Jan 9, 2012
10 Min
Facile

Les premiers outils qui ont permis aux administrateurs systèmes d’analyser leurs réseaux et de localiser un problème avec précision « c.-à-d. indiquer exactement où un problème se situe ce sont Les sniffers.

Ces outils sont aussi à la portée de hackers qui en usent également pour surveiller votre réseau et voler tous différents types de données. Cette article définit qu’est ce qu’ un sniffer, explique son utilité, les risques qu’il présente, les services vulnérables au sniffing et enfin, il précise les sniffers les plus prisés.


Le terme sniffer est plus populaire que des autres  termes tels que « analyseur de protocole » et « analyseur de réseau ».

Un sniffer est un programme qui permet de capturer tous les paquets circulant sur un réseau local (LAN) et qui permet d’éditer leurs contenus. Il peut capturer n’importe quelle information envoyée à travers un réseau local, et donc afficher aussi bien l’identité des utilisateurs que leurs mots de passe transmis par tout service transportant des données claires (non cryptées), tels que Telnet, DNS, SMTP, POP3, FTP et HTTP.

Si les données ne sont pas cryptées et si elles passent par l’interface réseau de la machine où s’exécute le sniffer, ce dernier les capture et les propose à la lecture directe.
Si vous êtes parmi les personnes qui cherchent dans  l’histoire d’Internet, vous vous êtes absolument demandé d’où le terminal sniffé venait ?

On  peut tout  d’abord  colorer  le fonctionnement de sniffer réseau comme suite :

un matin vous vous levez avec une toux grasse. Vous allez chez le médecin et vous lui dites que vos voies respiratoires sont obstruées par je ne sais quoi. Son premier réflexe sera de vous ausculter avec son stéthoscope. Et bien voilà le sniffer est à l’administrateur réseaux ce qu’est le stéthoscope au médecin : tout simplement indispensable.

Cependant une utilisation mal intentionnée d’un sniffer réseau peut être Subversif. Pour bien être  clair prenez un sniffer réseau et, par un moyen, vous arrivez à vous connecter sur un réseau d’entreprise : de là vous pouvez rassembler des données confidentielles. ..

 

Qui utilise les Sniffers et pourquoi ?

  •   Les administrateurs de LAN/WAN  utilisent les sniffers pour analyser le trafic du réseau et participer à déterminer où il y a un problème sur le réseau.
  • Un administrateur sécurité pourrait utiliser des sniffers multiples, stratégiquement placés dans tout le réseau, comme système de détection d’intrusion.
  • Les sniffers sont géniaux pour les administrateurs système.
  •  Ils sont aussi l’un des outils les plus communs que les hackers utilisent.

Le cracker  va donc installer un client sniffé sur la machine du réseau B, qui va doucement récupérer et enregistrer toutes les données acheminant et arrivant sur ce réseau. Il détachera le tout à la machine du pirate dans le réseau A. Le réseau B qui en principe était impossible à sniffer est devenu donc très accessible. Le remote sniffing est toujours composé d’un client et d’un serveur, le client étant contrôlé par le serveur. Pour effectuer une telle attaque, il existe l’outil ‘Rpcapd’.

Rpcapd est un démon (programme tournant en tâche de fond) qui capture le trafic sur une machine, il est capable d’envoyer les données rattrapées à un sniffer comme Ethereal qui facilite ainsi la lecture en différenciant les trames et les protocoles. Notons qu’il est utile d’exclure le trafic entre la machine local et la machine distante en utilisant les filtres d’Ethereal.

→Voici un exemple où nous excluons l’hôte 192.168.50.25 :

Voici des exemples qui  montre comment un utilisateur malveillant muni d’un sniffer peut espionner et collecter des informations confidentielles des utilisateurs d’un réseau.

Récupération des login et mots de passe

Dès que la victime se connecte du serveur POP3 « un serveur de messagerie », le pirate récupère grâce au sniffer le login/mot de passe.

Les écrans ci-dessous montrent un exemple démontrant l’obtention du login et du mot de passe d’un utilisateur grâce au logiciel Cain :

La liste de protocoles que Cain peux sniffer avec une connexion FTP :

 Il existe de nombreux points n’ont pas été abordés, comme par exemple:

Les Network Intrusion Détection System (NIDS) basés eux aussi sur le sniff de packet, ou encore les différentes méthodes d’attaque, en espérant que je vous ai donné un clin d’œil sur ce sujet

2 Commentaires

  1. percherie

    Bonjour, concernant l’utilisation d’un sniffer pour déceler et anticiper les problèmes réseau cela m’intéresse grandement. Je travail sur un réseau de 80 postes et certains bâtiments présentent de gros problème réseau que je n’arrive pas à identifier. Auriez vous des informations à ce sujets ?

  2. Philippe

    Dans notre entreprise nous utilisons les solutions Omnipeek et la sonde insight pour sniffer le réseau et réaliser un diagnostic. Les 2 sont disponibles chez Netwalker.