Table des matières
Scanners Réseau
Network Scanner, Sniffer…
Pour écouter le traffic réseau il faut passer la carte réseau en mode “promiscuous”.
Une liste d'outils basés sur WinPcap (libpcap for windows):
http://www.winpcap.org/misc/links.htm#tools
voir aussi: scanners de vulnérabilités
Softs
Analyseurs
Wireshark
Wireshark is the world's foremost network protocol analyzer, and is the de facto (and often de jure) standard across many industries and educational institutions.
Il existe en version “Portable” c'est à dire qu'il peut s'installer sur une clé USB.
Wireshark development thrives thanks to the contributions of networking experts across the globe. It is the continuation of a project that started in 1998.
Analyzer
http://analyzer.polito.it
Analyzer is a fully configurable Network Analyzer for Win32. It includes several functionalities that are needed by network management operator. Analyzer is based on WinPcap and it is able to capture packets on most Win32 platforms (and link-layer technologies).
Analyzer 3.0 comes out with some event logging, LAN monitoring and traffic monitoring capabilities.
AirSnare
http://home.comcast.net/~jay.deboer/airsnare/
AirSnare will alert you to unfriendly MAC addresses on your network and will also alert you to DHCP requests taking place.
AutoScan-Network
http://autoscan-network.com
AutoScan-Network est une application créée pour explorer et gérer son réseau. Aucune Configuration est nécessaire pour scanner son réseau. L'objectif principal est d'afficher la liste des équipements connectés à son réseau.
Carnivore
http://r-s-g.org/carnivore/
Carnivore is a surveillance tool for data networks. At the heart of the project is CarnivorePE, a software application that listens to all Internet traffic (email, web surfing, etc.) on a specific local network. Next, CarnivorePE serves this data stream to interfaces called “clients.” These clients are designed to animate, diagnose, or interpret the network traffic in various ways.
Scanners Wifi
NetStumbler
http://www.netstumbler.com/
RetinaWifi
http://www.eeye.com
http://www.eeye.com/html/research/tools/exe/RetinaWiFi.exe
WirelessNetView
http://www.nirsoft.net
http://www.nirsoft.net/utils/wirelessnetview.zip
NetSurveyor
http://www.performancewifi.net
http://www.performancewifi.net/performance-wifi/downloads/NetSurveyor-Setup.exe
Doc
Promiscuous mode
Aux trois modes (unicast, multicast, broadcast) du filtre hardware viennent s'ajouter un dernier : promiscuous. Ce mode est très simple, il consiste à laisser passé le paquet sans avoir inspecté l'adresse MAC de destination ce qui permet d'accepter tous les paquets reçus, même si ceux-ci ne lui sont pas adressés.
Ce mode est une fonctionnalité généralement utilisée pour écouter le trafic réseau.
Chaque paquet réseau envoyé inclut l'adresse (adresse MAC) de la carte réseau destinataire. Quand une carte réseau voit passer un paquet, elle vérifie si elle est la destinataire du paquet ; si elle ne l'est pas, elle ne tient pas compte du paquet ; mais en mode promiscuous, elle traite le paquet dans tous les cas, permettant ainsi à l'ordinateur de pouvoir lire tous les paquets.
Un nœud de réseau qui ne fait pas de routage et qui est en mode promiscuous peut généralement seulement voir le trafic réseau vers et en provenance des autres nœuds à l'intérieur du même domaine de collision (pour Ethernet et Wi-Fi) ou anneau (pour Token-Ring ou FDDI). L'exemple typique est un ensemble d'ordinateurs connectés au même concentrateur. Les commutateurs réseau sont utilisés pour combattre l'usage du mode promiscuous.
Detecting Promiscuous mode
Detecting other sniffers on other machines is very difficult (and sometimes impossible). But detecting whether one of the Linux machines is doing the sniffing is possible. This can be done by exploiting a weakness in the TCP/IP stack implementation of Linux. When Linux is in promiscuous mode, it will answer to TCP/IP packets sent to its IP address even if the MAC address on that packet is wrong (the standard behavior is that packets containing wrong MAC address will not be answered because the network interface will drop them). Therefore, sending TCP/IP packets to all the IP addresses on the subnet, where the MAC address contains wrong information, will tell you which machines are Linux machines in promiscuous mode (the answer from those machines will be a RST packet) While this is far from being a perfect method, it can help discover suspicious activity on a network.
detect tools
Description de Promqry 1.0 et PromqryUI 1.0 by Microsoft.
Both tools use Windows Management Instrumentation (WMI) to query computers for information when an interface is found to be running in Promiscuous mode
detectpromisc
http://detectpromisc.sourceforge.net/ utilise ARP pour la détection, le principe est expliqué (en français!).