S’ils détectent une différence, l’administrateur en est immédiatement
alerté. Le mécanisme de contrôle est basé sur des analyses statistiques, il vérifie le trafic
du réseau à partir de différents schémas qui, selon les développeurs, indiquent une at-
taque ARP. Il est possible d’ajuster graduellement la sensibilité de ce filtre de trafic. Les
modules actifs du programme envoient leurs propres paquets dans le réseau, de façon à
valider les tables ARP des appareils accessibles, et à les compléter avec des données
valides.
Plus important encore, IDS est surtout utilisé pour faire la transition vers des réseaux externes.
Décider si le LAN importe ou non est donc un choix individuel. Il arrive que le conseil
professionnel s’oppose à de telles mesures. Un administrateur qui surveille le réseau interne a en
effet accès à l’intégralité du réseau, et peut également surveiller les activités de chacun des
employés ; par conséquent, si ce contrôle existe, il est rarement souhaitable.