Capturez et analysez le trafic réseau avec Netsniff

Présentation et installation de Netsniff

UNE renifleur est un outil qui est utilisé pour capturer les paquets de trafic d'un réseau et analyser les paquets en direct pendant l'utilisation d'un ou plusieurs réseaux, il les décode selon les spécifications du protocole qui peut être TCP, ICMP ou autre. Le logiciel Netsniff-ng est un ensemble d'outils, il est gratuit et fonctionne sous Linux.

Ses performances sont très élevées puisqu'il opère depuis la ligne de commande, de sorte que la réception et la transmission des paquets s'effectuent directement dans la mémoire de l'ordinateur ou du serveur. Netsniff-ng a été créé en tant que renifleur de réseau à intégrer dans le noyau Linux pour les packages réseau.

Netsniff-ng, capturez tout le trafic en temps réel et génère des fichiers au format pcap qui peuvent ensuite être analysés avec le logiciel Wireshark. L'outil netsniff-ng est disponible pour toutes les distributions de système d'exploitation telles que Linux Ubuntu, Debian, Fedora et leurs dérivés. Nous pouvons également le trouver dans des distributions spécifiques pour les tâches médico-légales.

Nous supposerons une distribution Ubutnu à tester dans ce tutoriel et nous verrons deux manières d'installation, l'une à partir des référentiels :

 sudo apt-get install netsniff-ng

L'autre méthode d'installation est de télécharger l'application depuis le site officiel http://pub.netsniff-… rg/netsniff-ng/ et de décompresser puis d'accéder au dossier et d'exécuter les commandes suivantes :

 sh ./configure make sudo make install
Ensuite, nous verrons comment capturer le trafic, pour cela nous devons attribuer l'interface réseau que nous voulons analyser, par exemple eth0 pour une connexion par câble wlan0 pour le wifi, nous utiliserons donc les commandes suivantes :
 sudo netsniff-ng -i eth0 --out /home/myuser/capture-eth0.pcap 

Nous utilisons --out pour enregistrer toutes les captures dans un fichier pcap que nous pouvons ensuite ouvrir avec Wireshark. Allons au menu Fichier> Ouvrir et nous importons le fichier pcap que nous avons généré.

Ensuite, nous pouvons commencer à analyser, par exemple, nous allons rechercher le trafic généré vers la page Solvetic.

Nous pouvons voir que depuis l'interface réseau eth0, il parcourait http, dans la page des didacticiels Solvetic, on peut également voir que cela a été fait à partir de Chrome et quelle est l'adresse IP à partir de laquelle il a été parcouru.

L'outil permet la capture de paquets à partir d'un appareil connecté à un réseau et de créer des fichiers avec tout PCAP, ce fichier avec captures peut également être utilisé pour capturer un seul protocole qui nous intéresse, par exemple TCP, c'est-à-dire que nous ne capturons que le trafic qui entre par l'interface eth0 et l'envoie dans un fichier.

 netsniff-ng -in eth0 -out traps-tcp-eth0.pcap -s tcp 

Nous pouvons voir que dans ce cas, nous capturons tous les paquets qui utilisent les protocoles TCP et HTTP qui sont transférés via l'interface réseau eth0. En utilisant le paramètre, nous indiquons que le trafic capturé sera enregistré dans le fichier pcap, nous pourrions également indiquer une autre interface réseau pour rediriger le trafic d'un réseau vers un autre.

PrécédentPage 1 sur 3Prochain

wave wave wave wave wave