Analyse trafic réseau [Résolu]

Salut,
allez, il faut recadrer :
mode promiscuous ou pas:
le mode promiscuous permet a une carte réseau de lire tout le traffic qu' elle reçoit, en mode normal, elle ne lira que le traffic qui lui est destiné (à son adresse mac ou broadcast)
mais le mode promiscuous ne sert à rien si l'on est sur un switch en fonctionnement normal : il n' envoie que les broadcast et le traffic à destination des adresses mac connues sur ce port .
le mode promiscuous ne concerne que la carte réseau , en aucun cas le switch et encore moins un hub pour lequel ça n'a aucune signification puisqu'il fonctionne au niveau électrique et ne sélectionne pas les trames en fonction de la destination .
pour qu' un port de switch puisse emettre le traffic destiné à un autre port , il faut le lui préciser par configuration (monitor ou span chez cisco) sinon on ne verra pas grand chose par rapport à un hub qui retransmet tout ce qu'il reçoit .
bien entendu les vlans vont encore plus loin en empêchant toute retransmission d'un trame d'un vlan vers un autre .
il est aussi clair qu'il est totalement impossible d'agir sur le comportement d'un switch à partir d'une interface réseau sans agir sur sa configuration (heureusement) donc pour analyser TOUT le traffic réseau sur un switch, il faut le configurer expréssément dans ce but et sur un seul port bien défini .
bien souvent d'ailleurs, ça consistera à seulement renvoyer les trames émises et reçues sur un port vers un autre port d'observation , donc pas forcément tout le traffic .
sinon, rrdtool n'a pas grand chose a voir avec le réseau, c'est juste une façon de gérer des données .
ce qui est demandé dans la question initiale est typiquement du domaine des sondes réseau , ce travail est souvent réalisé par les switchs manageables (statistiques rmon et rmon2) , si on ne dispose pas de switch capable, on peut installer un PC muni de ntop qui, en mode promiscuous , donc dépendant du switch , permet de mesurer tout le traffic reçu .
hop: http://fr.wikipedia.org/wiki/Ntop

Comme le disait brupala la meilleur piste est ntop ou alors cela depend du switch que tu as, peut-etre dispose t-il de cette option. A toi de regarder ca.

Bonjour
Il te faut un point de passage "obligé" et analyser tout ce qui passe par là ... ou disposer de Hub au lieu de switchs.

Une fois que tu as ça, il faut pouvoir capturer le traffic d'une interface qui n'est pas forcénement celle du PC, mais ce n'est qu'avec des switchs de type entreprise.

Exemple : analyser tout ce qui passer par le routeur en "copiant" l'interface du switch où est le routeur vers le ports où est le PC (avec le mode promiscuous).

Sinon ... pas moyen.

Le probleme avec backtrack c'est qu'on en revient au meme probleme que wireshark, tu vas voir ce qui passe sur ton interface reseau mais pas obligatoirement sur l'ensemble du reseau.

Pour cela comme la indique ianvs il faut qu'il dispose un equipement au niveau d'un point de passage obligatoire de son reseau et qu'il analyse tout a cet endroit.

Deriere ta liaison hertzienne tu as bei un equipement manageable? genre switch ou routeur non?

Facile a mettre en oeuvre sous Windows?

D'un cote on parle d'un equipement reseau qui est un switch avec un mode promiscuous et de l'autre tu parles de Windows, je vois pas ou est le rapport.


Sinon le probleme c'est qu'avec ton Switch tu ne pourras pas recuper tout le traffic, couche 2 oblige. Il te faudrait un hub pour tout recuper.

Plus personne se sent d'attaque??? Parce que c'est comme ça, je vais au dodo!!! En espérant avoir quelques post demain, et si je trouve la solution pendant la nuit, je vous en fait part au réveil!!!

Bye!

Ok alors ca veut dire que si tu viens sur mon reseau et que tu te branches sur le lan tu recupere tout ce qui passes dessus, exit les vlans, les differentes routes sur les routeurs, les switchs..etc?

C'est bien ca que tu es en train de dire?

Je crois que vous avez pas bein saisi comment se comportait un reseau.

Je vous renvois donc ici


PS: c'est sympa pour le conseil pour backtrack mais ca fait bien longtemps que je l'utilise ;)

Tu n'as pas compris dans ce sens que tu confonds reseau segmenté et non segmenté.


Bien sur que sur un reseau domestique qui est la plupart du temps non segmenté tu vas pouvoir tout recupérer ce qui passe.

Par contre, quelle est le but de la segmentation? Desengorger le reseau et l'optimiser.

En clair, si tu veux pouvoir recuperer tout ce qui passe tu dois mettre un hub juste derriere un point de passage de tout ton reseau et te brancher dessus en promiscuous et la en effet tu verras ce qui passe.


PS: oui bien sur qu'on est ici pour apprendre, moi même j'en apprend tout les jours mais faut pas rester borner sur ses positions et accepter d'avoir torts parfois.

C'est pas la peine d'essayer, ouvre juste un bouquin de reseau et lis.

Tu sais si on suit ce que tu dis, tout le traffic reseau passe partout.


Y a rien qui te choque la dedans?

Du tout, les failles viennent a 99% d'erreurs humaines dans la programmation ou la mise en place des differents politiques de securite.

Apres tu auras beau dire ce que tu veux mais 1+1 feront toujours 2 et heureusment d'ailleurs car si nous n'avions pas des bases solides sur lesquelles nous appuyer on pourrait pas avancer.


Sur ce je te laisse faire tes tests, amuse toi bien :)

Les tests sont prévu pour demain dans la journée, si tout roule!!!! Donc, je tiendrai au courant les gens que ça interesse!!!

A demain donc!!!

Et c'est tout aussi valable pour toi.

Mais je prefere arreter la, apres tout libre a toi de croire que le reseau n'a aucune limite et que grace a ton logiciel miracle tu pourras tout voir.


Je te laisse quand meme un dernier lien trouve sur un forum d'une personne qui comme toi pensait avoir compris...

Bon, alors, j'ai installé backtrack ainsi que etherape qui en fait, n'est ni plus ni moins qu'une version graphique d'ethereal (wireshark). Oui, on voit pas mal de chose, mais c'est principalement du traffic de broadcast...
Donc, overflow76, tu étais dans le bon!!! Mon problème n'est toujours pas résolu pour autant!!!!
Mais en fouinant un peu sur le forum, j'ai trouvé un post de brupala parlant de ntop...
J'aimerais donc savoir,si quelqu'un la déja utilisé, et quelles sont ses possibilités??
Merci

Oui c'etait previsible mais parfois on a besoin de se faire ses propres experiences ;)

Comme je te disais Makss le soucis ne vient pas d'un probleme de logiciel mais plutot de l'endroit ou il est utilise.


Pourrais tu nous detailler l'architecture reseau entre tes deux sites?

J'irai voir tout ça demain... Ouai en effet ntop m'a l'air pas mal!!!
Et je vous tiendrai au courant, si ça vous interesse!!
Bonne soirée!

Bon, j'ai mis en place ma machine, en mode promiscuous, sur le switch ou arrive l'antenne, et il semblerai, que ça ne soit pas la bonne solution.... Je chope encore pas mal de broadcast, des données qui arrivent un peu de partout... La m**** quoi!!! Donc, pour étre plus efficace, je pensai : brancher un Hub à la sortie de l'antenne, brancher ce hub sur le switch, et brancher ma machine sur ce hub...

Antenne***Hub******Switch*****
.................*........................*****
.................*........................*****Reste du réseau
.................*........................*****
.................*........................*****
..............Sonde

Un peu comme ça... De cette façon, est ce que je devrai visioner "uniquement" le trafic lié à cette fichue liaison antenne???!!!
Reste encore à trouvé un petit hub, ou je bosse, il on tout mis à la poubelle, et même sur le net, cette bête la ne cours pas les rues!!!

Changé un hub pour un switch ??
Ca serai pas moins ennuyeux de configurer un port de ton switch pour monitorer le traffic ?
Enfin moi je dit ca comme ca.

==>> Et quand le switch est pas manageable??!!!

Forcément ca aide pas :)