Capturez et analysez le trafic réseau avec Wireshark

Requin filaire, un outil d'analyse de réseau en temps réel, capture les paquets et les protocoles en temps réel et les affiche sous forme graphique et répertoriée.
Wireshark est un analyseur de paquets qui circulent sur un réseau, ce logiciel peut être exécuté sous Linux, Windows, OS X, Solaris.
Nous pouvons télécharger le logiciel à partir de la page officielle Wireshark, si nous voulons l'installer sur Linux, il se trouve déjà dans les référentiels.

Étant donné que Windows est installé comme n'importe quel programme, dans ce tutoriel, nous allons installer pour Linux, à partir de la fenêtre du terminal, nous écrirons les commandes suivantes :

 sudo apt-get install wireshark

Si vous souhaitez l'installer sur un serveur et gérer le logiciel sous forme de texte, nous avons la possibilité de l'installer en mode texte et le logiciel s'appelle Tshark. Pour l'installer à partir d'une fenêtre de terminal, nous écrivons les commandes suivantes :

 sudo apt-get installer tshark

Ensuite, nous devrons exécuter Wireshark avec des privilèges d'administrateur car il devra disposer des autorisations pour accéder au réseau et pouvoir surveiller les packages que nous indiquons. Dans notre cas, pour démarrer soit depuis le menu soit depuis le terminal nous utiliserons la commande suivante :

 gksudo wireshark

Cela nous demandera le nom d'utilisateur et le mot de passe pour accéder en mode administrateur ou root.

Lorsque nous commençons, nous pouvons voir une liste d'interfaces qui sont les réseaux disponibles, dans l'exemple nous avons un réseau wifi wlan0 et un ethernet eth0, là nous pouvons sélectionner le réseau ou les interfaces que nous voulons analyser.

Sous la liste des interfaces, nous avons des options de capture ou des options de capture. Les options incluent l'analyse en mode promiscuité et en mode capture, etc.
Dans les options de capture, nous pouvons configurer les protocoles et services à surveiller pour voir quels processus et plates-formes reçoivent et envoient des données au sein du réseau.

Créer un filtre de suivi

Dans la barre Filtres, nous pouvons configurer le type de surveillance que nous voulons effectuer, par exemple, nous sélectionnons eth0 dans la liste des interfaces et appuyez sur Démarrer, une fenêtre s'ouvrira et nous verrons comment le logiciel capture tous les paquets, pour un utilisateur il y en a beaucoup. Le logiciel capture de nombreux protocoles, y compris ceux du système, c'est-à-dire les messages internes des appareils et des systèmes d'exploitation.
Par exemple, nous appuyons sur Filtre puis sélectionnons HTTP, nous filtrons donc le trafic uniquement à partir du protocole http, c'est-à-dire les requêtes de pages Web via le port 80.
Nous ouvrons le navigateur et Google le site Web Solvetic.com, Wireshark nous montrera les données http et tcp qui sont produites pour établir la connexion car nous voyons que les protocoles tcp et http sont utilisés pour la recherche, puis afficheront le Web.

Ici, nous pouvons voir les demandes faites. Dans le filtre http, nous pouvons voir différentes options de protocole telles que les requêtes, les réponses, etc. En appliquant le filtre http.request, il est possible d'obtenir toutes les demandes et réponses reçues avec GET et POST qui sont effectuées dans le navigateur ou dans tous les ordinateurs du réseau, en analysant les demandes, nous pouvons détecter d'éventuelles activités malveillantes.
Ensuite, nous allons analyser les données capturées, lorsque nous cliquons sur chaque élément capturé, nous verrons des informations sur le paquet de données, le champ Frame qui identifie la taille du paquet capturé, le temps qu'il a fallu, quand il a été envoyé et par quel interfaces.
Le champ Ethernet II appartient aux données qui sont générées dans la couche liaison de données si nous voyons le modèle OSI, nous avons ici l'origine et la destination, les IP, les adresses mac et le type de protocole utilisé.
Le champ Internet Protocol va nous montrer le datagramme IP avec les adresses IP, le champ Transmission Control Protocol ou TPC est celui qui complète le protocole de transmission TCP/IP. Ensuite, nous avons les en-têtes HTTP où nous recevons les données rendues de la communication Web.
Nous verrons un exemple où nous configurons pour capturer tous les réseaux et connexions, lors de l'affichage de la liste, nous filtrons et recherchons les connexions pop, c'est-à-dire le courrier entrant.

Nous voyons que les connexions POP sont toutes vers une IP qui est vers un VPS où se trouvent les comptes de messagerie, donc il communique là-bas.
Si nous envoyons des e-mails puis filtrons par protocole smtp, nous verrons tous les messages envoyés depuis le serveur ou chaque ordinateur du réseau avec son IP respective d'où il a été envoyé et où il a été envoyé, nous pouvons toujours utiliser le web http : //www.tcpiputils.com, pour déterminer les données d'une IP spécifique.
Un autre filtre que nous pouvons appliquer est le filtre DNS pour pouvoir voir quels DNS sont consultés qui génèrent du trafic.

Dans ce cas nous avons fait plusieurs recherches et nous pouvons voir les DNS de Google, ceux de Google maps, les polices Google, addons.mozilla et un DNS d'un chat Facebook, nous allons vérifier l'IP.

Nous détectons qu'un ordinateur de notre réseau est connecté au chat Facebook et nous savons exactement à quelle heure il a été connecté.
Ensuite, nous allons garder une trace des requêtes sur un serveur Mysql. Les administrateurs réseau n'ont normalement pas de journal des requêtes effectuées dans une base de données, mais en utilisant Wireshark, vous pouvez suivre toutes les requêtes et enregistrer ce journal et afficher une liste sous forme de journal de requête. Pour filtrer les packages mysql, nous devons utiliser le filtre Mysql ou mysql.query si nous voulons seulement voir les SELECT ou une instruction particulière.
Nous allons essayer de faire quelques requêtes au serveur de base de données local, et en utilisant la base de données de test Sakila qui est gratuite et open source, une base de données que nous avons utilisée dans les combinaisons du tutoriel MySQL avec Inner Join.
Nous effectuons une requête SQL et Wireshark enregistrera chaque requête, l'IP source de la requête, l'IP de destination, la requête sql, l'utilisateur qui s'est connecté.

De plus, si nous voyons l'un des packages, cela nous indique qu'il a été accédé avec un logiciel appelé Heidisql.exe et c'est un programme dangereux ou suspect.
Bien qu'il soit possible de gérer des bases de données distantes avec ce logiciel, ce n'est pas le plus recommandé puisqu'il faudrait autoriser des connexions externes au serveur.

Filtres Requin filaire Ils sont nombreux et couvrent tous les protocoles d'un réseau ainsi que les protocoles de sites Web les plus répandus.
Au fur et à mesure que les paquets sont interceptés, nous pouvons analyser ce qui se passe avec le trafic réseau, il suffit de cliquer sur le paquet que nous voulons analyser pour nous montrer les données.
Si nous appliquons un filtre HTTP sur un paquet POST et cliquons sur le bouton droit sur ledit paquet puis dans le menu déroulant, nous sélectionnons l'option Follow TCP Stream ou Follow TCP Flow, cela signifie voir tout ce qui est produit lors de la création d'un site Web. demande au serveur.
En conséquence, nous obtenons toutes les transactions de code et html qui sont effectuées dans la demande, si l'utilisateur entre un mot de passe pour accéder à un site Web, grâce à cette méthode, nous pouvons voir le mot de passe et l'utilisateur que j'utilise.

Compte tenu du fait que Wireshark surveille un grand nombre de protocoles et de services dans un réseau et tous les paquets qui entrent et sortent, le risque d'une erreur dans le code de l'analyseur pourrait mettre en danger la sécurité du réseau si nous ne savons pas ce qui est se passe avec chaque paquet, il est donc important de savoir interpréter correctement les informations que Wireshark nous donne.Avez-vous aimé et aidé ce tutoriel ?Vous pouvez récompenser l'auteur en appuyant sur ce bouton pour lui donner un point positif