Sniffer tout ce qui arrive sur une IP en réseau commuté

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Sniffer tout ce qui arrive sur une IP en réseau commuté

Messagepar jfroots » 19 Août 2005 10:34

Bonjour à tous,

Voici mon problème:

- J'ai toujours les 2 mêmes impressions qui sortent tous les matins sur une HP laserjet 4050N, une feuille du progiciel métier et un contact depuis les pages jaunes!

- Je voudrais savoir s'il est possible avec ethereal ouettercap NG (réseau windows 2000) de sniffer tout ce qui arrive sur l'IP de cette imprimante afin de savoir quel PC à gardé ce spool.

- Je débute totalement sur l'analyse réseau et je bloque ... HELP!

- Je suis sur un réseau commuté par des switchs 3 com

- Voici le filtre que j'ai appliqué avec ethereal: ip.dst eq 192.168.x.x et je capture le flux depuis ma carte réseau en ne demandant que les "ip"

Seulement je n'obtient pas de résultat: Mais qu'ai-je oublié?

Je vous remercie par avance de votre aide!
Bah pkoi patron?
Avatar de l’utilisateur
jfroots
Second Maître
Second Maître
 
Messages: 40
Inscrit le: 22 Août 2003 00:00
Localisation: Banlieue Paris (77)

Messagepar jdh » 19 Août 2005 10:58

Peut-être connais tu la différence entre un swith et un hub ? Par exemple http://www.commentcamarche.net/lan/commutateurs.php3

Si tu veux écoutez le traffic à destination de l'imprimante, il faut configurer le switch sur lequel elle est branchée : le port doit être le port d'analyse et ton PC doit être sur le port d'écoute.

Sinon, il serait bien meilleur d'avoir un PC serveur d'imprimante. C'est à dire que tous les PC devraient imprimer sur le serveur puis ce serveur imprimerait sur l'imprimante. Ensuite il est facile de regarder dans le log de ce serveur d'impression pour trouver le PC à l'origine des impressions. (Pour un serveur Windows, il faut regarder l'observateur d'évenement)
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar jfroots » 19 Août 2005 11:58

Peut-être connais tu la différence entre un swith et un hub ? Par exemple http://www.commentcamarche.net/lan/commutateurs.php3


Oui, oui, la théorie je la connais ... mais je ne les ai jamais configuré car c'est un réseau à plat ... En quelque sorte ce sont des "hubs commutés" ;) , le réseau n'est pas du tout ma spécialité.

Sinon, il serait bien meilleur d'avoir un PC serveur d'imprimante. C'est à dire que tous les PC devraient imprimer sur le serveur puis ce serveur imprimerait sur l'imprimante. Ensuite il est facile de regarder dans le log de ce serveur d'impression pour trouver le PC à l'origine des impressions. (Pour un serveur Windows, il faut regarder l'observateur d'évenement)

Oui c'est sûr qu'un serveur d'impression c'est plus simple pour tout le monde, seulement ce n'est pas mis en place! Ce qui est utilisé son les mini serveurs d'impressions jetdirect HP (sans logs à ma connaissance)

Si tu veux écoutez le traffic à destination de l'imprimante, il faut configurer le switch sur lequel elle est branchée : le port doit être le port d'analyse et ton PC doit être sur le port d'écoute.

Rien compris (désolé) ... c'est pas gagné!

Merci pour ta réponse en tout cas jdh
Bah pkoi patron?
Avatar de l’utilisateur
jfroots
Second Maître
Second Maître
 
Messages: 40
Inscrit le: 22 Août 2003 00:00
Localisation: Banlieue Paris (77)

Messagepar krehon » 19 Août 2005 12:24

N'aurais-tu pas un petit hub à brancher sur l'imprimant, et sur lequel tu connecterais ton sniffer, c la solution la plus, si tu ne veux pas t'embèter.
krehon
Premier-Maître
Premier-Maître
 
Messages: 48
Inscrit le: 16 Sep 2004 15:01
Localisation: 77

Messagepar Franck78 » 19 Août 2005 12:59

Salut,

Le hub est sans doute la solution simple mais pas toujours utilisable. L'autre technique consiste à transformer le switch en hub, temporairement bien sur, en remplissant sa table de mac-address. Quand elle déborde, il est bien obligé de recopier sur chaque port les frames, sinon plus de réseau possible !

Une explication en anglais et l'utilitaire qui remplit la mission:
MAC Flooding
Switches keep a translation table that maps various MAC addresses to the physical ports on the switch. As a result of this, a switch can intelligently route packets from one host to another, but it has a limited memory for this work. MAC flooding makes use of this limitation to bombard the switch with fake MAC addresses until the switch can't keep up. The switch then enters into what is known as a `failopen mode', wherein it starts acting as a hub by broadcasting packets to all the machines on the network. Once that happens sniffing can be performed easily. MAC flooding can be performed by using macof, a utility which comes with dsniff suite.


bye
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar savory » 19 Août 2005 13:32

Sinon tu pourrais peut etre utiliser l'arp pour te faire passer pour l'imprimante sur le reseau avec la correspondance MAC/IP et rerouter derriere.
Cet outil pourrait t'etre utile http://ettercap.sf.net
Avatar de l’utilisateur
savory
Quartier Maître
Quartier Maître
 
Messages: 22
Inscrit le: 11 Déc 2003 01:00
Localisation: paris

Messagepar jfroots » 19 Août 2005 14:03

Déjà, merci à tous pour vos réponses!

Il y a une contrainte supplémentaire que je vais ajouter à la vue de vos réponses: Je suis à Paris au siège de ma société et l'imprimante est à Lyon. Donc déjà on oublie le hub ... sic

De plus si mes switchs ne sont pas configurés, comment je peux savoir sur quel port de quel switch est brassée l'imprimante? D'ailleurs je ne connais pas leur adresse IP ...

Franck78, je veux bien tester ta proposition: le MAC Flooding, mais avant je voudrais savoir si tous mes utilisateurs de Lyon (40 environ) vont être très ralentis et surtout si le switch pourra se remettre à travailler en switch facilement?

Savory
Sinon tu pourrais peut etre utiliser l'arp pour te faire passer pour l'imprimante sur le reseau avec la correspondance MAC/IP et rerouter derriere.
Cet outil pourrait t'etre utile http://ettercap.sf.net

Ta proposition me plaît bien, je vais l'étudier ...

Dans tous les cas je vous tiens au courant: N'hésitez pas à me faire part de vos autres propositions et/ou solutions.
Bah pkoi patron?
Avatar de l’utilisateur
jfroots
Second Maître
Second Maître
 
Messages: 40
Inscrit le: 22 Août 2003 00:00
Localisation: Banlieue Paris (77)

Messagepar Franck78 » 19 Août 2005 15:49

Le switch se remettra comme un grand de ce traitement de cheval, sauf bug particulier dans son soft. Quand à ralentir le réseau, oui certainement, surtout si tout les switchs sont atteint. J'ai d'aillleurs pas essayer ce cas!
Le 4050, tu as donc une carte jetdirect si je m'abuse. Chez moi elle envoie ses logs sur un serveur syslog. La je suis en vacances, dont peut pas dire si il y aussi les jobs recus et d'ou (il y a les erreurs papier, capot ouvert démarrage etc....).
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar jfroots » 19 Août 2005 16:17

Franck78 a écrit:Le switch se remettra comme un grand de ce traitement de cheval, sauf bug particulier dans son soft. Quand à ralentir le réseau, oui certainement, surtout si tout les switchs sont atteint. J'ai d'aillleurs pas essayer ce cas!
Le 4050, tu as donc une carte jetdirect si je m'abuse. Chez moi elle envoie ses logs sur un serveur syslog. La je suis en vacances, dont peut pas dire si il y aussi les jobs recus et d'ou (il y a les erreurs papier, capot ouvert démarrage etc....).


Terrible Franck78, tu viens peut-être de me donner la solution! le serveur syslog n'est pas configuré sur le jetdirect! Vais voir cela ...
Bah pkoi patron?
Avatar de l’utilisateur
jfroots
Second Maître
Second Maître
 
Messages: 40
Inscrit le: 22 Août 2003 00:00
Localisation: Banlieue Paris (77)

Messagepar Gandalf » 19 Août 2005 17:15

Cette imprimante doit bénéficier d'un mini serveur web de configuration ! N'y a t'il aucune info dans cette interface ( logs avec nbre d' impressions ... ) ?
/G.
Avatar de l’utilisateur
Gandalf
Amiral
Amiral
 
Messages: 1980
Inscrit le: 22 Août 2002 00:00
Localisation: Strasbourg

Messagepar jfroots » 22 Août 2005 10:26

Gandalf: Sur le serveur http intégré il y a bien des traces des impressions mais pas l'identité de la machine qui imprime (dommage!).
Bah pkoi patron?
Avatar de l’utilisateur
jfroots
Second Maître
Second Maître
 
Messages: 40
Inscrit le: 22 Août 2003 00:00
Localisation: Banlieue Paris (77)


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron