Meilleurs analyseurs et renifleurs de trafic réseau pour Windows et Linux gratuits

Aujourd'hui, l'utilisation d'Internet devient de plus en plus fréquente et importante pour de nombreuses personnes car grâce à cette connexion, nous pourrons accéder à différentes plates-formes telles que le courrier électronique, les pages d'entreprise, les sites d'intérêt ou de divertissement et en général tout ce qu'offre Internet. nous.

Cependant, il est très important que nous prenions en compte la sécurité du réseau. Nous savons qu'un pourcentage élevé d'attaques sur les équipements informatiques se font via le réseau et c'est souvent de notre faute (mauvais mots de passe, téléchargement de fichiers inconnus, ouverture d'exécutables dans les e-mails) mais si vous n'avez pas les connaissances de base sur le fonctionnement du réseau vous pouvez être (si vous n'avez pas été) une victime de plus de ce type d'attaque.

Internet est vraiment une toile géante de protocoles, de services et d'infrastructures qui permet de transporter la connectivité réseau partout et plus de 90 % d'entre nous ont entendu parler de TCP/IP, HTTP, SMTP, etc.

Ce sont tous des protocoles qui jouent un rôle clé dans la manière dont le réseau atteint votre PC ou appareil, mais derrière il y a des routeurs et d'autres composants qui, s'ils échouent, deux choses se produisent, ou vous vous retrouvez sans accès au réseau. vous êtes susceptible d'être attaqué. C'est pourquoi les développeurs de produits réseau et réseau se sont efforcés de créer des applications que nous connaissons sous le nom de renifleurs et d'analyseurs de réseau et bien qu'elles soient généralement très techniques, la vérité est que c'est un outil précieux pour déterminer à quel point de communication un une erreur peut se produire.

Qu'est-ce qu'un renifleurUn Sniffer ou un analyseur de réseau sont à la fois des utilitaires matériels ou logiciels qui ont été développés dans le but de générer une surveillance constante du trafic réseau local ou externe. Ce suivi est essentiellement chargé d'analyser les flux de paquets de données qui sont envoyés et reçus entre les ordinateurs du réseau, en interne ou en externe.

Il utilise un mode de suivi appelé "mode promiscuité" avec lequel il nous donne la possibilité d'examiner tous les paquets quelle que soit leur destination, cela peut prendre du temps mais il est essentiel de savoir avec certitude ce qui passe par notre réseau.

Nous pouvons configurer un renifleur de deux manières différentes selon les besoins de support, ces modes sont :

• Nous pouvons le configurer sans filtre pour que l'outil capture tous les packages disponibles et en stocke un enregistrement sur le disque dur local afin de les analyser ultérieurement.

• Il peut être configuré avec un filtre spécifique qui nous donne la possibilité de capturer des paquets en fonction des critères que nous spécifions avant la recherche.

Les renifleurs ou les analyseurs de réseau peuvent être utilisés indifféremment dans un réseau LAN ou Wi-Fi. La principale différence est que s'il est utilisé dans un réseau LAN, nous aurons accès aux paquets de tout équipement connecté. Ou vous pouvez établir une limitation basée sur les périphériques réseau, dans le cas de l'utilisation d'un réseau sans fil, l'analyseur de réseau ne pourra balayer qu'un canal à la fois en raison de la limitation du réseau, mais si nous utilisons plusieurs interfaces sans fil, cela peut améliorer un peu mais il est toujours préférable de l'utiliser sur un réseau filaire ou LAN.

Lorsque nous traçons les paquets à l'aide d'un renifleur ou d'un analyseur de réseau, nous pouvons accéder à des détails tels que :

• Informations des sites visités

• Contenu et destinataire des e-mails envoyés et reçus

• Afficher les fichiers téléchargés et bien d'autres détails

L'objectif principal d'un Sniffer est d'analyser tous les paquets sur le réseau, en particulier le trafic entrant, pour rechercher tout objet dont le contenu contient du code malveillant et ainsi augmenter la sécurité de l'organisation en empêchant l'installation de tout type d'appareil sur n'importe quel client. ordinateur. malware.

