====== Scanners Réseau ====== Network Scanner, Sniffer... Pour écouter le traffic réseau il faut passer la carte réseau en mode "promiscuous". Une liste d'outils basés sur WinPcap (libpcap for windows): \\ http://www.winpcap.org/misc/links.htm#tools voir aussi: [[/informatique/scanners de vulnérabilités]] ===== Softs ===== ==== Analyseurs ==== **[[informatique/wireshark|Wireshark]]**\\ Wireshark is the world's foremost network protocol analyzer, and is the de facto (and often de jure) standard across many industries and educational institutions.\\ Il existe en version "Portable" c'est à dire qu'il peut s'installer sur une clé USB.\\ Wireshark development thrives thanks to the contributions of networking experts across the globe. It is the continuation of a project that started in 1998. **Analyzer** \\ http://analyzer.polito.it \\ Analyzer is a fully configurable Network Analyzer for Win32. It includes several functionalities that are needed by network management operator. Analyzer is based on WinPcap and it is able to capture packets on most Win32 platforms (and link-layer technologies).\\ Analyzer 3.0 comes out with some event logging, LAN monitoring and traffic monitoring capabilities. **AirSnare**\\ http://home.comcast.net/~jay.deboer/airsnare/ \\ AirSnare will alert you to unfriendly MAC addresses on your network and will also alert you to DHCP requests taking place. **AutoScan-Network** \\ http://autoscan-network.com \\ AutoScan-Network est une application créée pour explorer et gérer son réseau. Aucune Configuration est nécessaire pour scanner son réseau. L'objectif principal est d'afficher la liste des équipements connectés à son réseau.\\ **Carnivore** \\ http://r-s-g.org/carnivore/ \\ Carnivore is a surveillance tool for data networks. At the heart of the project is CarnivorePE, a software application that listens to all Internet traffic (email, web surfing, etc.) on a specific local network. Next, CarnivorePE serves this data stream to interfaces called "clients." These clients are designed to animate, diagnose, or interpret the network traffic in various ways. ==== Scanners Wifi ==== **NetStumbler** \\ http://www.netstumbler.com/ **RetinaWifi**\\ http://www.eeye.com \\ http://www.eeye.com/html/research/tools/exe/RetinaWiFi.exe **WirelessNetView** \\ http://www.nirsoft.net \\ http://www.nirsoft.net/utils/wirelessnetview.zip **NetSurveyor** \\ http://www.performancewifi.net \\ http://www.performancewifi.net/performance-wifi/downloads/NetSurveyor-Setup.exe ===== Doc ===== ==== Promiscuous mode ==== Aux trois modes (unicast, multicast, broadcast) du filtre hardware viennent s'ajouter un dernier : promiscuous. Ce mode est très simple, il consiste à laisser passé le paquet sans avoir inspecté l'adresse MAC de destination ce qui permet d'accepter tous les paquets reçus, même si ceux-ci ne lui sont pas adressés. Ce mode est une fonctionnalité généralement utilisée pour écouter le trafic réseau. Chaque paquet réseau envoyé inclut l'adresse (adresse MAC) de la carte réseau destinataire. Quand une carte réseau voit passer un paquet, elle vérifie si elle est la destinataire du paquet ; si elle ne l'est pas, elle ne tient pas compte du paquet ; mais en mode promiscuous, elle traite le paquet dans tous les cas, permettant ainsi à l'ordinateur de pouvoir lire tous les paquets. Un nœud de réseau qui ne fait pas de routage et qui est en mode promiscuous peut généralement seulement voir le trafic réseau vers et en provenance des autres nœuds à l'intérieur du même domaine de collision (pour Ethernet et Wi-Fi) ou anneau (pour Token-Ring ou FDDI). L'exemple typique est un ensemble d'ordinateurs connectés au même concentrateur. Les commutateurs réseau sont utilisés pour combattre l'usage du mode promiscuous. === Detecting Promiscuous mode === Detecting other sniffers on other machines is very difficult (and sometimes impossible). But detecting whether one of the Linux machines is doing the sniffing is possible. This can be done by exploiting a weakness in the TCP/IP stack implementation of Linux. When Linux is in promiscuous mode, it will answer to TCP/IP packets sent to its IP address even if the MAC address on that packet is wrong (the standard behavior is that packets containing wrong MAC address will not be answered because the network interface will drop them). Therefore, sending TCP/IP packets to all the IP addresses on the subnet, where the MAC address contains wrong information, will tell you which machines are Linux machines in promiscuous mode (the answer from those machines will be a RST packet) While this is far from being a perfect method, it can help discover suspicious activity on a network. == detect tools == [[http://support.microsoft.com/?kbid=892853|Description de Promqry 1.0 et PromqryUI 1.0]] by Microsoft.\\ Both tools use Windows Management Instrumentation (WMI) to query computers for information when an interface is found to be running in Promiscuous mode ==detectpromisc== http://detectpromisc.sourceforge.net/ utilise ARP pour la détection, le principe est expliqué (en français!).