Pc d'interception de paquets du LAN pour analyse - Réseaux - Systèmes & Réseaux Pro
Marsh Posté le 25-06-2008 à 08:16:00
si tes switchs peuvent faire du port mirroring tu mirror sur ton switch 2 les ports sur une machine qui fait tourner wireshark. Tu auras le traffic venant/partant sur ta gateway et le traffic des machines du switch (tu n'auras donc pas le traffics des machines qui parlent uniquement sur le switch 1)
Marsh Posté le 25-06-2008 à 08:18:10
si tu as un hub tu peux le mettre entre la gateway et le switch alors
Marsh Posté le 25-06-2008 à 08:28:36
Pourquoi un hub ? Que me permettra-t-il de faire ?
Ma solution de pc est-elle mauvaise ?
Le hub ne va pas me poser des problèmes supplémentaires ?
Marsh Posté le 25-06-2008 à 08:33:23
Ok, avec le hub, si je relie un pc sur celui-ci il recevra tous les paquets entrant/sortant c'est ça ?
Et ceci sans rien devoir modifier au niveau logique de ma config réseau, c'est bien ça ?
Marsh Posté le 25-06-2008 à 09:27:54
Exactement, un hub 'recopie' les paquets recu sur tous les ports.
Donc tu intercalle un hub entre la gateway et ton switch2, tu met ton PC d'analyse sur un deuxieme port du hub et tu auras tous les paquets.
C'est un crados, tu as une perte potentielle de performances (suivant le debit de ta ligne et les perfs du hub) mais ca marche, du moins pour le traffic entrant/sortant.
Marsh Posté le 25-06-2008 à 09:40:45
ReplyMarsh Posté le 25-06-2008 à 10:09:00
trictrac a écrit : ethereal / ntop pour l'outil. |
C'est peu convivial ça
Il n'existe pas un logiciel avec reporting par ip de la qté de paquets selon protocoles utilisés, etc...?
Marsh Posté le 25-06-2008 à 10:31:03
Avec Ethereal tu peux filtrer et classer les resultats.
Marsh Posté le 25-06-2008 à 10:39:57
trictrac a écrit : ethereal / ntop pour l'outil. |
ah ouais, pas pensé à ça mais peut être plus élégant
Marsh Posté le 25-06-2008 à 12:01:52
M4vrick a écrit : Avec Ethereal tu peux filtrer et classer les resultats. |
Du ARP Spoofing sur l'ensemble des machines du réseau ?
Marsh Posté le 25-06-2008 à 12:41:23
Est-ce vraiment si élégant... De plus, du ARP spoofing sur l'ensemble du réseau risque de le ralentir de manière assez drastique, non ?
Marsh Posté le 25-06-2008 à 16:36:55
Ok, j'ai mis en place sur un serveur linux ettercap pour faire du arp spoofing sur la gateway et ntop pour l'analyse des trames.
Marsh Posté le 26-06-2008 à 11:58:50
Urgent please !
Depuis que j'ai mis en place cette solution, aujourd'hui (et hier dans la nuit) il est devenu impossible d'atteindre la Gateway en ip LAN !
La gateway a bien une ip wan, mais du coup personne ne sait plus envoyer de mail/internet ni se connecter depuis l'extérieur !
Une idée ?
Remettre à jour les tables ARP ?
Que faire ?
Marsh Posté le 26-06-2008 à 12:37:58
Retirer l'arp spoofing dans un premier temps, c'est surement lui qui pose probleme.
Marsh Posté le 26-06-2008 à 13:35:15
Bon j'ai désinstallé etetrcap et ntop.
J'ai rebooté la gw.
Ca fonctionne pour le moment.
Donc c'est bien ce qu'il me semblait, ARP Spoofing= mauvaise idée. Je vais acheter un hub, je pense...
Marsh Posté le 26-06-2008 à 13:59:56
C'est de nouveau KO !
Je n'ai rien fait de particulier, les logiciels (concernant l'arp spoofing) sont supprimés...
Une idée ?
(Même en mettant dans la table arp la route en static vers la gateway (avec l'adresse mac) c'est ko...
Marsh Posté le 26-06-2008 à 15:09:29
tu as egalement rebooté tes switchs?
Marsh Posté le 26-06-2008 à 15:22:03
Ouaip.
Maintenant, en contactant Belgacom ceux-ci me disent qu'il y a énormément de broadcast qui arrive sur le routeur...
Comment pourrais-je savoir d'où cette horreur vient ????...
Marsh Posté le 26-06-2008 à 19:06:26
Je veux bien le croire mais comment la repérer lorsque :
On a pas de switch manageable
Comment voir le traffic (proprement) lorsque :
On n'a pas de boitier utm ni de hub
Je deviens fou, le réseau est encore tombé au niveau de la gateway, c'est insupportable. On me demande de faire le travail de mc gyver...
Dans un réseau de +- 70 postes composés de 3 sites distants et de pc/mac.
Des idées pour me simplifier la vie et/ou repérer les problèmes logiques/physiques sans moyen financier ?
Marsh Posté le 26-06-2008 à 22:19:52
Pour voir le niveau de broadcast, Ethereal suffit largement (logiquement les switch diffusent le broadcast sur tous leurs ports).
Donc tu regardes le débit auquel tu reçois le broadcast (normalement très faible).
Si le niveau est vraiment élevé (proche du débit max du port) alors il est probable que tu ais une boucle sur le réseau.
Dans ce cas, les LED d'activités des ports du switch doivent être atteintes de frénésie.
Pour résoudre ce problème, le plus simple est de partir du switch tête de réseau et de débrancher progressivement les ports un à un, jusqu'à retrouver un fonctionnement normal.
Marsh Posté le 27-06-2008 à 10:59:22
impossible pour toi de faire passer un petit switch manageable dans le budget ?? ca te simplifierais un peu la vie deja et certains coûte vraiment pas cher!
Sinon concernant ntop j'ai eu un problème en l'utilisant. Mauvaise interprétation de certains service (certains clients étaient considérés comme DNS, serveur ntp, etc...), les flag concernant les niveaux de risques n'étaient pas très bien gérés (c'est simple j'en avais sur presque tout mes clients :s) et je trouvais certaines données sur le trafic "bizarre".
personnellement j'utilise un port mirroir avec wireshark derrière, dès qu'il y a un soucis, je scan
Marsh Posté le 27-06-2008 à 12:41:49
Et bien non, mon responsable ne prend pas la décision...
Il ne connaît rien en réseau mais se permet de critiquer mon diagnostic et prétend que je dois lui trouver le problème avant de prendre une décision...
Yeah, et vu que mon seul matériel ce sont mes mains, je suis pas sorti de l'auberge.
Ma question, j'ai installé wireshark, il tourne sur ma machine. Je l'ai mis en mode promiscuous, qu'est ce que ça veut dire ? Que vais je voir les paquets qui me sont envoyés à partir du switch, ou bien tous les paquets du réseau ? Et si c'est le cas comment cela fonctionne ?
Marsh Posté le 27-06-2008 à 12:54:42
J'ai l'impression de voir tous les paquets qui transitent c'est possible ?
(Par exemple je vois ceci : 550 73.199587 www.facebook.com xxx.xxx.xxx.49 TCP http > 51183 [ACK] Seq=1 Ack=1440 Win=362 Len=0 TSV=3383116239 TSER=649255602
...)
J'ai un bête switch 3 com non manageable (baseline 2024) sur lequel mon pc est branché (il y a 5 autres switchs au niveau des étages).
Et je vois également ceci de louche :
1 0.000000 Cisco_3d:8e:bf Spanning-tree-(for-bridges)_00 STP Conf. Root = 32768/00:1e:be:3d:8e:bf Cost = 0 Port = 0x8001
Ce périph étant le nouveau cisco que BGc vient de m'installer ce matin...
Des boucles ?
Marsh Posté le 27-06-2008 à 14:46:09
pour la définition du promiscuous mode :
An interface in promiscuous mode will accept ALL Ethernet frames, regardless of whether they directed (addressed) to the specific network interface (NIC) or not.
un peu d'anglais ne fait pas de mal
De toute façon tu ne verras pas les trames de tout ton réseau si tu ne fait pas de mirroring ou que tu n'utilises pas un hub entre ta gateway et ton switch (en branchant ton pc wireshark sur le hub bien sur )
Pour la trame spanning-tree du cisco, c'est normal que tu la vois. Si je dis pas de bêtise, le switch les envoie en broadcast.
Donc ce n'est pas une boucle, en tout cas pas a ce niveau là!
Sinon, concernant wireshark, ce logiciel est très puissant lorsqu'il s'agit d'analyser le réseaux sur une courte durée. Personnellement, mes log temporaires wireshark atteignent vite le Go après 5-10 minutes de scan (on est une centaine dans la boite). Cependant il est très utile dans le cas ou tu constate un goulot d'étranglement.
Marsh Posté le 27-06-2008 à 14:58:33
Merci Cyr1u$.
Par contre, j'ai l'impression que Wireshark fout la merde quand je le lance après un certain moment tout le réseau sature...
Marsh Posté le 27-06-2008 à 15:04:15
hum ca c'est pas normal
A chaque fois que tu lances un scan ça le fait ???
Si oui, tu lance wireshark et avant de lancer le scan tu met en filtre: ip.src == ip_de_ton_pc
Ensuite tu lance le scan, si effectivement c'est ta machine sur laquelle est installée wireshark qui sature ton réseau, tu verras du trafic circuler, a savoir que normalement il n'est pas sensé transmettre des trames (sauf si cette machine sert a autre chose !)
Marsh Posté le 27-06-2008 à 15:33:03
Non c'est apparemment pas ça
Le nouveau routeur de BGC a l'air de résister aux merdes du réseau mais par contre le réseau en local foire.
Je viens de repérer qu'à chaque foirage j'avais du flood d'une ip (entre cette ip et un serveur).
La personne ne faisait rien de particulier. Je lui ai demandé de retirer sa prise réseau et depuis plus de souci depuis 15 minutes...
Marsh Posté le 27-06-2008 à 16:33:07
tu as trouvé le qui, maintenant faut trouver le pourquoi du flood
bonne chance ! si tu as d'autres questions n'hésite pas.
Marsh Posté le 27-06-2008 à 18:36:36
Enfin espérons que j'ai trouvé le qui
Rien n'est encore certain.
Suite lundi ;p
Marsh Posté le 30-06-2008 à 11:40:34
Je n'arrive pas à comprendre le trafic que j'arrive à voir avec wireshark.
Mon pc est branché dans une prise murale qui est connecté à un switch. Ce dernier n'est pas manageable, et pourtant je vois des paquets envoyés par des machines du réseau (je suis en mode promiscuous).
Comment wireshark fait pour m'afficher ces paquets qui sont, je suppose, non exhaustifs... ?
Marsh Posté le 30-06-2008 à 15:52:58
bonjour,
Tu es sur que les paquets que tu vois ne te sont pas destinés ? Ou bien s'agit -t-il de broadcasts ou de tes propres paquets ?
Si tu es branché directement sur le switch, c'est pas normal que tu vois le traffics du reste du réseau...
Marsh Posté le 08-07-2008 à 15:16:40
Je réponds probablement un peu tard, mais si la table des adresses MAC est pleine, le switch va se mettre à se comporter comme un HUB. D'ailleurs c'est parfois utilisé dans le cas de certaines attaques, ainsi le "pirate" récupère tout le trafic qui passe sur le réseau, même s'il est relié à un switch.
Marsh Posté le 08-07-2008 à 17:05:35
oui, en 97 ca fonctionnait comme ca.
Plus maitnenant, en tout cas sur la grande majorité des switches.
A mon avis, il decouvre simpleemnt la quantité de traffic parasite qui circule sur un LAN
Marsh Posté le 08-07-2008 à 18:07:11
Sûr ? J'ai encore lu des trucs récemment là dessus.
Marsh Posté le 08-07-2008 à 21:16:03
non non.
legende urbaine persistante, pour justifier certaines attaques.
En fait, le comportement depend du modele.
Ca va du flood, au crash, en passant par un réapprentissage régulier.
Mais le flood est de moins en moins souvnt la réaction.
Marsh Posté le 09-07-2008 à 15:22:03
Un petit lien sympa pour ceux qui ne comprennent pas tout ici
Marsh Posté le 10-07-2008 à 12:00:02
cohenpi a écrit : |
Non !
le spanning-tree est justement la pour eviter les boucles. Il diffuse des BPDU en broadcast qui donne le chemin a utiliser pour pas avoir de boucles.
Marsh Posté le 25-06-2008 à 07:49:56
Bonjour à tous,
Je vous expose mon "problème" :
Dans un parc hétérogène (Mac (10.3/10.4/10.5)+ Pc (98!/XP/Vista) + Serveur (2000/2003)) composé de 3 sites distants (relié par la solution bilan de belgacom) j'ai besoin d'analyser ce qui sort.
Autrement dit ce que font les utilisateurs afin de déterminer qui/quoi sature le réseau.
Voici une idée du site 1 :
Que puis-je faire ?
1) Mettre un pc sous XP avec deux cartes réseaux et avec une mise à 1 de la clé IpEnableRouter. Modifier routeur donné par le DHCP en donnant l'adresse d'une des deux cartes ?
2) Qu'installer ensuite de vraiment "user friendly" sur ce pc afin de contrôler ce qu'il se passe ?
3) Qu'en sera-t-il des sites distants ? Tout ceci sera transparent pour eux ?