Meilleurs renifleurs de paquets 2020 (11 analyseurs de paquets examinés)

Packet Sniffing est un terme familier qui fait référence à l’art de l’analyse du trafic réseau. Contrairement au bon sens, des choses comme les e-mails et les pages Web ne parcourent pas Internet en une seule pièce. Ils sont divisés en milliers de petits paquets de données et envoyés sur Internet de cette manière.

Il existe de très nombreux outils qui collecteront le trafic réseau et la plupart d’entre eux utilisent à la base pcap (systèmes de type Unix) ou libcap (systèmes Windows) pour effectuer la collecte réelle. Un autre ensemble d’outils existe pour aider à analyser ces données car même une petite quantité de données peut entraîner des milliers de paquets qui peuvent être difficiles à parcourir. Presque tous ces outils collectent de la même manière; c’est l’analyse qui les différencie.

Ce message donne des détails sur chacun des outils qui ont réussi ici, mais si vous manquez de temps, voici notre liste de les meilleurs renifleurs de paquets et analyseurs de réseau:

1. Outil d’inspection et d’analyse approfondie des paquets SolarWinds (ESSAI GRATUIT) Un outil d’analyse du trafic réseau de haute qualité qui s’exécute sur Windows Server et fait partie du
2. Paessler Packet Capture Tool (ESSAI GRATUIT) Un renifleur de paquets, un capteur NetFlow, un capteur sFlow et un capteur J-Flow intégrés à Paessler PRTG.
3. ManageEngine NetFlow Analyzer (ESSAI GRATUIT) Un outil d’analyse du trafic qui fonctionne avec NetFlow, J-Flow, sFlow Netstream, IPFIX et AppFlow
4. Analyseur de protocole réseau Omnipeek Un moniteur réseau qui peut être étendu pour capturer des paquets.
5. tcpdump L’outil essentiel de capture de paquets gratuit que chaque gestionnaire de réseau a besoin de sa boîte à outils.
6. Windump Un clone gratuit de tcpdump écrit pour les systèmes Windows.
7. Wireshark Un outil gratuit bien connu de capture de paquets et d’analyse de données.
8. tshark Une réponse légère à ceux qui veulent la fonctionnalité de Wireshark, mais le profil mince de tcpdump.
9. Mineur de réseau Un analyseur de réseau basé sur Windows avec une version gratuite sans fioritures.
10. Violoneux Un outil de capture de paquets qui se concentre sur le trafic HTTP.
11. Capsa Écrit pour Windows, l’outil de capture de paquets gratuit peut être mis à niveau pour le paiement afin d’ajouter des fonctionnalités analytiques.

Avantages du reniflage de paquets

Un renifleur de paquets est un outil utile pour vous permettre de mettre en œuvre la politique de capacité réseau de votre entreprise. Les principaux avantages sont qu’ils:

• Identifier les liens encombrés
• Identifiez les applications qui génèrent le plus de trafic
• Recueillir des données pour une analyse prédictive
• Mettre en évidence les pics et les creux de la demande de réseau

Les actions que vous entreprenez dépendent de votre budget disponible. Si vous avez les ressources pour étendre la capacité du réseau, le renifleur de paquets vous permettra de cibler plus efficacement de nouvelles ressources. Si vous n’avez pas de budget, le reniflage de paquets aidera à façonner le trafic en priorisant le trafic des applications, en redimensionnant les sous-réseaux, en replanifiant les événements à fort trafic, en limitant la bande passante pour des applications spécifiques ou en remplaçant les applications par des alternatives plus efficaces..

Mode promiscuité

Il est important de comprendre le fonctionnement de la carte réseau de votre ordinateur lorsque vous installez un logiciel de détection de paquets. L’interface entre votre ordinateur et le réseau est appelée “contrôleur d’interface réseau,”Ou NIC. Votre carte réseau ne récupérera que le trafic Internet qui est adressé à son adresse MAC.

