Forum Vulnerabilite.com / Projet Sniffer

Cyranno · 2007-09-06 12:27:46

Salut tout le monde!!
J'ai un projet dont le théme est:"Ecoute de trafic réseau"
Ce qu'on voudra écouter c'est l'interface du routeur qui relie le réseau local a l'extérieur.Seul les trafics entrants et sortants qui nous intéresse,mais pas le trafic dans le réseau local.

En ce moment J'ai aucune idée d'entreprendre dans ce projet;Donc si vous avez quelques idées ou des des cours a me fournir,je vous serez trés reconnaissant!
En faite ce projet est programmé en C ,Et il parait que l'utilisation des librairies libnet/libpcap de C permettent de faire cela,mais je n sais pas.

J'ai déja essayé de programmé un sniffer en utilisant le raw_socket et en configurant la machine sniffer en mode promiscuous, mais il ne permet pas de capturer la totalité des trafics par faute de switch.

Je vous remercie pour votre aide que vous pourrai me fournir!!

acz · 2007-09-06 13:29:28

Je ne peux que te conseiller de regarder de prés (et étudier les sources) l'excellent Ettercap (http://ettercap.sourceforge.net/) qui permet de sniffer sur les réseaux switchés.

smaret · 2007-09-07 02:34:21

Bonjour,

Je pense que le plus simple, effectivement, est d'utiliser Pcap ou WinPcap.

http://www.winpcap.org

Sylvain

Cyranno · 2007-09-07 13:18:03

smaret a écrit:
Bonjour,

Je pense que le plus simple, effectivement, est d'utiliser Pcap ou WinPcap.

http://www.winpcap.org

Sylvain

Salut!!

Je pense que le probléme n'est pas encore dans la programmation!!
Ce qui est primordial c'est comment peut-on capturer la totalité des trafics puisque le réseau est switché:
J'ai qlq idée mais je n sais pas si ça marche:
-Port mirroring du switch pour connecter la machine sniffer
-Intérrogation de l'agent SNMP du routeur
Comment pensez-vous de ses idées?
Si vous avez des remarques a faire,des critiques ou des idées poster les svp!
Puisqu'il s'agit d'un projet trés important!!
Merci!!!

phreak0ut · 2007-09-07 22:55:05

libpcap pour sniffer, mais t'es pas obligé, tu peux faire ça à l'ancienne en codant directement avec des raw sockets. -> google
sinon, pour sniffer un réseau switché passe par l'arp spoofing -> google
voila @+

Cyranno · 2007-09-10 13:11:58

phreak0ut a écrit:
libpcap pour sniffer, mais t'es pas obligé, tu peux faire ça à l'ancienne en codant directement avec des raw sockets. -> google
sinon, pour sniffer un réseau switché passe par l'arp spoofing -> google
voila @+

Salut!!
En quoi consiste l'arp spoofing,est-ce que vous pouvez donner qlq explications?
Merci

MichaelK · 2007-09-11 15:05:53

ça peut t'être utile:
http://www.google.com/search?source=ig& … gle+Search

smaret · 2007-09-27 12:00:46

ARP Spoofing:

L'art de détourner du traffic. Je vous recommande ce site. Il y a qq présentations très bien faites.

http://sid.rstack.org/arp-sk/

Sylvain

tev · 2007-09-28 04:08:29

Ca ne me parait pas forcement etre une bonne idee que d'utiliser des fonctions de port mirroring sur les switchs si tu veux vraiment sniffer *tout* le traffic: en effet, les fonctions de mirroring sont souvent moins prioritairtes que les fonctions de switching (meme avec un chipset dedie...) si bien que le switch peut perdre des paquets sous forte charge. De plus, tous les paquets ne sont pas forcement mirrorés (notamment les paquets avec des erreurs de checksul avec certains switchs)

Quant a l'ARP spoofing, c'est tres simple: comme ARP est un protocole sans notion d'authentification ni d'etat de session, il suffit de generer des paquets de type ARP Reply avec sa propre MAC et l'adresse IP d'une default gateway (par exemple); les machines qui recoivent ce type de paqets vont simplement mettre à jour leur cache ARP et s'adresseront à toi chaque fois qu'elle devront communiquer avec la gateway. Il suffit donc d'intercepter les paquets et de les reforwarder ensuite à la veritable gateway (c'est une technique parmi d'autre)...

-tev

somebodyishere · 2007-11-13 20:37:24

Je suis d'accord sur la théorie avec tev, moins dans la pratique, en effet l'arp spoofing est une attaque et non un moyen d'écouter du traffic, l'arp spoofing est même en fait l'un des moyen utilisé pour mettre en place un man-in-the-middle.... une telle attaque serait donc à mon avis inopportune dans un objectif de sniff légitime du réseau...
Qui plus sur des routeur de qualité le port de réplication fonctionne bien, avec certes encore de temps en temps un peu de perte de paquet, mais personnellement je me tournerais vers cette voie, le mécanisme le plus proche à mon sens et le plus propre serait plus simplement d'installer un hub en front du routeur et l'on pourrait alors se livrer à une écoute passive sans aucun problème....

fso · 2008-06-21 03:40:53

bon et puis tout cki est environnement de sniff ya pa mieux qu'un bon boitier TAP en coupure du réseau ... pas de diminution des perfs puiske le traitement est electro/mecanique .... et ca supporte le gbps ..

Routeur ----------------boitier TAP----------- FW
| |
flux entrants flux sortants
SONDE

En place ca marche beaucoup mieux que le port mirroring sur un switch par ex ...

cdlt

#1 2007-09-06 12:27:46

Projet Sniffer

#2 2007-09-06 13:29:28

Re: Projet Sniffer

#3 2007-09-07 02:34:21

Re: Projet Sniffer

#4 2007-09-07 13:18:03

Re: Projet Sniffer

smaret a écrit:

#5 2007-09-07 22:55:05

Re: Projet Sniffer

#6 2007-09-10 13:11:58

Re: Projet Sniffer

phreak0ut a écrit:

#7 2007-09-11 15:05:53

Re: Projet Sniffer

#8 2007-09-27 12:00:46

Re: Projet Sniffer

#9 2007-09-28 04:08:29

Re: Projet Sniffer

#10 2007-11-13 20:37:24

Re: Projet Sniffer

#11 2008-06-21 03:40:53

Re: Projet Sniffer

Pied de page du Forum