Les Sniffers !

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Messagepar youtai » 29 Fév 2004 17:32

Sur un réseau de pc sous wibdows 2000 comment savoir si on est ou non espionné par un sniffer?
You cry, you scream, then you die!
Avatar de l’utilisateur
youtai
Premier-Maître
Premier-Maître
 
Messages: 66
Inscrit le: 21 Nov 2003 01:00
Localisation: Casablanca 04

Messagepar boulon » 29 Fév 2004 17:45

bonjour, <BR> <BR>j'ai entendu dire que si tu tapais un accent circonflexe celui-ci était doublé ^^ s'il y avait un sniffer...en règle générale les sniffers n'aime pas trop les accents (vu que bien souvent ils sont anglo-saxons...) ! <BR>Enfin pour tout dire je ne l'ai pas vérifié Personnellement, c'est un bruit qui est parvenu à mes petites oreilles. Donc à voir.... <IMG SRC="images/smiles/icon_smile.gif">
"- Un barbu, c'est un barbu ; trois barbus c'est des barbouzes...."(Michel Audiard)
Avatar de l’utilisateur
boulon
Aspirant
Aspirant
 
Messages: 114
Inscrit le: 01 Jan 2004 01:00

Messagepar lucyfire » 29 Fév 2004 18:08

y avait L0pht Heavy Industries qui avait releasé un antisniffer mais devenu astake donc je sais pas si ça existe toujours.
"Les hommes déprécient ce qu'ils ne peuvent comprendre." [Goethe]
Avatar de l’utilisateur
lucyfire
Amiral
Amiral
 
Messages: 1109
Inscrit le: 15 Mai 2003 00:00
Localisation: Lyon

Messagepar youtai » 29 Fév 2004 18:13

j'ai effectué une recherche sur Google sur les antiSniffer mais j'ai pas trouvé grande chose <IMG SRC="images/smiles/icon_frown.gif"> j'ai trouvé un anti sniffer téléchargeable mais lors de l'installation on m'a demandé le mot de passe de l'admin réseau <IMG SRC="images/smiles/icon_frown.gif">
You cry, you scream, then you die!
Avatar de l’utilisateur
youtai
Premier-Maître
Premier-Maître
 
Messages: 66
Inscrit le: 21 Nov 2003 01:00
Localisation: Casablanca 04

Messagepar HaM » 29 Fév 2004 19:10

Le coup des accents ^ je n'y crois pas du tout. Il me semble que le seul systeme pouvais détécter un sniffer est de surveiller le requettes ARP.
Avatar de l’utilisateur
HaM
Amiral
Amiral
 
Messages: 1045
Inscrit le: 31 Juil 2002 00:00
Localisation: Boulogne-Billancourt 92

Messagepar HaM » 29 Fév 2004 19:13

Un peu plus d'info à ce sujet ! <BR> <BR>Un sniffer est passif, il n'envoie aucun paquet, il ne fait qu'intercepter. Mais la carte réseau étant en mode transparent, son comportement s'en trouve changé, son temps et sa façon de répondre à certains paquets sont modifiés. On peut détecter la présence d'un sniffer grâce à ce changement de comportement. Le programme AntiSniffdisponible sur windows NT et Linux à l'adresse http ://packetstormsecurity.nl/sniffers/antisniff/ de Lopht Heavy Industries peut envoyer des paquets "tests" et en déduire si la carte est en mode transparent donc susceptible de sniffer. <BR> <IMG SRC="images/smiles/icon_biggrin.gif">
Avatar de l’utilisateur
HaM
Amiral
Amiral
 
Messages: 1045
Inscrit le: 31 Juil 2002 00:00
Localisation: Boulogne-Billancourt 92

Messagepar laer_web » 01 Mars 2004 11:51

Je crois perso que détecter un sniffer sur un HUB est impossible. En effet le HUB renvoie les paquets IP à toutes ses portes, et un sniffer ne fait que recevoir le paquets, comme les autres machines. Il est complètement passif. Cependant, quand on sniffe sur un switch, le pb est différent. Les paquets ne sont envoyés qu'à la bonne porte. On est donc obligé de faire appel à du ARP-poisonning afin de récupérer les paquets. Donc je pense que le coup de ^, c'est du vent. Par contre, le fait du surveiller le nombre de réponses ARP permet de détecter un sniff sur switch.....
Avatar de l’utilisateur
laer_web
Matelot
Matelot
 