Pour capturer le trafic général, vous devez placer votre NIC dans “mode promiscuité.”Cela supprime la limite d’écoute sur la carte réseau. En mode promiscuous, votre carte réseau récupérera tout le trafic réseau. La plupart des renifleurs de paquets ont un utilitaire dans l’interface utilisateur qui gère le commutateur de mode pour vous.

Types de trafic réseau

L’analyse du trafic réseau nécessite une compréhension du fonctionnement du réseau. Aucun outil ne supprime comme par magie la nécessité pour un analyste de comprendre les bases de la mise en réseau, comme la prise de contact à trois voies TCP utilisée pour établir une connexion entre deux appareils. Les analystes doivent également avoir une certaine compréhension des types de trafic réseau qui existent sur un réseau fonctionnant normalement, comme le trafic ARP et DHCP. Cette connaissance est essentielle car les outils d’analyse vous montreront simplement ce que vous demandez – c’est à vous de savoir quoi demander. Si vous ne savez pas à quoi ressemble votre réseau normalement, il peut être difficile de vous assurer que vous recherchez la bonne chose dans la masse de paquets que vous avez collectés.

Outils d’entreprise

Commençons par le haut et descendons dans les rudiments. Si vous traitez avec un réseau de niveau entreprise, vous aurez besoin des gros pistolets. Alors que presque tout utilise tcpdump à sa base (plus à ce sujet plus tard), les outils au niveau de l’entreprise peuvent fournir d’autres fonctions analytiques telles que la corrélation du trafic de nombreux serveurs, la fourniture d’outils de requête intelligents pour détecter les problèmes, l’alerte sur les cas d’exception et la production de jolis graphiques qui exigences de gestion.

Les outils au niveau de l’entreprise ont tendance à se concentrer sur le flux de trafic réseau plutôt qu’à juger le contenu des paquets. Par cela, je veux dire que l’objectif de la plupart des administrateurs système dans une entreprise est de garder le réseau bourdonnant sans goulots d’étranglement de performances. Lorsque des goulots d’étranglement se produisent, l’objectif est généralement de déterminer si le problème provient du réseau ou d’une application sur le réseau. De l’autre côté de la médaille, ces outils au niveau de l’entreprise sont généralement en mesure de voir tellement de trafic qu’ils peuvent aider à prédire quand un segment de réseau va saturer, ce qui est un élément essentiel de la gestion de la capacité.

Outils de piratage

Les renifleurs de paquets sont également utilisés par les pirates. Sachez que ces outils peuvent être utilisés pour attaquer votre réseau ainsi que pour résoudre des problèmes. Les renifleurs de paquets peuvent être utilisés comme écoutes téléphoniques pour aider à voler des données en transit et ils peuvent également contribuer à “l’homme au milieu»Attaques qui altèrent les données en transit et détournent du trafic afin de frauder un utilisateur sur le réseau. Investissez dans des systèmes de détection d’intrusion pour protéger votre réseau contre ces formes d’accès non autorisé

Comment fonctionnent les renifleurs de paquets et les analyseurs de réseau?

le La caractéristique clé d’un renifleur de paquets est qu’il copie les données lors de leur déplacement sur un réseau et les rend disponibles pour la visualisation. Le dispositif de reniflement copie simplement toutes les données qu’il voit passer sur un réseau. Lorsqu’ils sont implémentés sur un commutateur, les paramètres de l’appareil permettent d’envoyer le paquet qui passe à un deuxième port ainsi qu’à la destination prévue, ce qui duplique le trafic. Habituellement, les paquets de données récoltées à partir du réseau sont copiés dans un fichier. Certains outils afficheront également ces données dans un tableau de bord. pourtant, les renifleurs de paquets peuvent recueillir de nombreuses données, notamment des informations administratives codées. Tu devras trouver un outil d’analyse qui peut vous aider à déréférencer les informations sur le trajet des paquets dans l’extrait et d’autres informations, telles que la pertinence des numéros de port entre lesquels les paquets voyagent.

Un renifleur de paquets simple copiera tous les paquets voyageant sur le réseau. Cela peut être un problème. Si la charge utile du paquet n’est pas chiffrée, vous permettrez au personnel du service informatique de voir les informations commerciales sensibles lors de leur déplacement sur le réseau. Pour cette raison, de nombreux renifleurs de paquets peuvent être limités afin de ne copier que les informations d’en-tête. Dans la plupart des cas, le contenu du paquet n’est pas nécessaire pour l’analyse des performances du réseau. Si vous souhaitez suivre l’utilisation du réseau sur une période de 24 heures ou sur quelques jours, le stockage de chaque paquet occupera une très grande quantité d’espace disque – même si vous n’utilisez que les en-têtes de paquets. Dans ces scénarios, il est conseillé d’échantillonner les paquets, ce qui signifie copier tous les 10e ou 20e paquets plutôt que de les copier tous.

Les meilleurs renifleurs de paquets et analyseurs de réseau

Nous avons classé les outils suivants en fonction des considérations générales suivantes: fonctionnalités utiles, fiabilité, facilité d’installation, d’intégration et d’utilisation, quantité d’aide et de support offerts, la qualité de la mise à jour et de la maintenance du logiciel et la réputation des développeurs. L’industrie.

1. Outil d’inspection et d’analyse approfondie des paquets SolarWinds (ESSAI GRATUIT)

SolarWinds est une suite très large d’outils de gestion informatique. L’outil le plus pertinent pour cet article est l’outil Deep Packet Inspection and Analysis. La collecte du trafic réseau est assez simple. En utilisant des outils tels que WireShark, l’analyse de niveau de base n’est pas non plus un frein au spectacle. Mais toutes les situations ne sont pas coupées et séchées. Dans un réseau très occupé, il peut être difficile de déterminer même certaines choses très basiques telles que:

• Quelle application sur le réseau crée ce trafic?
• Si l’application est connue (par exemple, un navigateur Web), où les gens passent-ils la plupart de leur temps?
• Quelles connexions prennent le plus de temps et gênent le réseau?

La plupart des périphériques réseau utilisent simplement les métadonnées de chaque paquet pour garantir que le paquet arrive là où il va. Le contenu du paquet est inconnu du périphérique réseau. L’inspection approfondie des paquets est différente; cela signifie que le contenu réel du paquet est inspecté afin d’en savoir plus. Les informations réseau critiques qui ne peuvent pas être glanées à partir des métadonnées peuvent être découvertes de cette manière. Des outils tels que ceux fournis par SolarWinds peuvent fournir des données plus significatives que le simple flux de trafic.

NetFlow et sFlow sont d’autres techniques de gestion des réseaux à haut volume. Chacun a ses forces et ses faiblesses et vous pouvez en savoir plus sur les techniques NetFlow et sFlow ici.

L’analyse de réseau, en général, est un sujet avancé qui est mi-expérience et mi-formation. Il est possible de former une personne à comprendre chaque détail des paquets réseau, mais à moins que cette personne ait également une connaissance du réseau cible et une certaine expérience pour identifier les anomalies, elle n’ira pas très loin. Les outils que j’ai énumérés dans cet article peuvent être utilisés par des administrateurs réseau expérimentés qui savent déjà ce qu’ils recherchent, mais ne savent pas quels sont les meilleurs outils. Ils peuvent également être utilisés par des administrateurs système plus juniors pour acquérir de l’expérience avec l’apparence des réseaux au cours des opérations quotidiennes, ce qui aidera à identifier les problèmes plus tard..

LE CHOIX DES ÉDITEURS

SolarWinds Network Performance Monitor fournit des informations détaillées sur les causes de la lenteur du réseau et vous permet de résoudre rapidement les causes profondes à l’aide d’une inspection approfondie des paquets. En identifiant le trafic par application, catégorie (entreprise vs social) et niveau de risque, vous pouvez éliminer et filtrer le trafic problématique et mesurer le temps de réponse des applications. Avec une excellente interface utilisateur, c’est un excellent choix pour le reniflage de paquets et l’analyse de réseau.

Télécharger: Essai gratuit de 30 jours entièrement fonctionnel sur SolarWinds.com

Site officiel: www.solarwinds.com/topics/deep-packet-inspection/

OS: Windows Server

2. Outil de capture de paquets Paessler (ESSAI GRATUIT)

L’outil Paessler Packet-Capture-Tool PRTG: All-In-One-Monitoring est un outil de surveillance d’infrastructure unifiée. Il vous aide à gérer votre réseau et vos serveurs. Le segment de surveillance du réseau de l’utilitaire couvre deux types de tâches. Il s’agit d’un moniteur de performances réseau, qui examine les états des périphériques réseau et d’un analyseur de bande passante réseau, qui couvre le flux de trafic sur les liaisons du réseau..

La partie analyse de la bande passante de PRTG est mise en œuvre grâce à l’utilisation de quatre outils de capture de paquets différents. Ceux-ci sont:

•         Un renifleur de paquets
•         Un capteur NetFlow
•         Un capteur sFlow
•         Un capteur J-Flow

Le renifleur de paquets PRTG capture uniquement les en-têtes des paquets voyageant sur votre réseau. Cela donne à l’analyseur un avantage en termes de vitesse et réduit également la quantité d’espace de stockage nécessaire pour contenir les fichiers de capture. Le tableau de bord du renifleur de paquets classe le trafic par type d’application. Il s’agit notamment du trafic de messagerie, des paquets Web, des données de trafic des applications de chat et des volumes de paquets de transfert de fichiers.

NetFlow est un système de messagerie de flux de données très largement utilisé. Il a été créé par Cisco Systems mais il est également utilisé pour les équipements produits par d’autres fabricants. Le capteur PRTG NetFlow capte également les messages IPFIX – cette norme de messagerie est un successeur sponsorisé par l’IETF pour NetFlow. La méthode J-Flow est un système de messagerie similaire utilisé par Juniper Networks pour son équipement. Le standard sFlow échantillonne les flux de trafic, il collectera donc chaque nième paquet. NetFlow et J-Flow capturent tous deux des flux continus de paquets.

Paessler tarife son logiciel PRTG sur le nombre de «capteurs» qu’une implémentation active. Un capteur est un état du système ou un composant matériel. Par exemple, chacun des quatre renifleurs de paquets proposés par Paessler compte comme un capteur PRTG. Le système est gratuit si vous activez 100 capteurs ou moins, donc si vous n’utilisez ce package que pour ses interfaces de reniflage de paquets, vous n’aurez rien à payer à Paessler.

Le système Paessler comprend de nombreuses autres capacités de surveillance du réseau et du serveur, y compris un moniteur de virtualisation et un moniteur d’application. PRTG peut être installé sur site ou vous pouvez y accéder en tant que service cloud. Le logiciel fonctionne sur les environnements Windows et vous pouvez l’obtenir avec un essai gratuit de 30 jours.

Paessler Packet Capture Tool PRTGTéléchargez la version d’essai gratuite de 30 jours

3. Analyzer ManageEngine NetFlow (ESSAI GRATUIT)

le ManageEngine NetFlow Analyzer prend les informations de trafic de vos périphériques réseau. Vous pouvez choisir d’échantillonner le trafic, capturer des flux entiers ou collecter des statistiques sur les modèles de trafic avec cet outil.

Les fabricants d’appareils réseau n’utilisent pas tous le même protocole pour communiquer les données de trafic. Ainsi, l’analyseur NetFlow est capable d’utiliser différentes langues pour collecter des informations. Ceux-ci inclus Cisco NetFlow, Juniper Networks J-Flow, et Huawei Netstream. Il est également capable de communiquer avec sFlow, IPFIX, et AppFlow normes.

Le moniteur est capable de suivre la cohérence des flux de données ainsi que la charge sur chaque périphérique réseau. Les capacités d’analyse du trafic vous permettent voir les paquets lorsqu’ils passent à travers un appareil et les capturent dans un fichier. Cette visibilité vous permettra de voir quelles applications absorbent la majeure partie de votre bande passante et de prendre des décisions sur les mesures de mise en forme du trafic, telles que la mise en file d’attente prioritaire ou la limitation.

