| ledoc | | lovers | | Nouveau membre |  | | 44 messages postés |
|  Posté le 28-11-2009 à 09:07:29   
| Le sniffing:
Alors le sniffing introduit: sniffer un réseau. Un réseau c'est une liaison entre 2, 3 ou plus d'adresses (machines). Les resaux permettent de faire transiter des packets d'informations encapsulés dans des informations tels :
- l'IP de la machine qui reçoit l'information
- les informations sur la carte réseau de la machine ciblée (tout en sachant que l'adresse MAC est propre à chaque carte réseau).
Pour établir la correspondance entre les adresses IP et les adresses MAC, un protocole ARP (Adress Resolution Protocol) est utilisé. Ainsi lors de l'encapsulation des données, pour éviter l'interception de ses données par une autre machine, l'adresse MAC est "écrite" en tout dernier lieu sur l'enveloppe d'encapsulation. Il y a donc 2 niveau d'authentification du destinataire.
Donc vous vous en doutez: quand un packet de données va être envoyée à une machine, une autre machine sur le même réseau ne pourra pas le lire car elle va comparer l'adresse MAC à la sienne pour savoir si c'est la bonne. Dans le cas échéant le système ne lit pas le packet. cependant le mode "mele" existe. Ce mode permet l'interconnection entre 2 réseaux: l'ordinateur est paramétré pour permettre le transimisson du packet de donnée à l'autre ordinateur (et donc l'ordinateur doit avoir 2 cartes réseaux).
On peut quand même essayer de voir si la carte d'un ordinateur suspect est ou non en mode mele. Mais est-ce possible dans tous les cas ?
Selon une rumeur, on aurait trouvé un astuces permettant de repérer la carte réseau d'un ordinateur cible en mode mele. La marche à suivre serait assez facilement réalisable:
Supposons que son nom soit "LAMER". Il suffira de changer son entree dans la table ARP de votre machine : arp -s LAMER 00:FF:00:FF:00:FF
Et ensuite, essayer la commande d'echo : ping LAMER
Si la la machine vous repond, c'est que c'est un ancien Linux, en mode mele.
N'oubliez pas de retablir l'integrite de votre table ARP :
arp -d LAMER
Notez que cela ne donne rien avec les versions recentes de Linux ou sur un autre OS. En effet cela est du à un bug dans /linux/net/ipv4/arp.c la fonction arp_rcv0 contrôle quand envoyer les reponses ARP. Mais le test est foireux, et cela fonctionnera si l'adresse IP est bonne, même si l'adresse ARP n'est pas la même.
Le programme neped.c automatise cette manipulation pour toutes les machines d'un reseau. On peut le telecharger sur :
http://www.rootshell.com/archive-j45...199809/neped.c
A present pour les cochons qui veulent contrer la manoeuvre, il suffit de reconfigurer votre carte avant de declencher votre sniffeur :
/sbin/ipconfig eth0 -arp
Cela empechera votre carte reseau de repondre aux requêtes ARP, et donc d'être detectee.
Bien entendu une autre technique consiste tout simplement à se faire passer pour la machine devant intercepter les données: cette méthode (parfois douteuse), s'appelle le spoofing. Pour sniffer les réseaux il existe aussi, les sniffers. Ceux-ci vont sniffers les packets, mais en ne denant souvent que les premiereres centaines d'octets (par chance la partie password, logins, et autres). Le problème est que pour utiliser un sniffer il faut avoir accès aux drivers de la carte réseau; ce qui ne devraient pas poser trop de problèmes avec un pc tournant sous Windows95, car les administrateurs des autres system windows NT, Linux... saisissent des paramètres de restrictions aux accès des drivers.
--------------------
Bonjour a tous , G'Day All / Désolé pour certain tutorial qui sont en anglais / Et bon Hack! / |
|
