Pc d'interception de paquets du LAN pour analyse

Pc d'interception de paquets du LAN pour analyse - Réseaux - Systèmes & Réseaux Pro

Marsh Posté le 25-06-2008 à 07:49:56    

Bonjour à tous,
 
Je vous expose mon "problème" :
 
Dans un parc hétérogène (Mac (10.3/10.4/10.5)+ Pc (98!/XP/Vista) + Serveur (2000/2003)) composé de 3 sites distants (relié par la solution bilan de belgacom) j'ai besoin d'analyser ce qui sort.  
 
Autrement dit ce que font les utilisateurs afin de déterminer qui/quoi sature le réseau.
 
Voici une idée du site 1 :
 
http://www.agueraton.net/screens/Drawing1.png
 
Que puis-je faire ?  
 
1) Mettre un pc sous XP avec deux cartes réseaux et avec une mise à 1 de la clé IpEnableRouter. Modifier routeur donné par le DHCP en donnant l'adresse d'une des deux cartes ?
 
2) Qu'installer ensuite de vraiment "user friendly" sur ce pc afin de contrôler ce qu'il se passe ?
 
3) Qu'en sera-t-il des sites distants ? Tout ceci sera transparent pour eux ?

Reply

Marsh Posté le 25-06-2008 à 07:49:56   

Reply

Marsh Posté le 25-06-2008 à 08:16:00    

si tes switchs peuvent faire du port mirroring tu mirror sur ton switch 2 les ports sur une machine qui fait tourner wireshark. Tu auras le traffic venant/partant sur ta gateway et le traffic des machines du switch (tu n'auras donc pas le traffics des machines qui parlent uniquement sur le switch 1)

Reply

Marsh Posté le 25-06-2008 à 08:17:23    

Malheureusement mes switchs ne sont pas manageables ...

Reply

Marsh Posté le 25-06-2008 à 08:18:10    

si tu as un hub tu peux le mettre entre la gateway et le switch alors

Reply

Marsh Posté le 25-06-2008 à 08:28:36    

Pourquoi un hub ? Que me permettra-t-il de faire ?
 
Ma solution de pc est-elle mauvaise ?
 
Le hub ne va pas me poser des problèmes supplémentaires ?

Reply

Marsh Posté le 25-06-2008 à 08:33:23    

Ok, avec le hub, si je relie un pc sur celui-ci il recevra tous les paquets entrant/sortant c'est ça ?
 
Et ceci sans rien devoir modifier au niveau logique de ma config réseau, c'est bien ça ?

Reply

Marsh Posté le 25-06-2008 à 09:27:54    

Exactement, un hub 'recopie' les paquets recu sur tous les ports.
Donc tu intercalle un hub entre la gateway et ton switch2, tu met ton PC d'analyse sur un deuxieme port du hub et tu auras tous les paquets.  
C'est un crados, tu as une perte potentielle de performances (suivant le debit de ta ligne et les perfs du hub) mais ca marche, du moins pour le traffic entrant/sortant.


Message édité par M4vrick le 25-06-2008 à 09:28:16

---------------
--== M4vr|ck ==--
Reply

Marsh Posté le 25-06-2008 à 09:40:45    

ethereal / ntop pour l'outil.
arp spoofing pour le procédé

Reply

Marsh Posté le 25-06-2008 à 10:09:00    

trictrac a écrit :

ethereal / ntop pour l'outil.
arp spoofing pour le procédé


 
C'est peu convivial ça :(
 
Il n'existe pas un logiciel avec reporting par ip de la qté de paquets selon protocoles utilisés, etc...?

Reply

Marsh Posté le 25-06-2008 à 10:31:03    

Avec Ethereal tu peux filtrer et classer les resultats.


---------------
--== M4vr|ck ==--
Reply

Marsh Posté le 25-06-2008 à 10:31:03   

Reply

Marsh Posté le 25-06-2008 à 10:39:57    

trictrac a écrit :

ethereal / ntop pour l'outil.
arp spoofing pour le procédé


 
 
ah ouais, pas pensé à ça mais peut être plus élégant

Reply

Marsh Posté le 25-06-2008 à 12:01:52    

M4vrick a écrit :

Avec Ethereal tu peux filtrer et classer les resultats.