Le tableau de bord du système comporte des graphiques codés par couleur, ce qui vous permet de repérer les problèmes beaucoup plus facilement. L’aspect et la convivialité attrayants de la console sont liés à d’autres outils de surveillance de l’infrastructure ManageEngine car ils ont tous été construits sur une plate-forme commune. Cela le rend compatible avec plusieurs produits ManageEngine. Par exemple, il est très courant que les administrateurs réseau achètent à la fois le OpManager et l’analyseur NetFlow de Manage Engine.

OpManager surveille les états des appareils avec SNMP procédures, que NetFlow Analyzer se concentre sur les niveaux de trafic et les modèles de flux de paquets.

ManageEngine NetFlow Analyzer s’installe sur les fenêtres, Windows Server, et RHEL, CentOS, Feutre, Debian, SUSE, et Ubuntu Linux. Le système est proposé en deux éditions.

L’édition Essential vous offre les fonctions standard de surveillance du trafic réseau ainsi qu’un module de rapport et de facturation. Le plan supérieur est appelé Enterprise Edition. Il possède toutes les fonctionnalités de l’édition Essential plus NBAR & CBQoS surveillance, un module d’analyse de sécurité avancé, des utilitaires de planification de la capacité et des capacités d’inspection approfondie des paquets. Cette édition comprend également IP SLA et WLC surveillance.

Vous pouvez obtenir l’une ou l’autre édition de l’analyseur NetFlow sur un essai gratuit de 30 jours.

ManageEngine NetFlow AnalyzerTéléchargez la version d’essai gratuite de 30 jours

4. Analyseur de protocole réseau Omnipeek

LiveAction Omnipeek, auparavant un produit de Savvius, est un analyseur de protocole réseau qui peut être utilisé pour capturer des paquets et produire une analyse de protocole du trafic réseau.

Omnipeek peut être étendu par des plug-ins. Le système principal d’Omipeek ne capture pas les paquets réseau. Cependant, l’ajout du Moteur de capture plug-in obtient la fonction de capture de paquets. Le système Capture Engine récupère les paquets sur un réseau câblé; une autre extension, appelée Adaptateur Wifi ajoute des capacités sans fil et permet de capturer des paquets Wifi via Omnipeek.

Les fonctions de l’analyseur de protocole réseau Omnipeek de base s’étendent à la surveillance des performances du réseau. En plus de répertorier le trafic par protocole, le logiciel mesurera la vitesse de transfert et la régularité du trafic, déclencher des alertes en cas de ralentissement du trafic ou de dépassement des conditions aux limites définies par l’administrateur réseau.

L’analyseur de trafic peut suivre de bout en bout transférer les performances sur l’ensemble d’un réseau, ou simplement surveiller chaque lien. D’autres fonctions surveillent les interfaces, y compris le trafic entrant arrivant sur les serveurs Web depuis l’extérieur du réseau. Le logiciel s’intéresse particulièrement au débit de trafic et à l’affichage du trafic par protocole. Les données peuvent être consultées sous forme de listes de protocoles et de leur débit ou sous forme de graphiques et de diagrammes en direct. Les paquets capturés avec Capture Engine peuvent être stocké pour analyse ou rejoué sur le réseau pendant test de capacité.

Omnipeek s’installe sur Windows et Windows Server. Le système n’est pas gratuit à utiliser. Cependant, il est possible d’obtenir Omnipeek avec un essai gratuit de 30 jours.

5. tcpdump

L’outil fondamental de presque toute la collecte de trafic réseau est tcpdump. Il s’agit d’une application open source qui est installée sur presque tous les systèmes d’exploitation de type Unix. Tcpdump est un excellent outil de collecte et est livré avec un langage de filtrage très complexe. Il est important de savoir comment filtrer les données au moment de la collecte afin de se retrouver avec un bloc de données gérable à analyser. La capture de toutes les données d’un périphérique réseau, même sur un réseau modérément occupé, peut créer trop de données à analyser facilement.

