Discussion :

[Samuel_]

Bonjour à tous,

je connais très peu WireShark, et j'ai plusieurs questions sur ce logiciel :

• Mon PC est connecté en filaire à mon réseau local, lorsque je lance un scan par WireShark, je visualise seulement les paquets transitant sur le réseau filaire ou également ceux échangés sur le réseau Wifi local ?
• Comment je peux détecter une intrusion sur mon réseau ? En déconnectant tous les appareils du réseau et en lançant un scan du réseau ?
• Concrètement j'utilise WireShark pour détecter d'éventuelles intrusions. Connaissez vous d'autres logiciels de ce genre ?

Bonne journée,

Samuel_

PS : Petite info supplémentaire, je tourne sur Windows ...

[bytecode]

Bonjour,

il y a airsnare

Ou créer un pipe wireshark/tcpdump sous unix

Il est possible de visualiser la capture en temps réel au prix d’une petite astuce :

lancer la capture avec tcpdump dans un fichier capture.cap en utilisant l’option -U (écriture immédiate). L’option « -n » (pas de conversion d’adresse, têche réalisée par Wireshark ultérieurement) peut être judicieuse ;
créer un « tube nommé » (sous Unix) avec la commande « mkfifo CapPipe »
lancer en tâche de fond un tail -f de la capture vers le pipe : « tail -n +0f capture.cap > CapPipe & »
lancer Wireshark sur ce Pipe : « wireshark -i CapPipe -k »

La capture peut d’ailleurs avoir lieu sur une machine distance en stockant le fichier « capture.cap » sur un répertoire réseau et en l’exploitant sur une station de travail ou encore en faisant transiter le contenu de la capure via un ssh ( « tail -n +0f capture.cap | ssh moi@mamachine ’cat > CatPipe’ »).

[Samuel_]

Merci pour ta réponse bytecode.

Airsnare m'a l'air très intéressant. De plus il existe plusieurs tuto sur le sujet.
Je teste ça au plus vite et je ferai un retour.

Encore merci !

[manticore]

Sur wireshark tu dois sélectionner les interfaces que tu veux écouter. Avec les nouvelles versions tu peux écouter plusieurs interfaces simultanément.

Détecter des intrusions en écoutant le réseau peut être pénible, tu risques d'avoir beaucoup de trafic a analyser... Je suppose qu'il doit exister des outils d'analyses de dump (copie de capture du trafic réseau), si tu en trouves un je suis intéressé par ton retour d'expérience.

[dahtah]

Je suppose qu'il doit exister des outils d'analyses de dump (copie de capture du trafic réseau), si tu en trouves un je suis intéressé par ton retour d'expérience.

Snort peut prendre un pcap en entree. C'est pratique pour faire du forensic.

Plus generallement, personne n'essaye de detecter des intrusions avec wireshark. C'est pas le bon outil.
Ce que tu cherches est un IDS ou IPS, tel que Snort, suricata, BroIDS, ...