Messages: 1
Inscrit le: 26 Nov 2003 01:00
Localisation: Belgique

Messagepar JaDiuM » 01 Mars 2004 12:41

Bonjour, <BR> <BR>Non, sur un hub sniffer est tres simple, ce qui n'es pas le cas du switch. <BR> <BR>Pour savoir si une machine sniffe (hors IDS), il faut simplement vérifier si sur le réseau une ou plusieurs cartes sont en mode promiscuous, si c'est la cas 1 chance sur deux pour que ce soit un sniffer (ou un IDS). <BR> <BR>Pour vérifier cette état 3 solutions (qui se complètent et confortent), en forgeant des requetes Arp, DNS et ping (d'autre comme le source-route, host, snmp etc sont possibles) . Si une carte est en promiscuous, le meilleur moyen d'éviter l'ecoute est d'utiliser des canaux cryptés (SSL, SSH, PGP, VPN etc) <BR> <BR>liens Win32: <BR> <BR><!-- BBCode auto-link start --><a href="http://www.l0pht.com/antisniff/" target="_blank">http://www.l0pht.com/antisniff/</a><!-- BBCode auto-link end --> <BR><!-- BBCode auto-link start --><a href="ftp://coast.cs.purdue.edu/pub/tools/unix/cpm/" target="_blank">ftp://coast.cs.purdue.edu/pub/tools/unix/cpm/</a><!-- BBCode auto-link end --> <BR><!-- BBCode auto-link start --><a href="http://www.apostols.org/projectz/neped/" target="_blank">http://www.apostols.org/projectz/neped/</a><!-- BBCode auto-link end --> <BR><!-- BBCode auto-link start --><a href="ftp://ftp.cerias.purdue.edu/pub/tools/unix/sysutils/cpm/" target="_blank">ftp://ftp.cerias.purdue.edu/pub/tools/unix/sysutils/cpm/</a><!-- BBCode auto-link end --> <BR><!-- BBCode auto-link start --><a href="ftp://ethereal.zing.org/pub/ethereal/win32/" target="_blank">ftp://ethereal.zing.org/pub/ethereal/win32/</a><!-- BBCode auto-link end --> <BR><!-- BBCode auto-link start --><a href="http://netgroup-serv.polito.it/windump/" target="_blank">http://netgroup-serv.polito.it/windump/</a><!-- BBCode auto-link end --> <BR><!-- BBCode auto-link start --><a href="http://www.nai.com/mktg/survey.asp?type=d&code=2483" target="_blank">http://www.nai.com/mktg/survey.asp?type=d&code=2483</a><!-- BBCode auto-link end --> <BR><!-- BBCode auto-link start --><a href="http://www.aggroup.com/" target="_blank">http://www.aggroup.com/</a><!-- BBCode auto-link end --> <BR><!-- BBCode auto-link start --><a href="http://www.triticom.com/TRITICOM/LANdecoder32/" target="_blank">http://www.triticom.com/TRITICOM/LANdecoder32/</a><!-- BBCode auto-link end --> <BR><!-- BBCode auto-link start --><a href="http://members.xoom.com/Laurentiu2" target="_blank">http://members.xoom.com/Laurentiu2</a><!-- BBCode auto-link end --> <BR><!-- BBCode auto-link start --><a href="http://netgroup-serv.polito.it/analyzer/" target="_blank">http://netgroup-serv.polito.it/analyzer/</a><!-- BBCode auto-link end --> <BR> <BR> <BR>cdt <BR>
" Quand on ne sait pas où l'on va, tous les chemins mènent à nulle part." [Kissinger]
Avatar de l’utilisateur
JaDiuM
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 334
Inscrit le: 15 Jan 2004 01:00

Messagepar JaDiuM » 01 Mars 2004 14:11

encore un : <BR> <BR><!-- BBCode auto-link start --><a href="http://www.cmpe.boun.edu.tr/~tas/" target="_blank">http://www.cmpe.boun.edu.tr/~tas/</a><!-- BBCode auto-link end -->
" Quand on ne sait pas où l'on va, tous les chemins mènent à nulle part." [Kissinger]
Avatar de l’utilisateur
JaDiuM
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 334
Inscrit le: 15 Jan 2004 01:00

Messagepar SfyLer1 » 03 Mars 2004 14:59

Déjà réseaux avec switch et non hub, sa limitera le petit malin de snifer facilement. <BR>Bon si c'est un malin niveau deux il utilisera l'arp spoofing, voyons voir avec ettercap qui utilise cette pratique comment le détecter: <BR> <BR>#ettercap <BR> <BR>et dans un autre shell: <BR><!-- BBcode auto-mailto start --><a href="mailto:root@serveur01:~#">root@serveur01:~#</a><!-- BBCode auto-mailto end --> tcpdump -i eth0 <BR>tcpdump: listening on eth0 <BR>14:02:57.872620 arp who-has 192.168.0.2 tell 192.168.0.1 <BR>14:02:57.891798 arp who-has 192.168.0.3 tell 192.168.0.1 <BR>14:02:57.912576 arp who-has 192.168.0.4 tell 192.168.0.1 <BR>14:02:57.932688 arp who-has 192.168.0.5 tell 192.168.0.1 <BR>14:02:57.951804 arp who-has 192.168.0.6 tell 192.168.0.1 <BR>14:02:57.975593 arp who-has 192.168.0.7 tell 192.168.0.1 <BR>14:02:57.992340 arp who-has 192.168.0.8 tell 192.168.0.1 <BR>14:02:58.011794 arp who-has 192.168.0.9 tell 192.168.0.1 <BR>14:02:58.038041 arp who-has 192.168.0.10 tell 192.168.0.1 <BR>14:02:58.051791 arp who-has 192.168.0.11 tell 192.168.0.1 <BR>14:02:58.071982 arp who-has 192.168.0.12 tell 192.168.0.1 <BR>etc... <BR> <BR>donc il faudrai que tu codes (mon prochain programme aura cette option) ton propre sniffer, et une fois qu'il capte trop de requetes arp il te montre les logs et a toi d'en déduire si il s'agit d'un sniffing <BR>voilà
Avatar de l’utilisateur
SfyLer1
Quartier Maître
Quartier Maître
 