 
Du ARP Spoofing sur l'ensemble des machines du réseau ?

Reply

Marsh Posté le 25-06-2008 à 12:41:23    

Est-ce vraiment si élégant... De plus, du ARP spoofing sur l'ensemble du réseau risque de le ralentir de manière assez drastique, non ?

Reply

Marsh Posté le 25-06-2008 à 16:36:55    

Ok, j'ai mis en place sur un serveur linux ettercap pour faire du arp spoofing sur la gateway et ntop pour l'analyse des trames.

Reply

Marsh Posté le 26-06-2008 à 11:58:50    

Urgent please !
 
Depuis que j'ai mis en place cette solution, aujourd'hui (et hier dans la nuit) il est devenu impossible d'atteindre la Gateway en ip LAN !  
 
La gateway a bien une ip wan, mais du coup personne ne sait plus envoyer de mail/internet ni se connecter depuis l'extérieur !
 
Une idée ?
 
Remettre à jour les tables ARP ?
 
Que faire ?

Reply

Marsh Posté le 26-06-2008 à 12:37:58    

Retirer l'arp spoofing dans un premier temps, c'est surement lui qui pose probleme.


---------------
--== M4vr|ck ==--
Reply

Marsh Posté le 26-06-2008 à 13:35:15    

Bon j'ai désinstallé etetrcap et ntop.
 
J'ai rebooté la gw.
 
Ca fonctionne pour le moment.
 
Donc c'est bien ce qu'il me semblait, ARP Spoofing= mauvaise idée. Je vais acheter un hub, je pense...

Reply

Marsh Posté le 26-06-2008 à 13:59:56    

C'est de nouveau KO !  
 
Je n'ai rien fait de particulier, les logiciels (concernant l'arp spoofing) sont supprimés...
 
Une idée ?
 
(Même en mettant dans la table arp la route en static vers la gateway (avec l'adresse mac) c'est ko...


Message édité par cohenpi le 26-06-2008 à 14:02:06
Reply

Marsh Posté le 26-06-2008 à 15:09:29    

tu as egalement rebooté tes switchs?


---------------
--== M4vr|ck ==--
Reply

Marsh Posté le 26-06-2008 à 15:22:03    

Ouaip.
 
Maintenant, en contactant Belgacom ceux-ci me disent qu'il y a énormément de broadcast qui arrive sur le routeur...
 
Comment pourrais-je savoir d'où cette horreur vient ????...

Reply

Marsh Posté le 26-06-2008 à 17:49:42    

Une boucle sur le LAN ?


---------------
Zostere
Reply

Marsh Posté le 26-06-2008 à 19:06:26    

Je veux bien le croire mais comment la repérer lorsque :
 
On a pas de switch manageable
 
Comment voir le traffic (proprement) lorsque :  
 
On n'a pas de boitier utm ni de hub
 
Je deviens fou, le réseau est encore tombé au niveau de la gateway, c'est insupportable. On me demande de faire le travail de mc gyver...
 
Dans un réseau de +- 70 postes composés de 3 sites distants et de pc/mac.
 
Des idées pour me simplifier la vie et/ou repérer les problèmes logiques/physiques sans moyen financier ?

Reply

Marsh Posté le 26-06-2008 à 22:19:52    

Pour voir le niveau de broadcast, Ethereal suffit largement (logiquement les switch diffusent le broadcast sur tous leurs ports).
Donc tu regardes le débit auquel tu reçois le broadcast (normalement très faible).
Si le niveau est vraiment élevé (proche du débit max du port) alors il est probable que tu ais une boucle sur le réseau.
Dans ce cas, les LED d'activités des ports du switch doivent être atteintes de frénésie.
Pour résoudre ce problème, le plus simple est de partir du switch tête de réseau et de débrancher progressivement les ports un à un, jusqu'à retrouver un fonctionnement normal.


Message édité par Zostere le 26-06-2008 à 22:21:44

---------------
Zostere
Reply

Marsh Posté le 27-06-2008 à 10:59:22    

impossible pour toi de faire passer un petit switch manageable dans le budget ?? ca te simplifierais un peu la vie deja et certains coûte vraiment pas cher!
 
Sinon concernant ntop j'ai eu un problème en l'utilisant. Mauvaise interprétation de certains service (certains clients étaient considérés comme DNS, serveur ntp, etc...), les flag concernant les niveaux de risques n'étaient pas très bien gérés (c'est simple j'en avais sur presque tout mes clients :s)  et je trouvais certaines données sur le trafic "bizarre".
 
personnellement j'utilise un port mirroir avec wireshark derrière, dès qu'il y a un soucis, je scan :)


Message édité par Cyr1u$ le 27-06-2008 à 11:01:07
Reply

Marsh Posté le 27-06-2008 à 12:41:49    

Et bien non, mon responsable ne prend pas la décision...
 
Il ne connaît rien en réseau mais se permet de critiquer mon diagnostic et prétend que je dois lui trouver le problème avant de prendre une décision...
 
Yeah, et vu que mon seul matériel ce sont mes mains, je suis pas sorti de l'auberge.
 
Ma question, j'ai installé wireshark, il tourne sur ma machine. Je l'ai mis en mode promiscuous, qu'est ce que ça veut dire ? Que vais je voir les paquets qui me sont envoyés à partir du switch, ou bien tous les paquets du réseau ? Et si c'est le cas comment cela fonctionne ? :o

Reply

Marsh Posté le 27-06-2008 à 12:54:42    

J'ai l'impression de voir tous les paquets qui transitent c'est possible ?
 
(Par exemple je vois ceci : 550 73.199587 www.facebook.com xxx.xxx.xxx.49 TCP http > 51183 [ACK] Seq=1 Ack=1440 Win=362 Len=0 TSV=3383116239 TSER=649255602
...)
 
J'ai un bête switch 3 com non manageable (baseline 2024) sur lequel mon pc est branché (il y a 5 autres switchs au niveau des étages).
 
Et je vois également ceci de louche :  
 
1 0.000000 Cisco_3d:8e:bf Spanning-tree-(for-bridges)_00 STP Conf. Root = 32768/00:1e:be:3d:8e:bf  Cost = 0  Port = 0x8001
 
 
Ce périph étant le nouveau cisco que BGc vient de m'installer ce matin...
 
Des boucles ?

Message cité 1 fois
Message édité par cohenpi le 27-06-2008 à 12:57:05
Reply

Marsh Posté le 27-06-2008 à 14:46:09    

pour la définition du promiscuous mode :
An interface in promiscuous mode will accept ALL Ethernet frames, regardless of whether they directed (addressed) to the specific network interface (NIC) or not.
 
un peu d'anglais ne fait pas de mal :)
 
De toute façon tu ne verras pas les trames de tout ton réseau si tu ne fait pas de mirroring ou que tu n'utilises pas un hub entre ta gateway et ton switch (en branchant ton pc wireshark sur le hub bien sur :p)
Pour la trame spanning-tree du cisco, c'est normal que tu la vois. Si je dis pas de bêtise, le switch les envoie en broadcast.
 
Donc ce n'est pas une boucle, en tout cas pas a ce niveau là!
 
Sinon, concernant wireshark, ce logiciel est très puissant lorsqu'il s'agit d'analyser le réseaux sur une courte durée. Personnellement, mes log temporaires wireshark atteignent vite le Go après 5-10 minutes de scan (on est une centaine dans la boite). Cependant il est très utile dans le cas ou tu constate un goulot d'étranglement.


Message édité par Cyr1u$ le 27-06-2008 à 14:52:56
Reply

Marsh Posté le 27-06-2008 à 14:58:33    

Merci Cyr1u$.
 
Par contre, j'ai l'impression que Wireshark fout la merde quand je le lance après un certain moment tout le réseau sature...

Reply

Marsh Posté le 27-06-2008 à 15:04:15    

hum ca c'est pas normal  :??:  
A chaque fois que tu lances un scan ça le fait ???
Si oui, tu lance wireshark et avant de lancer le scan tu met en filtre: ip.src == ip_de_ton_pc
Ensuite tu lance le scan, si effectivement c'est ta machine sur laquelle est installée wireshark qui sature ton réseau, tu verras du trafic circuler, a savoir que normalement il n'est pas sensé transmettre des trames (sauf si cette machine sert a autre chose !)


Message édité par Cyr1u$ le 27-06-2008 à 15:07:34
Reply

Marsh Posté le 27-06-2008 à 15:33:03    

Non c'est apparemment pas ça :)
 
Le nouveau routeur de BGC a l'air de résister aux merdes du réseau mais par contre le réseau en local foire.
 
Je viens de repérer qu'à chaque foirage j'avais du flood d'une ip (entre cette ip et un serveur).  
 
La personne ne faisait rien de particulier. Je lui ai demandé de retirer sa prise réseau et depuis plus de souci depuis 15 minutes...

Reply

Marsh Posté le 27-06-2008 à 16:33:07    

tu as trouvé le qui, maintenant faut trouver le pourquoi du flood :)
bonne chance ! si tu as d'autres questions n'hésite pas.

Reply

Marsh Posté le 27-06-2008 à 18:36:36    

Enfin espérons que j'ai trouvé le qui :p
 
Rien n'est encore certain.
 
Suite lundi ;p

Reply

Marsh Posté le 30-06-2008 à 11:40:34    

Je n'arrive pas à comprendre le trafic que j'arrive à voir avec wireshark.
 
Mon pc est branché dans une prise murale qui est connecté à un switch. Ce dernier n'est pas manageable, et pourtant je vois des paquets envoyés par des machines du réseau (je suis en mode promiscuous).  
 
Comment wireshark fait pour m'afficher ces paquets qui sont, je suppose, non exhaustifs... ?

Reply

Marsh Posté le 30-06-2008 à 15:52:58    

bonjour,
 
Tu es sur que les paquets que tu vois ne te sont pas destinés ? Ou bien s'agit -t-il de broadcasts ou de tes propres paquets ?
 
Si tu es branché directement sur le switch, c'est pas normal que tu vois le traffics du reste du réseau...  :pt1cable:


Message édité par Fi3rC3 le 30-06-2008 à 15:53:57

---------------
Mon Feed-Back                        ° Mes Ventes en Cours °
Reply

Marsh Posté le 08-07-2008 à 15:16:40    

Je réponds probablement un peu tard, mais si la table des adresses MAC est pleine, le switch va se mettre à se comporter comme un HUB. D'ailleurs c'est parfois utilisé dans le cas de certaines attaques, ainsi le "pirate" récupère tout le trafic qui passe sur le réseau, même s'il est relié à un switch.


---------------
Mario Kart for Ever
Reply

Marsh Posté le 08-07-2008 à 17:05:35    

oui, en 97 ca fonctionnait comme ca.
Plus maitnenant, en tout cas sur la grande majorité des switches.
A mon avis, il decouvre simpleemnt la quantité de traffic parasite qui circule sur un LAN

Reply

Marsh Posté le 08-07-2008 à 18:07:11    

Sûr ? J'ai encore lu des trucs récemment là dessus. :??:


---------------
Mario Kart for Ever
Reply

Marsh Posté le 08-07-2008 à 21:16:03    

non non.
legende urbaine persistante, pour justifier certaines attaques.
En fait, le comportement depend du modele.
Ca va du flood, au crash, en passant par un réapprentissage régulier.
Mais le flood est de moins en moins souvnt la réaction.

Reply

Marsh Posté le 09-07-2008 à 15:22:03    

Un petit lien sympa pour ceux qui ne comprennent pas tout ici


---------------
Mon Feed-Back                        ° Mes Ventes en Cours °
Reply

Marsh Posté le 10-07-2008 à 12:00:02    

cohenpi a écrit :


Et je vois également ceci de louche :  
 
1 0.000000 Cisco_3d:8e:bf Spanning-tree-(for-bridges)_00 STP Conf. Root = 32768/00:1e:be:3d:8e:bf  Cost = 0  Port = 0x8001
 
 
Des boucles ?


 
Non !
le spanning-tree est justement la pour eviter les boucles. Il diffuse des BPDU en broadcast qui donne le chemin a utiliser pour pas avoir de boucles.

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed