Question sur EtherealFermé

Question

Bonjour tout le monde,je cherche une ou plusieurs personnes s'y connaissant pas mal avec le logiciel Ethereal.Même si vous êtes débutants, on y est tous, vos réponses sont les bien venues !Alors, je cherche à savoir si l'on peut filtrer une ip qui est pas trop loin par rapport au sniffer.je m'explique, le sniffer est sur un switch, lui même relié à un plot qui est relié dans un switch sur lequel se trouve mon routeur que je veux filtrer !Je désire pouvoir filtrer QUE l'adresse de mon routeur !pour cela, j'ai fait :host 192.168.0.1mais rien ne remonte !alors, je me trompe ou ce n'est pas possible !?merci bien pour les réponses.foobar... quand on veut, on peut...

XR38 · Answer

Salut,A priori tu peux sniffer n'importe quelle adresse se trouvant sur le même "brin" que la machine où se trouve ethereal.Mais est ce qu'on peut à travers un switch ???  (je ne crois pas , contrairement à un hub )

foobar47 · Answer

bah c'est ce que je me tue à leur expliquer...on est avec des switchs...tu dis, le même "brin" !donc à priori, on ne peut pas remonter !?y'a t-il un logiciel qui le fait ?foobar... quand on veut, on peut...

XR38 · Answer

J'ai pas bien compris la position du routeur par rapport à ethereal.Mais quoi qu'il en soit, tu peux pas passer à travers le switch ( à confirmer )La solution serait de positionner un snuffer ( soft ou hard ) au niveau du routeur...

sebsauvage · Answer

Effectivement, avec un switch c'est mal barré.Il existe un autre sniffer capable de faire du "ARP poisonning" sur le switch de façon à pouvoir sniffer, c'est ettercap.J'ignore s'il y a un moyen de faire du ARP poisonning avec Ethereal...

foobar47 · Answer

ouep, je suis dessus !merci pour les infos !mais comment ça marche ARP Poising ?foobar... quand on veut, on peut...

foobar47 · Answer

et snort !?il le fait ou pas !?foobar... quand on veut, on peut...

Attyss · Answer

Salutje pense pas que le switch pose un problème, il faut peut être rajouté une route pour atteindre le reseau voulu (192.168.0.0) avec la commande route,Lance ethereal et sniff sur ta carte reseau et en même temps ping ton routeur, si y'a du resultat va dans Statistics --> Conversation list --> Ethernet, à partir de la tu retrouves ta cible que tu mettre en ecoute si c'est ça que tu veux faire.mais avant y faut bien négocier avec la table de routage.@+

foobar47 · Answer

merci !j'ai ajouté dans la table de routage !je teste !merci.foobar... quand on veut, on peut...

foobar47 · Answer

bah ça marche pas fort !il vois bien l'ip de mon poste mais quand un autre poste va sur le net par exemple, bah même en filtrant l'adresse du routeur, il la voit pas !il faut AUSSI que je rajoute l'ip de CHAQUE poste dans la table !?bah j'ai pas fini !!:-|foobar... quand on veut, on peut...

sebsauvage · Answer

Pour le ARP Poisoning:En principe le switch a un cache qui fait la correspondance adresses MAC<-->port du switch.(de façon à n'envoyer les trames que sur les brins concernés).En faisant du ARP Poisoning, on sature le cache du switch avec des données bidons, ce qui fait sortir les "vraies" adresses MAC du cache du switch.A paquet suivant, le switch ne sait plus sur quel port l'envoyer: il le répercute alors sur tous les ports---> on peut alors sniffer le paquet.

Attyss · Answer

C'est bien qu'il voit ton adresse mais il voit aussi celle de ton routeur son @MAC en particulier, ensuite essay avec la list des conversations sur ton reseau de spécifier que tel @MAC doit être sniffer depuis toutes les e/s de ton routeur.Je pense que sa va marche pour ton cas aussi, Vérifie en bas à gauche "Filter" dans l'interface Ethereal, normalement tu doit avoir plusieur choix d'@MAC possible,C'est sur que si ta plusieurs postes sa va générer du trafic et beaucoup de trâme aussi, après y faut affiner d'avantage à ce qu'on recherche vraiment, mais je croi que c'est possible avec Ethereal ou un autre soft plus spécifique (pour les sites internet par exemple)!Je connai pas trop ARP poisoning parcontre dans ton cas il vaut mieux que tu télécharge un manuel sur Etherreal, se soft est assez complex à utiliser quand même, mais c'est un bon soft de technicien reseaux;@+

toph · Answer

Salut foobar,c'est quelle modèle ton switch. Est-il configurable ? Il y en a qui permettent de retransmettre tout le traffic sur un port particulier pour justement faire du monitoring. Mais ils sont plus chers ;-)Dans le travail, l'important... c'est les vacances

foobar47 · Answer

nan, c'est un switch HP 8 port non manageable... ceux qui sont dans le baie le sont mais pas celui-ci !!foobar... quand on veut, on peut...

blocky · Answer

alors tu ne peux pas faire ce ke tu veux. Il faut ou biena) configurer le port Ethereal de ton switch en ecoute pour remonter tout le trafic de l'ensemble du switchb) t'intercaler entre ton switch et ton routeur , avec un hub par exmple.sinon la commande de filtre est OK. bon courage

foobar47 · Answer

merci de me répondre !la réponse b) est celle que j'employe sur un autre site... :-)mais la a), je n'ai pas bien compris ce que tu voulais dire !?foobar... quand on veut, on peut...

blocky · Answer

la reponse a) sur la plupart des switchs  tel que les 3COM, Cisco ou HP tu peux configurer 1 port de ton switch en SPAN pour switch port analyser. Ce port devient ainsi une sorte de replique d'un autre port ce qui te permet d'ecouter comme sur un hub ;)

foobar47 · Answer

Merci bien,je vais voir si je trouve ça dans la configuration de mes ports...foobar... quand on veut, on peut...pas de violence, c'est les vacances... tranquille !

wpicsou · Answer

Je n'ai pas tout lu car c'est trop long mais pour rediriger le flux d'un port d'un switch sur un autre port pour faire du monitoring (sniffer) , une commande existe sur les switchs Cisco :

port monitoring session X

J'espére t'avoir donner une piste.

Bonne continuation

Question sur Ethereal

18 réponses

Newsletters