sniffer un reseau: strategie ?

Le
Hugolino
Salut,

J'essaie de filer un petit coup de main aux profs qui s'occupent du
bordel^W réseau dans mon lycée. J'ai donc branché mon portable sur un
switch qui trainait et j'ai lancé wireshark (anciennement ethereal).

On voit bien qu'il y a des machines qui font un peu n'importe quoi
(genre 2100 requêtes ARP (who has tell ) et 300 requetes NBNS en
4 minutes), et ça permettra sans doute de vérifier leur configuration.

Mais quels sont les cas les plus typiques de "bug reseau" ? Sur quels
critères filter les paquets sniffés pour détecter une activité anormale ?

D'ailleurs, utiliser wireshark sur un poste lamdba du réseau est-il le
bon moyen pour repérer les problèmes ? N'y-a-t'il pas plus important à
faire avant de jouer au geek qui écoute à l'oreille des porcs ?
Je jeterais bien un oeil aux logs des serveurs SambaEdu3 et SLIS du
réseau, mais je suis même pas sûr que les admins du réseau ont mieux
qu'un accès via une interface web toute pourrave :/

Merci de vos avis.

--
J'ai appris qu'il était question de mettre la gestion du système
solaire sous Linux, c'est Dieu qui va etre content.
Hugo (né il y a 1 419 434 272 secondes)
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Didier
Le #19135891
Hugolino a écrit :
Salut,

J'essaie de filer un petit coup de main aux profs qui s'occupent du
bordel^W réseau dans mon lycée. J'ai donc branché mon portable sur un
switch qui trainait et j'ai lancé wireshark (anciennement ethereal).

On voit bien qu'il y a des machines qui font un peu n'importe quoi
(genre 2100 requêtes ARP (who has ... tell ...) et 300 requetes NBNS en
4 minutes), et ça permettra sans doute de vérifier leur configuration.

Mais quels sont les cas les plus typiques de "bug reseau" ? Sur quels
critères filter les paquets sniffés pour détecter une activité anormale ?

D'ailleurs, utiliser wireshark sur un poste lamdba du réseau est-il le
bon moyen pour repérer les problèmes ? N'y-a-t'il pas plus important à
faire avant de jouer au geek qui écoute à l'oreille des porcs ?
Je jeterais bien un oeil aux logs des serveurs SambaEdu3 et SLIS du
réseau, mais je suis même pas sûr que les admins du réseau ont mieux
qu'un accès via une interface web toute pourrave :/

Merci de vos avis.



D'abord s'assurer qu'on a bien branché sa machine à sniffer sur un port
du switch qui reçoit la réplication (mirroring) du traffic des autres
ports ?
Didier.
Hugolino
Le #19136141
Le 17-04-2009, Didier
Hugolino a écrit :
> Salut,
>
> J'essaie de filer un petit coup de main aux profs qui s'occupent du
> bordel^W réseau dans mon lycée. J'ai donc branché mon portable sur un
> switch qui trainait et j'ai lancé wireshark (anciennement ethereal).
>
> On voit bien qu'il y a des machines qui font un peu n'importe quoi
> (genre 2100 requêtes ARP (who has ... tell ...) et 300 requetes NBNS en
> 4 minutes), et ça permettra sans doute de vérifier leur configuration.
>
> Mais quels sont les cas les plus typiques de "bug reseau" ? Sur quels
> critères filter les paquets sniffés pour détecter une activité anormale ?
>
> D'ailleurs, utiliser wireshark sur un poste lamdba du réseau est-il le
> bon moyen pour repérer les problèmes ? N'y-a-t'il pas plus important à
> faire avant de jouer au geek qui écoute à l'oreille des porcs ?
> Je jeterais bien un oeil aux logs des serveurs SambaEdu3 et SLIS du
> réseau, mais je suis même pas sûr que les admins du réseau ont mieux
> qu'un accès via une interface web toute pourrave :/
>
> Merci de vos avis.
>
D'abord s'assurer qu'on a bien branché sa machine à sniffer sur un port
du switch qui reçoit la réplication (mirroring) du traffic des autres
ports ?



Est-ce que je dois comprendre qu'il existe des switches qui copie tout
ce qu'il recoivent vers un port particulier ?

Si oui, j'imagine que je dois chercher un switch plus central que celui
que j'utilisais et où seuls trois malheureux PC étaient connectés.

Et s'il m'arrive 1000 ou 10000 fois plus de paquets, ma question
initiale va être encore plus critique: Comment distinguer ce qui est
normal de ce qui ne l'est pas ?

Merci à toi.

--
Deux façons de réaliser une analyse de logiciel existent. L'une consiste à
rendre les choses très simple, de sorte qu'il soit patent qu'elle ne souffre
pas de défauts. L'autre consiste à compliquer au point que nul ne puisse en
trouver.
Eric Masson
Le #19136461
Hugolino
'Lut,

Est-ce que je dois comprendre qu'il existe des switches qui copie tout
ce qu'il recoivent vers un port particulier ?



Vi, en règle générale, les administrables ont ce genre de
fonctionnalité.

Dans le cas contraire, il faut ruser avec les outils idoines comme ce
qui est décrit dans la faq de wireshark :
http://wiki.wireshark.org/CaptureSetup/Ethernet#head-01fcb25734fe557909ac942667af702bb9c09737

Et s'il m'arrive 1000 ou 10000 fois plus de paquets, ma question
initiale va être encore plus critique: Comment distinguer ce qui est
normal de ce qui ne l'est pas ?



Ben ça, c'est justement le boulot à réaliser...

--
RG -Ben, non, en français, pas de points de suspension après un etc.,
c'est une redondance pour dire deux fois la même répétition...
CC -Moi j'aime bien la redondance qui dit 2 fois la même répétition.
-+- RG & CC in GNU : On n'efface rien et on recommence -+-
GuiGui
Le #19136451
Eric Masson a écrit :


Et s'il m'arrive 1000 ou 10000 fois plus de paquets, ma question
initiale va être encore plus critique: Comment distinguer ce qui est
normal de ce qui ne l'est pas ?



Ben ça, c'est justement le boulot à réaliser...




Et de bien filtrer les paquets pour ne voir que les problèmes, avec un
filtre anti-burst pour pas écrouler la machine.
Hugolino
Le #19141841
Le 17-04-2009, Eric Masson
Hugolino
'Lut,

> Est-ce que je dois comprendre qu'il existe des switches qui copie tout
> ce qu'il recoivent vers un port particulier ?

Vi, en règle générale, les administrables ont ce genre de
fonctionnalité.



OK, moi j'ai fait mes premiers tests sur un petit 8 ports à 12 euros,
mais je vais chercher quelque chose de plus sérieux et de plus
central...

Dans le cas contraire, il faut ruser avec les outils idoines comme ce
qui est décrit dans la faq de wireshark :
http://wiki.wireshark.org/CaptureSetup/Ethernet#head-01fcb25734fe557909ac942667af702bb9c09737



Noté.

> Et s'il m'arrive 1000 ou 10000 fois plus de paquets, ma question
> initiale va être encore plus critique: Comment distinguer ce qui est
> normal de ce qui ne l'est pas ?

Ben ça, c'est justement le boulot à réaliser...



C'était l'objet de mon message. Auriez-vous quelques exemples de cas
pour m'aiguiller ? me décrire ce qui doit m'alerter ?

Merci.

--
How do I run Crack under DOS/Win95?


Reformat your hard-drive and install Linux, then try again. CAUTION: this
process may lose data.
Hugo (né il y a 1 419 538 110 secondes)
Hugolino
Le #19141831
Le 17-04-2009, GuiGui
Eric Masson a écrit :
>
>> Et s'il m'arrive 1000 ou 10000 fois plus de paquets, ma question
>> initiale va être encore plus critique: Comment distinguer ce qui
>> est normal de ce qui ne l'est pas ?
>
> Ben ça, c'est justement le boulot à réaliser...

Et de bien filtrer les paquets pour ne voir que les problèmes, avec
un filtre anti-burst pour pas écrouler la machine.



Euh... c'est quoi un "filtre anti-burst" ?


--
C'est l'histoire d'un gars qui veut la machine la plus puissante du
monde sous Windows 95 en émulation sous Wine qui tourne sur une station
FreeBSD avec bibliotheque de compatibilité Linux.
Hugo (né il y a 1 419 538 714 secondes)
Publicité
Poster une réponse
Anonyme