Dans certains cas rares, autoriser tcpdump à sortir sa capture directement sur votre écran peut être suffisant pour trouver ce que vous recherchez. Par exemple, en écrivant cet article, j’ai capturé du trafic et j’ai remarqué que ma machine envoyait du trafic vers une adresse IP que je ne reconnaissais pas. Il s’avère que ma machine envoyait des données à une adresse IP Google de 172.217.11.142. Étant donné que je n’avais aucun produit Google en cours d’exécution ni Gmail ouvert, je ne savais pas pourquoi cela se produisait. J’ai examiné mon système et j’ai trouvé ceci:

[~] $ ps -ef | grep google
utilisateur 1985 1881 0 10:16? 00:00:00 / opt / google / chrome / chrome –type = service

Il semble que même lorsque Chrome ne fonctionne pas au premier plan, il continue de fonctionner en tant que service. Je ne l’aurais pas nécessairement remarqué sans une analyse de paquets pour me prévenir. J’ai recapturé encore plus de données tcpdump mais cette fois j’ai dit à tcpdump d’écrire les données dans un fichier que j’ai ouvert dans Wireshark (plus à ce sujet plus tard). Voici cette entrée:

Tcpdump est un outil préféré parmi les administrateurs système car il s’agit d’un outil en ligne de commande. Cela signifie qu’il ne nécessite pas de bureau complet pour fonctionner. Il est inhabituel que les serveurs de production fournissent un bureau en raison des ressources nécessaires, les outils de ligne de commande sont donc préférés. Comme avec de nombreux outils avancés, tcpdump a un langage très riche et mystérieux qui prend un certain temps à maîtriser. Quelques-unes des commandes très basiques impliquent la sélection de l’interface réseau à partir de laquelle collecter les données et l’écriture de ces données dans un fichier afin qu’elles puissent être exportées pour analyse ailleurs. Les commutateurs -i et -w sont utilisés à cet effet.

# tcpdump -i eth0 -w tcpdump_packets
tcpdump: écoute sur eth0, type de liaison EN10MB (Ethernet), taille de capture 262144 octets
^ Paquets C51 capturés

Cela produit un fichier de capture:

fichier tcpdump_packets
tcpdump_packets: fichier de capture tcpdump (little-endian) – version 2.4 (Ethernet, longueur de capture 262144)

Le fichier de capture TCP standard est un fichier pcap. Ce n’est pas du texte donc il ne peut être lu que par un programme d’analyse qui sait lire les fichiers pcap.

6. WinDump

Les outils open source les plus utiles sont finalement clonés sur d’autres systèmes d’exploitation. Dans ce cas, l’application est censée avoir été transférée. WinDump est un port de tcpdump et se comporte de manière très similaire.

Une différence majeure entre WinDump et tcpdump est que Windump a besoin de la bibliothèque WinpCap installée avant de pouvoir exécuter WinDump. Bien que WinDump et WinpCap soient fournis par le même responsable, il s’agit de téléchargements distincts.

WinpCap est une véritable bibliothèque qui doit être installée. Mais, une fois installé, WinDump est un fichier .exe qui ne nécessite aucune installation, il peut donc simplement s’exécuter. Cela peut être quelque chose à garder à l’esprit si vous utilisez un réseau Windows. Vous n’avez pas nécessairement besoin que WinDump soit installé sur chaque machine, car vous pouvez simplement le copier au besoin, mais vous voudrez que WinpCap soit installé pour prendre en charge WinDump.

Comme avec tcpdump, WinDump peut sortir des données réseau à l’écran pour analyse, être filtré de la même manière et également écrire des données dans un fichier pcap pour analyse hors site.

7. Wireshark

Wireshark est probablement le prochain outil le plus connu de la boîte à outils de n’importe quel administrateur système. Il peut non seulement capturer des données, mais fournit également des outils d’analyse avancés. En plus de son attrait, Wireshark est open source et a été porté sur presque tous les systèmes d’exploitation de serveur existants. À partir de la vie nommée Etheral, Wireshark fonctionne maintenant partout, y compris en tant qu’application portable autonome.

Si vous analysez le trafic sur un serveur sur lequel un ordinateur de bureau est installé, Wireshark peut tout faire pour vous. Il peut collecter les données, puis les analyser en un seul endroit. Cependant, les postes de travail ne sont pas courants sur les serveurs, donc dans de nombreux cas, vous souhaiterez capturer les données réseau à distance, puis extraire le fichier pcap résultant dans Wireshark.

Au premier lancement, Wireshark vous permet soit de charger un fichier pcap existant, soit de démarrer la capture. Si vous choisissez de capturer le trafic réseau, vous pouvez éventuellement spécifier des filtres pour réduire la quantité de données collectées par Wireshark. Étant donné que ses outils d’analyse sont si bons, il est moins important de vous assurer d’identifier chirurgicalement les données au moment de la collecte avec Wireshark. Si vous ne spécifiez pas de filtre, Wireshark collectera simplement toutes les données réseau que votre interface sélectionnée observe.

L’un des outils les plus utiles fournis par Wireshark est la possibilité de suivre un flux. Il est probablement plus utile de considérer un flux comme une conversation entière. Dans la capture d’écran ci-dessous, nous pouvons voir que beaucoup de données ont été capturées, mais ce qui m’intéresse le plus, c’est que Google IP. Je peux faire un clic droit dessus et suivre le flux TCP pour voir toute la conversation.

Si vous avez capturé du trafic ailleurs, vous pouvez importer le fichier pcap à l’aide du fichier Wireshark -> Dialogue ouvert. Les mêmes filtres et outils pouvant être utilisés pour les données réseau capturées en mode natif sont disponibles pour les fichiers importés.

8. TShark

TShark est un croisement très utile entre tcpdump et Wireshark. Tcpdump excelle dans la collecte de données et peut extraire de manière très chirurgicale uniquement les données que vous souhaitez, mais son utilité pour l’analyse est limitée. Wireshark fait un excellent travail à la fois en matière de collecte et d’analyse, mais comme il possède une interface utilisateur lourde, il ne peut pas être utilisé sur des serveurs sans tête. Entrez TShark; il capture et analyse mais fait ce dernier sur la ligne de commande.

TShark utilise les mêmes conventions de filtrage que Wireshark, ce qui ne devrait pas surprendre, car il s’agit essentiellement du même produit. Cette commande indique à TShark de ne prendre la peine de capturer l’adresse IP de destination que certains autres champs intéressants de la partie HTTP du paquet.

# tshark -i eth0 -Y http.request -T champs -e ip.dst -e http.user_agent -e http.request.uri

172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/title.png
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/styles/phoenix.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/styles/index.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /images/images/title.png
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /favicon.ico
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /favicon.ico

Si vous souhaitez capturer dans un fichier, vous pouvez utiliser le commutateur -w pour l’écrire, puis utiliser le commutateur -r (mode de lecture) de TShark pour le lire.

Capturez d’abord:

# tshark -i eth0 -w tshark_packets
Capture sur ‘eth0’
102 ^ C

Lisez-le, soit sur le même serveur, soit transférez-le sur un autre serveur d’analyse.

# tshark -r tshark_packets -Y http.request -T champs -e ip.dst -e http.user_agent -e http.request.uri
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 / contact
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 / reservations /
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /reservations/styles/styles.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/code/jquery_lightbox/jquery_lightbox/js/jquery-1.2.6.pack.js
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/styles/index.css
172.20.0.122 Mozilla / 5.0 (X11; Linux x86_64; rv: 57.0) Gecko / 20100101 Firefox / 57.0 /res/images/title.png

9. Network Miner

Network Miner est un outil très intéressant qui tombe davantage dans la catégorie d’un outil médico-légal plutôt que d’un renifleur de paquets direct. Le domaine de la criminalistique traite généralement de l’enquête et de la collecte de preuves et Network Miner fait bien ce travail pour le trafic réseau. Tout comme WireShark peut suivre un flux TCP pour récupérer une conversation TCP entière, Network Miner peut suivre un flux afin de reconstruire des fichiers qui ont été envoyés sur le réseau.

Pour capturer le trafic en direct, Network Miner doit être stratégiquement placé sur le réseau pour pouvoir observer et collecter le trafic qui vous intéresse. Il n’introduira aucun de son propre trafic sur le réseau, il fonctionne donc très furtivement.

Network Miner peut également fonctionner en mode hors ligne. Vous pouvez utiliser l’outil éprouvé tcpdump pour capturer les paquets à un point d’intérêt sur votre réseau, puis importer les fichiers pcap dans Network Miner. Il tentera ensuite de reconstruire tous les fichiers ou certificats qu’il trouve dans le fichier de capture.

Network Miner est conçu pour Windows, mais en utilisant Mono, il peut être exécuté sur n’importe quel système d’exploitation doté d’un cadre Mono tel que Linux et macOS.

Il existe une version gratuite pour vous aider à démarrer qui dispose d’un large éventail de fonctionnalités. Si vous souhaitez des fonctionnalités plus avancées telles que l’emplacement GeoIP et des scripts personnalisés, vous devrez acheter une licence professionnelle.

10. Violoneux (HTTP)

Fiddler n’est pas techniquement un outil de capture de paquets réseau, mais il est si incroyablement utile qu’il a fait la liste. Contrairement aux autres outils répertoriés ici qui sont conçus pour capturer le trafic ad hoc sur le réseau à partir de n’importe quelle source, Fiddler est davantage un outil de débogage de bureau. Il capture le trafic HTTP et bien que de nombreux navigateurs aient déjà cette capacité dans leurs outils de développement, Fiddler n’est pas limité au trafic du navigateur. Fiddler peut capturer n’importe quel trafic HTTP sur le bureau, y compris celui des applications non Web.

De nombreuses applications de bureau utilisent HTTP pour se connecter aux services Web et sans outil comme Fiddler, la seule façon de capturer ce trafic pour l’analyse utilise des outils comme tcpdump ou WireShark. Cependant, ces outils fonctionnent au niveau des paquets, donc l’analyse inclut la reconstruction de ces paquets en flux HTTP. Cela peut être beaucoup de travail pour effectuer une simple enquête HTTP et Fiddler vient à la rescousse. Fiddler peut aider à découvrir les cookies, les certificats et les données utiles entrant ou sortant de ces applications.

Cela aide que Fiddler soit gratuit et, tout comme Network Miner, il peut être exécuté dans Mono sur n’importe quel autre système d’exploitation doté d’un cadre Mono..

11. Capsa

Capsa Network Analyzer a plusieurs éditions, chacune avec des capacités différentes. Au premier niveau, Capsa gratuit, le logiciel capture essentiellement les paquets et permet une analyse très graphique de ceux-ci. Le tableau de bord est très unique et peut aider les administrateurs système novices à identifier rapidement les problèmes de réseau, même avec peu de connaissances réelles sur les paquets. Le niveau gratuit est destiné aux personnes qui souhaitent en savoir plus sur les paquets et développer leurs compétences en analystes à part entière.

La version gratuite sait comment surveiller plus de 300 protocoles, elle permet la surveillance des e-mails et elle est également capable d’enregistrer le contenu des e-mails et prend également en charge le déclenchement. Les déclencheurs peuvent être utilisés pour définir des alertes pour des situations spécifiques, ce qui signifie que Capsa peut également être utilisé à titre de support dans une certaine mesure.

Capsa est uniquement disponible pour Windows 2008 / Vista / 7/8 et 10.

Les derniers mots

Avec les outils que j’ai mentionnés, ce n’est pas un grand pas de voir comment un administrateur système pourrait construire une infrastructure de surveillance réseau à la demande. Tcpdump, ou Windump, pourrait être installé sur tous les serveurs. Un planificateur, tel que cron ou planificateur Windows, pourrait lancer une session de collecte de paquets à un moment donné et écrire ces collections dans un fichier pcap. Plus tard, un administrateur système peut transférer ces paquets vers une machine centrale et utiliser Wireshark pour les analyser. Si le réseau est si grand que cela n’est pas possible, alors les outils au niveau de l’entreprise comme la suite SolarWinds peuvent aider à apprivoiser toutes ces données réseau dans un ensemble de données gérable.