Discussion :

[cyranno]

Salut tt le monde!
J'ai un projet dont le théme est:"Ecoute de trafic réseau "
En écoutant l'interface du routeur qui relie l'entreprise a l'extérieur.
C'est a dire dévéloppement d'un sniffer sans passer par le mode promiscious du carte réseau mais en écoutant tout ce qui se passe dans le routeur.
En ce moment J'ai aucune idée d'entreprendre ce projet;Donc si vous avez quelques idées ou des des cours a me fournir,je vous serez trés reconnaissant!
En faite ce projet est programmé en C et doit être implémenter sur une machine linux.
Rq: On a choisit le mode écoute du routeur parceque tous les trafics entrant et sortant(de l'extérieur et du réseau local) passe par le routeur.

[Emmanuel Delahaye]

J'ai un projet dont le théme est:"Ecoute de trafic réseau "

libpcap, analyse des données...

En écoutant l'interface du routeur qui relie l'entreprise a l'extérieur.
C'est a dire dévéloppement d'un sniffer sans passer par le mode promiscious du carte réseau mais en écoutant tout ce qui se passe dans le routeur.

Ca me parait assez étrange comme procédé, mais je ne maitrise pas tous les aspects des réseaux... C'est une application à développer dans le routeur ?

En ce moment J'ai aucune idée d'entreprendre ce projet;Donc si vous avez quelques idées ou des des cours a me fournir,je vous serez trés reconnaissant!

Je pense que tu devrais demander conseil à des spécialistes des réseaux (ici, c'est un forum C, rien à voir...) pour étudier la faisabilité de la chose, car pour moi, c'est douteux...

http://www.developpez.net/forums/forumdisplay.php?f=63

En faite ce projet est programmé en C et doit être implémenter sur une machine linux.

On en est pas là !

Rq: On a choisit le mode écoute du routeur parceque tous les trafics entrant et sortant(de l'extérieur et du réseau local) passe par le routeur.

Je ne sais pas ce qu'est le "mode écoute du routeur"...

[cyranno]

Je vais reformulé un peu ce que je doit faire( a propos du sniffer)
Mon pb c'est comment capturer et intercepter des paquets passer par l'interface du routeur qui relie l'entreprise a l'extérieur a l'aide d'un programme codé en C et développé sur une machine linux.
Logiquement tt les trafics doit passer par cela.
L'objectif:C'est d'avoir plus d'information sur le trafic du réseau(IP source,IP destination,Protocole,....).
Certe qu'il ya une solution assez simple comme passez la carte réseau en mode Promiscuous,mais par défaut de Switch qui se place aprés le routeur on ne pourra pas intercepter la totalité des trafics.
Je pense que c'est a peu prés ça!
Donc si vous avez qlq idées,ils seront toujours les bienvenues
Merci!!

[psyphi]

Je vais reformulé un peu ce que je doit faire( a propos du sniffer)
Mon pb c'est comment capturer et intercepter des paquets passer par l'interface du routeur qui relie l'entreprise a l'extérieur a l'aide d'un programme codé en C et développé sur une machine linux.

C'est impossible.
Si tu veux sniffer tout ce qui passe par le routeur, le seul moyen c'est d'installer un sniffer sur le routeur, ou bien de te faire passer pour lui via une attaque man in the middle.

[Skyounet]

En gros tu veux sniffer ce qui passe par le routeur.

Bah pas possible

Ou faire comme psyphi l'a dit, un sniffer sur le routeur () ou un poisoning pour te faire passer par le routeur et rerouter ensuite.

Bref dans tous les cas, aucun rapport avec le langage C désolé.

[BainE]

Est ce que en modifiant le firmware du router ca pourrait pas le faire ?
je sors ->

[cyranno]

C'est impossible.
Si tu veux sniffer tout ce qui passe par le routeur, le seul moyen c'est d'installer un sniffer sur le routeur, ou bien de te faire passer pour lui via une attaque man in the middle.

Alors comment le sniffer PRTG fait-il quels sont ses principes?
Puisque avec lui on peut surveiller le routeur,la statistique d'utilisation de la bande passante.
Il est installé sur n'importe quel poste?Et pour permettre d'écouter un interface du routeur il suffit de préciser son adresse IP.

[psyphi]

D'après wikipedia:

With PRTG bandwidth usage of a network can be monitored and classified using the three most common bandwidth data acquisition methods:

* SNMP: Reads traffic counters of network devices like switches, routers and servers
* Packet Sniffer: Looks at all data packets travelling through a network using the promiscuous mode and analyzes the network packets to find out the IP addresses, protocols, etc. of the source and target machine
* Netflow: Analyses Netflow protocol packets used mostly by Cisco routers

Pour la partie sniffer, ça m'a l'air d'un sniffer normal qui sera bloqué par n'importe quel switch et qui n'est pas en mesure de savoir exactement les paquets qui transitent sur le routeur.

[cyranno]

En gros tu veux sniffer ce qui passe par le routeur.

Bah pas possible

Ou faire comme psyphi l'a dit, un sniffer sur le routeur () ou un poisoning pour te faire passer par le routeur et rerouter ensuite.

Bref dans tous les cas, aucun rapport avec le langage C désolé.

Alors comme il est impossible de sniffer ce qui se passe par le routeur donc il est aussi impossible de sniffer sur une autre machine distant.
Car je pense qu'ils doivent avoir les mêmes procédés pour se réaliser.
En faite est-ce que vous pouvez me donner qlq explication sur votre "poisoning" je n comprends pas?
Et comment installer une application sur le routeur, jamais entendu parler ?
Merci!!!!!!!

[Emmanuel Delahaye]

Alors comme il est impossible de sniffer ce qui se passe par le routeur donc il est aussi impossible de sniffer sur une autre machine distant.
Car je pense qu'ils doivent avoir les mêmes procédés pour se réaliser.
En faite est-ce que vous pouvez me donner qlq explication sur votre "poisoning" je n comprends pas?
Et comment installer une application sur le routeur, jamais entendu parler ?
Merci!!!!!!!

Je commence à comprendre ce que tu veux faire. Je crois qu'il te manque un peu de théorie sur les réseaux pour comprendre le problème.

Sur réseau local "à poil", c'est à dire sans switch (juste des hubs), tout le trafic passe par toutes les branches du réseau.

- trafic local système (netbios sous Windows, samba sous Win/Linux etc.)
- requêtes arp (résolution d'adresses locales et/ou distantes)
- trafic applicatif (web, mail, ftp etc. local et/ou distant)

Donc, sur un tel réseau, il suffit d'installer un sniffer (EtherReal, par exemple) sur n'importe quel poste, et on voit tout le trafic. On en voit même tellement qu'en général, on filtre (par protocole, par port, par IP ou plage d'IP, par sous réseau etc.)

Si tu tiens à réinventer la roue, libpcap est ton amie.

Maintenant, sur un réseau professionnel, on va optimiser le rafic à coup de switch et de ponts filtrants.

Ce qui fait que selon les branches du réseau, on aura uniquement le trafic local, avec de temps en temps, du trafic distant.

Il n'y a donc plus de point où l'on voit 'tout' le trafic (c'est le but de l'optimisation).

Mais plus on se rapproche du routeur, plus on a du trafic uniquement (ou presque) 'distant'. C'est donc par là qu'il faut mettre le sniffer si on veut monitorer le trafic sur le réseau distant ...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
LAN    -----------
------|           |
------| switch    |        --------
------| principal |---*---| Routeur|--- WAN
------|           |        --------
       -----------

Il faut se brancher (avec un hub tout ce qu'il y a de plus rapide mais non filtrant) entre le switch et le routeur (*).

Mais il n'y aura pas (ou peu) de trafic local. On est bien d'accord ?

[cyranno]

Je commence à comprendre ce que tu veux faire. Je crois qu'il te manque un peu de théorie sur les réseaux pour comprendre le problème.

Sur réseau local "à poil", c'est à dire sans switch (juste des hubs), tout le trafic passe par toutes les branches du réseau.

- trafic local système (netbios sous Windows, samba sous Win/Linux etc.)
- requêtes arp (résolution d'adresses locales et/ou distantes)
- trafic applicatif (web, mail, ftp etc. local et/ou distant)

Donc, sur un tel réseau, il suffit d'installer un sniffer (EtherReal, par exemple) sur n'importe quel poste, et on voit tout le trafic. On en voit même tellement qu'en général, on filtre (par protocole, par port, par IP ou plage d'IP, par sous réseau etc.)

Si tu tiens à réinventer la roue, libpcap est ton amie.

Maintenant, sur un réseau professionnel, on va optimiser le rafic à coup de switch et de ponts filtrants.

Ce qui fait que selon les branches du réseau, on aura uniquement le trafic local, avec de temps en temps, du trafic distant.

Il n'y a donc plus de point où l'on voit 'tout' le trafic (c'est le but de l'optimisation).

Mais plus on se rapproche du routeur, plus on a du trafic uniquement (ou presque) 'distant'. C'est donc par là qu'il faut mettre le sniffer si on veut monitorer le trafic sur le réseau distant ...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
 
LAN    -----------
------|           |
------| switch    |        --------
------| principal |---*---| Routeur|--- WAN
------|           |        --------
       -----------

Il faut se brancher (avec un hub tout ce qu'il y a de plus rapide mais non filtrant) entre le switch et le routeur (*).

Mais il n'y aura pas (ou peu) de trafic local. On est bien d'accord ?

Merci pour les explications!!!
Alors ce que tu veux dire c'est de brancher un hub entre le routeur et le switch puis ce hub sert a connecter la machine sniffer et tu crois que ça pourra marcher, que la machine sniffer capturera tt les trafics.
Et a propos du librairie libpcap est-ce que tu pourra me donner qlq liens?
Merci!!

[Emmanuel Delahaye]

Merci pour les explications!!!
Alors ce que tu veux dire c'est de brancher un hub entre le routeur et le switch puis ce hub sert a connecter la machine sniffer et tu crois que ça pourra marcher, que la machine sniffer capturera tt les trafics.

Tous les trafics à destination (ou en provenance) du WAN (réseau distant), et, si il y a des switch en aval, quasiment rien du trafic local (LAN). C'est bien clair ça ?

Et a propos du librairie libpcap est-ce que tu pourra me donner qlq liens?

Google m'indique : http://sourceforge.net/projects/libpcap/...