Connaissant un peu le fonctionnement de l'analyseur de réseau, nous allons connaître certains des meilleurs analyseurs de réseau ou Sniffer disponibles pour Windows et Linux.

Requin filaire

Si à tout moment vous avez essayé de réaliser une analyse de réseau sans aucun doute que vous avez vu ou recommandé WireShark comme l'une des meilleures solutions et qu'il n'est pas déraisonnable d'y penser, la raison est simple, WireShark s'est positionné comme l'un des analyseurs de protocole réseau les plus utilisés par des millions de personnes dans le monde, non seulement grâce à sa facilité d'utilisation, mais aussi à ses fonctionnalités intégrées.

fonctionnalitésParmi ses caractéristiques, nous soulignons les suivantes :

• Il peut être exécuté sans problème sur des systèmes tels que Windows, Linux, macOS, Solaris, FreeBSD, NetBSD, etc.

• Il intègre une puissante analyse pour la VoIP.

• Il peut effectuer une inspection approfondie de plus de 100 protocoles.

• Il peut effectuer une capture en direct et une analyse hors ligne des paquets réseau.

• Il prend en charge les formats de lecture et d'écriture tels que tcpdump (libpcap), Pcap NG, Catapult DCT2000, Cisco Secure IDS iplog, Microsoft Network Monitor, Network General Sniffer® (compressé et non compressé), Sniffer® Pro et NetXray®, Network Instruments Observer, NetScreen snoop, Novell LANalyzer, RADCOM WAN / LAN Analyzer, Shomiti / Finisar Surveyor, Tektronix K12xx, Visual Networks Time Up Visual, WildPackets EtherPeek / TokenPeek / AiroPeek, et plus encore.

• Les données capturées en direct peuvent être lues à partir de plates-formes telles que Ethernet, IEEE 802.11, PPP / HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay, FDDI, ce qui nous offre un large éventail de possibilités d'accès.

• Les données réseau capturées peuvent être explorées à l'aide d'une interface graphique (GUI) ou via TShark en mode TTY.

• Prend en charge le décryptage de plusieurs protocoles tels que IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP et WPA/WPA2

• On peut mettre en place des règles de couleurs pour une meilleure gestion des données obtenues.

• Les résultats peuvent être exportés vers XML, PostScript®, CSV ou texte brut (CSV)

Son téléchargement est disponible sur le lien suivant :

Là, nous pouvons télécharger l'exécutable pour Windows 10 et dans le cas de Linux, nous pouvons télécharger le code source ou exécuter les commandes suivantes dans le terminal :

 sudo apt update sudo apt install wireshark sudo usermod -aG wireshark $ (whoami) sudo reboot

Une fois installé sous Windows 10 ou Linux, au moment de son exécution nous sélectionnerons la carte réseau à analyser puis nous verrons ce qui suit :

Sous Windows 10

Une fois que nous voulons arrêter le processus, cliquez sur Arrêter et nous pouvons voir les résultats respectifs que nous pouvons définir plus en détail à partir des menus disponibles :

LinuxDans le cas de Linux, nous verrons ce qui suit :

EtherApe

Il s'agit d'un utilitaire exclusif pour les systèmes UNIX car il ne peut être exécuté que sur des systèmes d'exploitation tels que :

• Arch Linux

• Magie 6

• CENTOS 7

• Fedora 24, 25, 26, 27, 28 et 29

• ScientifiqueLinux 7

• SLES 12, 12 SP1 et 12 SP3

• OpenSUSE 13.2, Leap 42.1 / 42.2 / 42.3 et Tumbleweed / Factory.

EtherApe a été développé comme une application GTK 3 avec laquelle nous pouvons surveiller et visualiser l'état de l'appareil via une interface graphique, en obtenant des détails sur les protocoles IP et TCP en temps réel, ce qui est utile pour détecter toute anomalie ou erreur.

fonctionnalitésCertaines de ses caractéristiques les plus remarquables sont :

• Le nœud et la couleur du lien mettent en évidence le protocole le plus actif sur le réseau.

• On peut sélectionner le niveau de protocoles à filtrer.

• Le trafic réseau utilisé est représenté de manière graphique pour une meilleure compréhension des détails.

• Prend en charge les protocoles tels que ETH_II, 802.2, 803.3, IP, IPv6, ARP, X25L3, REVARP, ATALK, AARP, IPX, VINES, TRAIN, LOOP, VLAN, ICMP, IGMP, GGP, IPIP, TCP, EGP, PUP, UDP, IDP, TP, ROUTAGE, RSVP, GRE, ESP, AH, EON, VINES, EIGRP, OSPF, ENCAP, PIM, IPCOMP, VRRP;

• Prend en charge les services TCP et UDP, TELNET, FTP, HTTP, POP3, NNTP, NETBIOS, IRC, DOMAIN, SNMP et plus encore.

• Il prend en charge l'utilisation d'un filtre réseau en reprenant la syntaxe de pcap.

• Il permet d'analyser le réseau de bout en bout IP ou port à port TCP.

• Les données peuvent être capturées hors ligne.

• Les données collectées peuvent être lues à partir des interfaces Ethernet, FDDI, PPP, SLIP et WLAN.

• Affiche les statistiques de trafic par nœud.

• Avec EtherApe, la résolution de nom est effectuée à l'aide des fonctions libc standard, cela signifie qu'il prend en charge le DNS, les fichiers hôtes et d'autres services.

• Les résultats peuvent être exportés vers un fichier XML.

Pour installer cet utilitaire sous Linux, nous devons exécuter ce qui suit :

 sudo apt-get mise à jour sudo apt-get installer etherape

Une fois installé, nous accédons à l'utilitaire en exécutant ce qui suit :

 sudo etherape

Cela fera qu'EtherApe sera exécuté à partir du terminal et l'interface graphique de l'application s'affichera automatiquement :

AGRANDIR

Là, nous aurons un menu où il sera possible d'appliquer des filtres ou des règles.

Tcpdump

Il s'agit d'un utilitaire pour les systèmes Linux qui capture à la fois le trafic réseau entrant et sortant et cette application peut être installée sur les systèmes d'exploitation Unix / Linux car elle dispose de la bibliothèque libpcap pour effectuer le processus de capture du trafic à partir du réseau sélectionné.
Pour l'installer, exécutez simplement ce qui suit dans le terminal :

 sudo apt installer tcpdump

ParamètresCertains des paramètres à utiliser sont :

• -A : imprimez chaque paquet (sans inclure l'en-tête de niveau lien) en ASCII.

• -b : imprime le numéro AS dans les paquets BGP en notation ASDOT au lieu de la notation ASPLAIN.

• -B buffer_size, --buffer-size = buffer_size : Permet de définir la taille du buffer de capture en buffer_size, en unités KiB (1024 octets).

• -c count : quitte la commande après avoir reçu des paquets réseau.

• -C file_size : vérifie si le fichier est plus gros que la taille du fichier d'origine.

• -d : vider le code du package compilé sous une forme lisible par l'homme.

• -dd : vide le code du package en tant que fragment de programme C.

• -D --list-interfaces : Affiche la liste des interfaces disponibles.

• -e : imprime l'en-tête au niveau du lien.

• -E : Utilisez spi @ ipaddr pour déchiffrer les paquets ESP IPsec.

• -f : imprime les adresses IPv4.

• -Fichier F : Il permet de sélectionner un fichier filtre.

• -h -help : Affiche l'aide de la commande.

• --version : Affiche la version utilisée de tcpdump.

• -i interface --interface = interface : Permet de sélectionner l'interface à analyser pour la capture de paquets.

• -I --monitor-mode : Active l'interface en « mode moniteur »; qui n'est compatible qu'avec les interfaces Wi-Fi IEEE 802.11 et certains systèmes d'exploitation.

Kismet

Kismet est un utilitaire simple qui est plus axé sur les réseaux sans fil mais grâce auquel nous pouvons analyser le trafic des réseaux cachés ou des SSID qui n'ont pas été envoyés, nous pouvons l'utiliser dans les systèmes UNIX, Windows Under Cygwin et OSX.

Kismet fonctionne entièrement sur les interfaces Wi-Fi, Bluetooth, le matériel SDR (radio définie par logiciel-radio définie par logiciel) et le matériel de capture spécialisé.

fonctionnalitésParmi ses caractéristiques on trouve :

• Vous permet d'exporter les données standard au format JSON pour faciliter la création de scripts pour vos instances Kismet.

• Il intègre une interface utilisateur basée sur le Web.

• Prise en charge du protocole sans fil.

• Il dispose d'un nouveau code de capture à distance optimisé pour la taille binaire et la RAM, ce qui facilite l'utilisation de périphériques intégrés pour capturer les paquets sur le réseau.

• Il a un format d'enregistrement qui peut garantir des informations complexes sur les appareils, l'état du système, les alertes et d'autres paramètres.

Nous pouvons exécuter son installation avec la commande suivante :

 sudo apt installer kismet

Dans le lien suivant, vous trouverez plus d'options pour installer kismet :

Mineur de réseau

Il s'agit d'un utilitaire d'analyse judiciaire du réseau (NFAT - Network Forensic Analysis Tool) basé sur l'open source pour les systèmes Windows, Linux, macOS et FreeBSD. Lorsque nous installons cet outil, nous sommes en mesure d'exécuter une analyse complète du réseau pour capturer tous les paquets et avec eux pour pouvoir détecter les systèmes d'exploitation, les sessions, les noms d'hôte, etc., pour une gestion complète de ces variables.

fonctionnalitésCertaines de ses caractéristiques les plus remarquables sont :

• Nous pouvons analyser les fichiers PCAP pour une analyse hors ligne.

• Il sera possible d'effectuer une analyse avancée du trafic réseau (NTA).

• Exécution en temps réel.

• Prend en charge l'adressage IPv6.

• Il est possible d'extraire des fichiers du trafic FTP, TFTP, HTTP, SMB, SMB2, SMTP, POP3 et IMAP

• Prend en charge SSL, HTTPS, SMTPS, IMAPS, POP3S, FTPS et plus de cryptage

• Désencapsulation GRE, 802.1Q, PPPoE, VXLAN, OpenFlow, SOCKS, MPLS et EoMPLS

Son téléchargement est disponible sur le lien suivant :

Étape 1
Pour une utilisation correcte de NetworkMiner, il faudra d'abord créer une règle entrante dans le pare-feu Windows 10 :

AGRANDIR

Étape 2
Après cela, nous devons exécuter l'utilitaire en tant qu'administrateur pour accéder à l'analyse des ordinateurs sur le réseau et y sélectionner les différentes options :

AGRANDIR

Étape 3
Lors de la sélection d'un hôte, nous pouvons voir les éléments chargés dans les onglets respectifs :

AGRANDIR

Analyseur de messages Microsoft

Comme vous pouvez déjà le soupçonner d'après son nom, il s'agit d'un utilitaire Windows 10 exclusif qui a été développé par Microsoft pour effectuer des tâches telles que la capture, l'affichage et l'analyse du trafic des messages de protocole et d'autres messages du système d'exploitation, en plus de cela lorsque nous utilisons Cet utilitaire peut importer, ajouter ou analyser les données des fichiers journaux et le suivi du réseau.

Certaines de ses fonctions sont

• Capturez des données en direct

• Charger des données à partir de plusieurs sources de données simultanément

• Afficher les données de trace ou de journal

• Diverses options d'affichage et plus

Étape 1
Son téléchargement gratuit est disponible sur le lien suivant :

Étape 2
Une fois exécuté, nous verrons l'environnement suivant (il doit être exécuté en tant qu'administrateur):

AGRANDIR

Étape 3
Là, il sera possible d'établir des règles de couleur, d'ajouter des colonnes, de définir des filtres et autres, lorsque nous sélectionnons l'une des lignes en bas, nous trouvons des détails plus spécifiques à ce sujet :

AGRANDIR

Brise-vent

Windump est la version de Tcpdump pour les environnements Windows puisque Windump est compatible avec Tcpdump et nous pouvons l'installer pour visualiser, diagnostiquer ou si nous voulons économiser le trafic réseau grâce à l'utilisation et la mise en œuvre de règles.

WinDump capture le trafic réseau via la bibliothèque et les pilotes WinPcap, nous devons donc d'abord télécharger gratuitement WinPcap sur le lien suivant :

Ensuite, nous pouvons télécharger Windump sur le lien suivant :

Lors de son exécution, une console d'invite de commande s'ouvrira et nous pourrons y définir l'interface avec le paramètre -i :

 WinDump.exe -i 1

AGRANDIR

Analyseur de réseau Capsa

Il est disponible en version gratuite et en version payante avec plus de fonctionnalités mais les deux nous permettent d'effectuer des tâches d'analyse de réseau en surveillant chaque paquet entrant et sortant ainsi que les protocoles utilisés, cela sera d'une grande utilité pour corriger les erreurs et effectuer un analyse détaillée du réseau.

Dans la version gratuite, il sera possible de :

• Surveillez jusqu'à 10 adresses IP sur le réseau sélectionné.

• Jusqu'à 4 heures de durée par session.

• Nous pouvons recevoir des alertes des adaptateurs réseau.

• Permet d'enregistrer et d'exporter les résultats.

La version gratuite est téléchargeable sur le lien suivant :

Une fois téléchargé et exécuté, ce sera l'environnement proposé par l'utilitaire :

AGRANDIR

Là, nous aurons une représentation graphique du trafic réseau et dans la partie supérieure, nous aurons divers outils pour filtrer et contrôler les paquets réseau.

Netchat

Netcat est une commande intégrée dans les systèmes Windows et Linux grâce à laquelle il sera possible de lire et d'écrire des données en utilisant le protocole TCP / IP dans les différentes connexions réseau, il peut être utilisé indépendamment ou avec d'autres applications pour être utilisé comme utilitaire pour exploration et débogage du réseau local ou externe.
Parmi ses fonctions on trouve :

• Intégré dans le système lui-même

• Capturez les connexions sortantes et entrantes

• Possède des capacités de numérisation de ports intégrées

• Il a des fonctions avancées

• Peut scanner les codes RFC854 et telnet

On peut par exemple exécuter la ligne suivante :

 netcat -z -v solvetic.com 15-30

Cela lira les ports 15 à 30 pour afficher ceux qui sont ouverts et ceux qui ne le sont pas :

La variable -z est utilisée à des fins de numérisation (Zero Mode) et le paramètre -v (verbose) affiche les informations de manière lisible.
Il y a des paramètres supplémentaires que nous pouvons utiliser comme :

• -4 : Affiche les adresses IPv4

• -6 : prend en charge les adresses IPv6

• -b : prend en charge la diffusion

• -D : Activer le mode de débogage

• -h : Affiche l'aide de la commande

• -i Interval : Permet d'appliquer un intervalle de temps entre les lignes

• -l : Activer le mode d'écoute

• -n : Supprime la résolution de nom ou de port

• -r : Optimiser les ports distants

Nous avons vu les différentes options d'analyseurs de réseau et de Sniffer disponibles pour Windows et Linux avec lesquelles nous pouvons augmenter les résultats de nos tâches de support et de contrôle.