| Thread |
cyranno le Mar Sep 04, 2007 7:33
|
|
|
|
Salut tt le monde!
J'ai un projet dont le théme est:"Ecoute de trafic réseau a travers le routeur "
C'est a dire dévéloppement d'un sniffer sans passer par le mode promiscious du carte réseau mais en écoutant tout ce qui se passe dans le routeur.
En ce moment J'ai aucune idée d'entreprendre ce projet;Donc si vous avez quelques idées ou des des cours a me fournir,je vous serez trés reconnaissant!
En faite ce projet est programmé en C.
Rq: On a choisit le mode écoute du routeur parceque tous les trafics entrant et sortant(de l'extérieur et du réseau local) passe par le routeur.  |
|
|
|
 |
|
lmame le Mer Sep 05, 2007 0:52
|
|
|
|
|
Salut et bienvenue sur le forum 
Je sais que pour le Wifi tu peux le faire en forçant ta carte en mode écoute, c'est à dire que normalement (en gros), le routeur envoie du trafic partout et la carte voit si une trame est pour elle ou non, si oui elle la récupère, sinon elle s'en fiche.
En la forçant en mode écoute tu peux donc récupérer les trames de toute le monde (c'est d'ailleurs la base du cracking Wifi, que ce soit Wep ou WPA).
Il faudrait que tu vois si tu peux faire la même chose avec une carte Ethernet "physique" vu que la théorie reste la même et non pas Wifi, sachant que déjà en Wifi c'est chaud car peu de cartes supportent le passage en mode écoute.
Sinon je ne vois pas comment tu pourrais te "logguer" sur le routeur et voir le traffic qui y passe, ou alors peut être via certains firmware bidouillés comme OpenWRT (de mémoire) par exemple pour les Linksys, peut être pourras tu les modifier pour te faire un forward des trames ou faire un simili Ethereal dessus. |
|
|
|
|
|
cyranno le Mer Sep 05, 2007 8:26
|
|
|
|
|
| lmame a écrit: | Salut et bienvenue sur le forum
Je sais que pour le Wifi tu peux le faire en forçant ta carte en mode écoute, c'est à dire que normalement (en gros), le routeur envoie du trafic partout et la carte voit si une trame est pour elle ou non, si oui elle la récupère, sinon elle s'en fiche.
En la forçant en mode écoute tu peux donc récupérer les trames de toute le monde (c'est d'ailleurs la base du cracking Wifi, que ce soit Wep ou WPA).
Il faudrait que tu vois si tu peux faire la même chose avec une carte Ethernet "physique" vu que la théorie reste la même et non pas Wifi, sachant que déjà en Wifi c'est chaud car peu de cartes supportent le passage en mode écoute.
Sinon je ne vois pas comment tu pourrais te "logguer" sur le routeur et voir le traffic qui y passe, ou alors peut être via certains firmware bidouillés comme OpenWRT (de mémoire) par exemple pour les Linksys, peut être pourras tu les modifier pour te faire un forward des trames ou faire un simili Ethereal dessus. |
Merci pour la réponse,
Mais, je pense pas que le mode écoute soit une bonne idée car,Aprés le routeur il y en a un switch donc ,si on se pose en mode écoute(mode promiscuous du carte réseau) on ne pourra pas capturer la totalité des trafics car on ne peut voir que les trafics qui passe par la machine sniffer.
Je pense qu'il ya des moyens pour ecouter un interface réseau distant ou le routeur mais je ne sais pas;
Par exemple il y en a des sniffer qui peuvent employer le mode Remote Monitoring,qui permet de capturer des paquets sur n'importe quel ordinateur en indiquant son adresse IP comme PRTG ou CommView.
Mais les principes de ses sniffers m'est un grand point d'interrogation,
Y a t-il des fonctions en C pour faire cela,ou des configuration a faire?
Je ne sais pas mais ce sujet me facine beaucoup,Si qlq1 pourra m'aider
je lui serai trés reconnaissant;
Vos idées et critiques sont toujous les bienvenues!
|
|
|
|
|
|
lmame le Mer Sep 05, 2007 9:13
|
|
|
|
|
Ouais alors c'est bien ce que je pensais
Pour CommView et son remote, en fait il installe un client sur tous les postes et y accède ensuite pour récupérer les trames sur le poste qui t'intéresse
Pour PRTG en effet c'est possible MAIS sous certaines restrictions:
| Citation: | | For Packet Sniffing: Only data packets passing the local machine’s network card can be analyzed. For cross-network monitoring in switched networks the use of switches with so-called “monitoring ports” is necessary. See the manual for detailed information. |
Il faut donc que ton routeur supporte le "monitoring ports" pour que ça fonctionne.
Si ton routeur l'a (à mon avis c'est plutôt dans le cadre de routeurs / switchs pro) tu dois pouvoir l'interroger je suppose via un socket TCP-IP, après c'est plus une question de protocoles que de langage.
L'animation de PRTG est intéressante car elle montre bien que tu ne peux pas monitorer le traffic d'un switch sans que celui-ci ne t'y donne "accès" ou alors tu monitores le traffic de ton LAN via ta carte réseau (donc cf cas précédent). |
|
|
|
|
|
cyranno le Mer Sep 05, 2007 9:27
|
|
|
|
|
| lmame a écrit: | Ouais alors c'est bien ce que je pensais
Pour CommView et son remote, en fait il installe un client sur tous les postes et y accède ensuite pour récupérer les trames sur le poste qui t'intéresse
Pour PRTG en effet c'est possible MAIS sous certaines restrictions:
| Citation: | | For Packet Sniffing: Only data packets passing the local machine’s network card can be analyzed. For cross-network monitoring in switched networks the use of switches with so-called “monitoring ports” is necessary. See the manual for detailed information. |
Il faut donc que ton routeur supporte le "monitoring ports" pour que ça fonctionne.
Si ton routeur l'a (à mon avis c'est plutôt dans le cadre de routeurs / switchs pro) tu dois pouvoir l'interroger je suppose via un socket TCP-IP, après c'est plus une question de protocoles que de langage.
L'animation de PRTG est intéressante car elle montre bien que tu ne peux pas monitorer le traffic d'un switch sans que celui-ci ne t'y donne "accès" ou alors tu monitores le traffic de ton LAN via ta carte réseau (donc cf cas précédent). |
Est-ce que tu peux m'expliquer un peu sur le "monitoring ports", je ne comprends pas Est-ce que ça veut dire qu'on peut connecter dessus? ,le routeur est un routeur CISCO 1700 et je n' sais s'il supporte ce "monitoring ports".
Et a propos de PRTG, je pense qu'il est incompléte car il interprete surtout par des graphes l'utilisation de la bande passante et des ressources mais pas les paquets(IP source,IP destination,Protocole,Port source,Port destination,..).
Alors j'opte surtout pour CommView
Merci !!
|
|
|
|
|
|
lmame le Mer Sep 05, 2007 10:24
|
|
|
|
|
Le monitoring port est une fonctionnalité d'un switch, en gros le switch te dit ce qui transite par lui, quel trames, protocole etc...
Mais il faut que cette fonctionnalité soit disponible sur le switch.
Apparemment dans ton cas c'est possible, mais vérifie dans la doc ou dans la conf de ton switch, des fois avec Cisco on a des surprises entre les options et les firmware
Pour CommView, il capture ce qui passe par ta carte réseau MAIS en mode "écoute", regarde ici:
http://www.tamos.com/htmlhelp/monitoring/
CommView ne peut capturer le traffic sur un autre ordinateur que le tien que si seulement tu as installé un petit programme (client) sur l'ordinateur distant en question. CommView qui est sur ton PC accède alors à ce client distant (un peu comme VNC au niveau principe d'utilisation) et récupère grâce à ce client les données.
Il ne peut donc pas se connecter à un routeur "comme ça" ou à un autre PC "comme ça" sans aide.
Sinon regarde si ton switch supporte le port mirroring qui consiste à rediriger le traffic entrant / sortant d'un switch vers un des ports (sur lequel bien sûr tu branches un PC spécial):
Image
http://www.tamos.com/htmlhelp/monitoring/portmirroringconfiguration.htm |
|
|
|
|
|
cyranno le Ven Sep 07, 2007 7:01
|
|
|
|
|
| lmame a écrit: | Le monitoring port est une fonctionnalité d'un switch, en gros le switch te dit ce qui transite par lui, quel trames, protocole etc...
Mais il faut que cette fonctionnalité soit disponible sur le switch.
Apparemment dans ton cas c'est possible, mais vérifie dans la doc ou dans la conf de ton switch, des fois avec Cisco on a des surprises entre les options et les firmware
Pour CommView, il capture ce qui passe par ta carte réseau MAIS en mode "écoute", regarde ici:
http://www.tamos.com/htmlhelp/monitoring/
CommView ne peut capturer le traffic sur un autre ordinateur que le tien que si seulement tu as installé un petit programme (client) sur l'ordinateur distant en question. CommView qui est sur ton PC accède alors à ce client distant (un peu comme VNC au niveau principe d'utilisation) et récupère grâce à ce client les données.
Il ne peut donc pas se connecter à un routeur "comme ça" ou à un autre PC "comme ça" sans aide.
Sinon regarde si ton switch supporte le port mirroring qui consiste à rediriger le traffic entrant / sortant d'un switch vers un des ports (sur lequel bien sûr tu branches un PC spécial):
Image
http://www.tamos.com/htmlhelp/monitoring/portmirroringconfiguration.htm |
Salut!! je crois que le mirroring port sera bien la solution a mes problèmes !
Grace a ton aide je commence a voir beaucoup plus clair sur le sujet!
Mais comment on doit proceder pour faire le mirroring port,j' ai déja consulter
le livre de documentation du switch mais il n'y en a pas?
A + et merci |
|
|
|
|
|
lmame le Ven Sep 07, 2007 11:58
|
|
|
|
|
S'il n'y a pas la fonctionnalité, tu ne peux pas l'ajouter à ton switch, en cas demande à un revendeur ou un agrée Cisco pour voir s'il existe l'option
Sinon, egarde la doc Cisco pour le monitoring port et si tu peux récupérer les trames en plus des stats dessus. |
|
|
|
|
|
|
|
Connexion
Se connecter pour lire ses MP
