Analyse réseau WireShark

**DeVartas** · 07/12/2014, 16h33

Bonjour,

Je cherche à analyser mon LAN avec Wireshark. J'arrive à analyser mon flux personnel (je suis branché en CPL et WiFi) mais pas celui des autres adresses IP/Mac connectées sur le HUB en WiFi. Y a t-il un moyen d'y parvenir ?
Merci !

**sevyc64** · 07/12/2014, 18h41

si ta "multiprise" est un hub (de plus en plus rare), tu devrais voir tout le trafic qui passe par le hub.
Si c'est un switch (ce qui est bien plus probable) , tu ne verra que le trafic qui existe entre le switch et ta machine.

Avec des switchs plus évolués, manageables, il est possible de les configurer pour qu'ils recopient tout le trafic qu'ils reçoivent (sur plusieurs ou tous les ports) vers un de ses ports. Évidemment c'est sur ce port là que devra être la machine qui analyse le réseau.

**DeVartas** · 07/12/2014, 19h03

Qu'entends-tu par multiprise ?

Voici ma config si ça peut aider :

CPU : TP-Link TL-PA411KIT
Routeur : Sky SR102-Z

En voulant analyser le réseau, j'ai pu voir apparaître 2 IP fixes que j'ai paramétré dans le HUB, mais les protocoles ne semblaient pas complets (je n'avais que tu NB-quelque chose / je débute encore et découvre en même temps...)

**sevyc64** · 07/12/2014, 19h20

par "multiprise" j'entendais l'appareil ou tu branche tes câbles réseau (d'où les " ) puisque je le qualifiais ensuite de hub ou de switch.

impossible d'avoir la doc du routeur, le site est bien pourri (fournisseur de bouquet TV, à priori). Faudrait voir dans la doc si c'est bien un hub ou un switch qu'il y a en sortie, et s'il est configurable pour ce que tu veux.

**DeVartas** · 07/12/2014, 19h24

Oula... Alors là je dois avouer que je n'en sais rien du tout. Peut-être que cette page pourra t'aider ?

http://screenshots.portforward.com/routers/Sky/SR102/

**sevyc64** · 07/12/2014, 22h01

D'après ces vues, ton routeur semble être un routeur somme toute basique de box adsl.
Il n'y a rien apparemment port configurer le mode SPAN (appelé aussi port-mirroring), car, je pense bien que malgré l'apparition à plusieurs reprises du mot hub, c'est bien un switch qu'il doit y avoir en sortie.

**DeVartas** · 07/12/2014, 22h04

Mmm... Comment pourrais-je en avoir la certitude ? J'ai la boite de la box avec moi je vais voir s'il y a une info qui pourrait le dire (même si j'en doute)

**ram-0000** · 08/12/2014, 11h35

Quelle vitesse les ports ? A ma connaissance aucun hub n'a dépassé le 10Mbits/s. Si c'est du 100Mbits/s (ou plus) il y a de fortes chances que cela soit un switch (interne).

De toute façon, je dirais aussi que c'est un switch, les hubs, cela n'existe plus trop par défaut

**elssar** · 08/12/2014, 15h45

D'une certaine manière il existe encore, si tu flood un switch d'arp, il passe dans un mode de sécurité et devient un hub(ce n'est pas le cas pour tout les SW par contre). Donc les SW sont des hubs cachés

Pour en revenir au sujet, même si tu possèdes un SW (ce qui est probablement le cas). Il y a d'autres moyens qui permettent d'y parvenir. Je pense notamment aux MITM. Sachant que la plus simple à mettre en place c'est probablement le rogue dhcp couplé à une machine virtuel. Je pense que c'est assez auto-formateur en plus.

**DeVartas** · 10/12/2014, 23h39

ram-0000 : Je pense que je suis sur un switch, je sais plus où j'ai vu marqué ça mais le débit était de 100/Mbits : /
elssar : Alors... J'ai rien compris mais ça m'intéresse de savoir

**DeVartas** · 13/12/2014, 20h34

Je viens d'essayer de lancer Cain et Abel pour analyser mon réseau. Surprise, je viens de voir que deux adresses IP inconnues et non enregistrées dans mon routeur (tous les devices ont des IP fixes) ont essayé de s'y connecter avec les codes accès par défaut (codes d'accès à l'interface admin pré-changés par sécurité et visiblement j'ai bien fait).

Est-il possible qu'un processus que j'ignore tente de s'y connecter ou cela indique t-il juste qu'une personne a tenté de s'y introduire soit avec 2 appareils différents soit je ne sais comment ?
Merci !

**sevyc64** · 13/12/2014, 20h50

Un processus quelconque ne se connectera de toute façon qu'avec l'adresse IP physique de la machine sur laquelle il tourne.

Si tu as des IP inconnues, c'est que ce sont des machines non répertoriées qui ont tenter la connexion.
Maintenant reste à voir si les adresses sont local ou extérieures. Si c'est des adresses locales, cela signifie que des machines non répertoriées* se sont connectées à ton réseau local et ont réussi à obtenir une adresse IP de celui-ci.
Ça peut-être, par exemple, des smartphones de personnes présentes, qui accrochent le wifi, ouvert, de ton réseau
Ça peut-être aussi des personnes qui ont volontairement configurées leur machine pour pouvoir se connecter à ton réseau.

Mais dans tout les cas, l'accès au routeur avec le login et mot de passe d'usine est quelque chose de volontaire. Je doute que ce soit un processus tout seul qu'il l'est fait, sauf si tu as lancer un utilitaire de configuration du routeur et qu'il recherche celui-ci de façon automatique.

**DeVartas** · 13/12/2014, 20h55

Eh bien disons que Cain et Abel a tourné environ deux bonnes heures, je me demandais si c'était pas le logiciel en lui-même qui avait tenté.
Autrement, j'en conclus alors que quelqu'un a essayé de se connecter à l'interface de mon routeur. Impossible de savoir qui ? Je veux dire par là, y a t-il un historique de connexions ou autres ? Je sais que lorsque j'avais paramétré les IP fixes, je voyais le nom des machines du style iPhone xxx, PC xxx, MBP (mac book pro) xxx ...

Aussi le logiciel me transmet une tonne de APR-Cert; on en fait quoi exactement de ça ?