Table des matières
Requin filaire, un outil d'analyse de réseau en temps réel, capture les paquets et les protocoles en temps réel et les affiche sous forme graphique et répertoriée.Wireshark est un analyseur de paquets qui circulent sur un réseau, ce logiciel peut être exécuté sous Linux, Windows, OS X, Solaris.
Nous pouvons télécharger le logiciel à partir de la page officielle Wireshark, si nous voulons l'installer sur Linux, il se trouve déjà dans les référentiels.
sudo apt-get install wiresharkSi vous souhaitez l'installer sur un serveur et gérer le logiciel sous forme de texte, nous avons la possibilité de l'installer en mode texte et le logiciel s'appelle Tshark. Pour l'installer à partir d'une fenêtre de terminal, nous écrivons les commandes suivantes :
sudo apt-get installer tsharkEnsuite, nous devrons exécuter Wireshark avec des privilèges d'administrateur car il devra disposer des autorisations pour accéder au réseau et pouvoir surveiller les packages que nous indiquons. Dans notre cas, pour démarrer soit depuis le menu soit depuis le terminal nous utiliserons la commande suivante :
gksudo wiresharkCela nous demandera le nom d'utilisateur et le mot de passe pour accéder en mode administrateur ou root.
Lorsque nous commençons, nous pouvons voir une liste d'interfaces qui sont les réseaux disponibles, dans l'exemple nous avons un réseau wifi wlan0 et un ethernet eth0, là nous pouvons sélectionner le réseau ou les interfaces que nous voulons analyser.
Sous la liste des interfaces, nous avons des options de capture ou des options de capture. Les options incluent l'analyse en mode promiscuité et en mode capture, etc.Dans les options de capture, nous pouvons configurer les protocoles et services à surveiller pour voir quels processus et plates-formes reçoivent et envoient des données au sein du réseau.
Créer un filtre de suivi
Dans la barre Filtres, nous pouvons configurer le type de surveillance que nous voulons effectuer, par exemple, nous sélectionnons eth0 dans la liste des interfaces et appuyez sur Démarrer, une fenêtre s'ouvrira et nous verrons comment le logiciel capture tous les paquets, pour un utilisateur il y en a beaucoup. Le logiciel capture de nombreux protocoles, y compris ceux du système, c'est-à-dire les messages internes des appareils et des systèmes d'exploitation.
Par exemple, nous appuyons sur Filtre puis sélectionnons HTTP, nous filtrons donc le trafic uniquement à partir du protocole http, c'est-à-dire les requêtes de pages Web via le port 80.
Nous ouvrons le navigateur et Google le site Web Solvetic.com, Wireshark nous montrera les données http et tcp qui sont produites pour établir la connexion car nous voyons que les protocoles tcp et http sont utilisés pour la recherche, puis afficheront le Web.
Ensuite, nous allons analyser les données capturées, lorsque nous cliquons sur chaque élément capturé, nous verrons des informations sur le paquet de données, le champ Frame qui identifie la taille du paquet capturé, le temps qu'il a fallu, quand il a été envoyé et par quel interfaces.
Le champ Ethernet II appartient aux données qui sont générées dans la couche liaison de données si nous voyons le modèle OSI, nous avons ici l'origine et la destination, les IP, les adresses mac et le type de protocole utilisé.
Le champ Internet Protocol va nous montrer le datagramme IP avec les adresses IP, le champ Transmission Control Protocol ou TPC est celui qui complète le protocole de transmission TCP/IP. Ensuite, nous avons les en-têtes HTTP où nous recevons les données rendues de la communication Web.
Nous verrons un exemple où nous configurons pour capturer tous les réseaux et connexions, lors de l'affichage de la liste, nous filtrons et recherchons les connexions pop, c'est-à-dire le courrier entrant.
Si nous envoyons des e-mails puis filtrons par protocole smtp, nous verrons tous les messages envoyés depuis le serveur ou chaque ordinateur du réseau avec son IP respective d'où il a été envoyé et où il a été envoyé, nous pouvons toujours utiliser le web http : //www.tcpiputils.com, pour déterminer les données d'une IP spécifique.
Un autre filtre que nous pouvons appliquer est le filtre DNS pour pouvoir voir quels DNS sont consultés qui génèrent du trafic.
Ensuite, nous allons garder une trace des requêtes sur un serveur Mysql. Les administrateurs réseau n'ont normalement pas de journal des requêtes effectuées dans une base de données, mais en utilisant Wireshark, vous pouvez suivre toutes les requêtes et enregistrer ce journal et afficher une liste sous forme de journal de requête. Pour filtrer les packages mysql, nous devons utiliser le filtre Mysql ou mysql.query si nous voulons seulement voir les SELECT ou une instruction particulière.
Nous allons essayer de faire quelques requêtes au serveur de base de données local, et en utilisant la base de données de test Sakila qui est gratuite et open source, une base de données que nous avons utilisée dans les combinaisons du tutoriel MySQL avec Inner Join.
Nous effectuons une requête SQL et Wireshark enregistrera chaque requête, l'IP source de la requête, l'IP de destination, la requête sql, l'utilisateur qui s'est connecté.
Bien qu'il soit possible de gérer des bases de données distantes avec ce logiciel, ce n'est pas le plus recommandé puisqu'il faudrait autoriser des connexions externes au serveur.
Au fur et à mesure que les paquets sont interceptés, nous pouvons analyser ce qui se passe avec le trafic réseau, il suffit de cliquer sur le paquet que nous voulons analyser pour nous montrer les données.
Si nous appliquons un filtre HTTP sur un paquet POST et cliquons sur le bouton droit sur ledit paquet puis dans le menu déroulant, nous sélectionnons l'option Follow TCP Stream ou Follow TCP Flow, cela signifie voir tout ce qui est produit lors de la création d'un site Web. demande au serveur.
En conséquence, nous obtenons toutes les transactions de code et html qui sont effectuées dans la demande, si l'utilisateur entre un mot de passe pour accéder à un site Web, grâce à cette méthode, nous pouvons voir le mot de passe et l'utilisateur que j'utilise.