Messages: 19
Inscrit le: 27 Oct 2003 01:00

Messagepar youtai » 04 Mars 2004 21:05

""Une bonne manière de protéger votre réseau contre des sniffers est de le segmenter autant que possible à l'aide de switchs Ethernet à la place des hubs régulier. Les switchs ont la capacité de segmenter votre trafic réseau et empêcher chaque système sur le réseau de pouvoir "voir" tous les paquets. L'inconvénient à cette solution est le coût. Les switchs sont 2 à 3 plus chers que les hubs, mais la compensation est certainement une valeur en elle. <BR> <BR>Une autre option, que vous pouvez combiner avec un environnement switché, doit utiliser le chiffrement. Le sniffer voit toujours le trafic, mais il est affiché comme des données déformées. Quelques inconvénients à utiliser le chiffrement sont la vitesse et votre chance d'utiliser une norme faible d'encryption qui peut être facilement cassée. Presque toute l'encryption présentera du retard dans votre réseau. Typiquement, plus le chiffrement est fort, plus les machines l'utilisant pour communiquer sont lentes. Les administrateurs système et les utilisateurs compromettent leur environnement. Quoique la plupart des administrateurs système voudraient utiliser le meilleur chiffrement sur le marché, il n'est pas pratique simplement dans un monde où la sécurité est vue en tant que consommateur de bénéfices, et non pas comme un générateur de bénéfices. Si tout va bien la nouvelle norme de chiffrement qui devrait sortir sous peu, AES (Advanced Encryption Standard), fournira une assez forte encryption et de la transparence à l'utilisateur pour rendre tout le monde heureux. Une certaine forme d'encryption est meilleure qu'aucune. Si un cracker exécute un sniffer sur votre réseau et note que toutes les données qu'il (ou elle) rassemble sont déformées, alors très probablement il passera à un autre site qui n'utilise pas d'encryption. Mais un intrus payé ou déterminé va pouvoir casser une norme faible d'encryption, ainsi il vaut mieux la jouer futée et fournir le chiffrement le plus fort aussi longtemps que tout le monde vous envvera pas des regards différents quand vous descendez les halls au travail."" <BR> <BR> <BR><!-- BBCode auto-link start --><a href="http://madchat.org/reseau/sniffer/sniffers-fr.htm" target="_blank">http://madchat.org/reseau/sniffer/sniffers-fr.htm</a><!-- BBCode auto-link end --> <BR>
You cry, you scream, then you die!
Avatar de l’utilisateur
youtai
Premier-Maître
Premier-Maître
 
Messages: 66
Inscrit le: 21 Nov 2003 01:00
Localisation: Casablanca 04

Messagepar Walkyrie » 04 Mars 2004 21:47

N.B. pour culture : Les vrai gros malins de niveau 3 <IMG SRC="images/smiles/icon_wink.gif"> (donc pas un utilisateur qui s'amuse mais un concurent par exemple ou une organisation X) utilise le principe de diode, en bref il n'utilise pas tout les fils du RJ, le cable se retrouve unidirectionnel (un peu comme a l'ancienne avec la pince crocodile). <BR> <BR>Cette méthode est utilisé pour certain ids (gros moyen gros budget) afin devité toute corruption de l'ids <BR> <BR>Et la c indetectable !!! car y a pas de fil <IMG SRC="images/smiles/icon_cussing.gif"> <BR> <BR>Pour un reseau sécurisé, sans chiffrement point de salut ....
Il n'est de lumière que sorti de l'obscurité
Avatar de l’utilisateur
Walkyrie
Matelot
Matelot
 
Messages: 9
Inscrit le: 04 Mars 2004 01:00
Localisation: Devant mon écran

Messagepar youtai » 06 Mars 2004 11:43

Pouvez vous m'aider à trouver un anti-sniffer gratuit téléchargeable??j'ai essayé avec Google mais j'ai rien trouvé d'intéressant:(
You cry, you scream, then you die!
Avatar de l’utilisateur
youtai
Premier-Maître
Premier-Maître
 
Messages: 66
Inscrit le: 21 Nov 2003 01:00
Localisation: Casablanca 04


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron