Le reniflement de paquets peut sembler être le dernier engouement pour la drogue de rue, mais c'est loin de là. Les renifleurs de paquets ou analyseurs de protocoles sont des outils utilisés par les techniciens réseau pour diagnostiquer les problèmes liés au réseau. Les pirates utilisent des renifleurs de paquets à des fins moins nobles telles que l'espionnage du trafic des utilisateurs du réseau et la collecte de mots de passe.
Les renifleurs de paquets se présentent sous différentes formes. Certains renifleurs de paquets utilisés par les techniciens réseau sont des solutions matérielles dédiées à usage unique. En revanche, les autres renifleurs de paquets sont des applications logicielles qui s'exécutent sur des ordinateurs grand public standard, utilisant le matériel réseau fourni sur l'ordinateur hôte pour effectuer des tâches de capture et d'injection de paquets.
Lifewire / Tim Liedtke
Comment fonctionnent les renifleurs de paquets
Les renifleurs de paquets fonctionnent en interceptant et en enregistrant le trafic réseau qu'ils peuvent voir via l'interface réseau filaire ou sans fil à laquelle le logiciel de reniflage de paquets a accès sur son ordinateur hôte.
Sur un réseau filaire, les informations qui peuvent être capturées dépendent de la structure du réseau. Un renifleur de paquets peut être en mesure de voir le trafic sur un réseau entier ou seulement sur un certain segment de celui-ci, selon la configuration des commutateurs réseau. Sur les réseaux sans fil, les renifleurs de paquets ne peuvent généralement capturer qu'un seul canal à la fois, à moins que l'ordinateur hôte ne dispose de plusieurs interfaces sans fil permettant la capture multicanal.
Bien que la plupart des renifleurs de paquets utilisés de nos jours soient des logiciels, les renifleurs de paquets matériels jouent toujours un rôle dans le dépannage du réseau. Les renifleurs de paquets matériels se connectent directement à un réseau et stockent ou transfèrent les informations qu'ils collectent.
Une fois les données de paquet brutes capturées, le logiciel de détection de paquets les analyse et les présente sous une forme lisible par l'homme afin que la personne qui utilise le logiciel puisse en comprendre le sens. La personne analysant les données peut afficher les détails de l'interaction entre deux ou plusieurs nœuds sur le réseau. Les techniciens réseau utilisent ces informations pour déterminer où se trouve une panne, par exemple pour déterminer quel périphérique n'a pas répondu à une demande réseau.
Les pirates utilisent des renifleurs pour écouter les données non chiffrées des paquets afin de voir quelles informations sont échangées entre deux parties. Ils peuvent également capturer des informations telles que des mots de passe et des jetons d'authentification s'ils sont envoyés en clair. Les pirates sont également connus pour capturer des paquets pour une lecture ultérieure dans les attaques de relecture, de man-in-the-middle et d'injection de paquets auxquelles certains systèmes sont vulnérables.
Outils logiciels couramment utilisés dans le reniflage de paquets
Comme tout le monde, les ingénieurs réseau et les pirates aiment les trucs gratuits, c'est pourquoi les applications logicielles de renifleur open source et freeware sont souvent les outils de choix pour les tâches de reniflage de paquets. L'une des offres open source les plus populaires est Wireshark, anciennement connue sous le nom d'Ethereal. Utilisez-le pour renifler vos paquets sur le terrain, les enregistrer dans un fichier CAP et les analyser plus tard.
Protégez un réseau et ses données contre les pirates utilisant des renifleurs
Si vous êtes un technicien ou un administrateur réseau et que vous souhaitez voir si quelqu'un sur votre réseau utilise un outil de détection, consultez un outil appelé Antisniff. Il peut détecter si une interface réseau de votre réseau a été mise en mode promiscuité - ne riez pas; c'est son nom réel - qui est le mode requis pour les tâches de capture de paquets.
Un autre moyen de protéger votre trafic réseau contre le reniflement consiste à utiliser un cryptage tel que Secure Sockets Layer (SSL) ou Transport Layer Security (TLS). Le chiffrement n'empêche pas les renifleurs de paquets de voir les informations de source et de destination, mais il crypte la charge utile du paquet de données de sorte que tout ce que le renifleur voit soit du charabia chiffré. Toute tentative de modification ou d'injection de données dans les paquets échoue car la manipulation des données chiffrées provoque des erreurs qui sont évidentes lorsque les informations chiffrées sont déchiffrées à l'autre extrémité.
Les renifleurs sont d'excellents outils pour diagnostiquer les problèmes de réseau dans les mauvaises herbes. Malheureusement, ils sont également utiles à des fins de piratage. Il est essentiel que les professionnels de la sécurité se familiarisent avec ces outils afin de voir comment un pirate informatique pourrait les utiliser sur leur réseau.
Types de renifleurs de paquets d'informations rassemblés
Bien que les renifleurs de paquets soient l'un des outils du commerce pour les ingénieurs réseau, ils sont également répandus dans certains logiciels antivirus réputés et en tant que logiciels malveillants dans les pièces jointes malveillantes.
Les renifleurs de paquets peuvent collecter presque tous les types de données. Ils peuvent enregistrer les mots de passe et les informations de connexion, ainsi que les sites Web visités par un utilisateur d'ordinateur et ce que l'utilisateur a consulté sur le site. Ils peuvent être utilisés par les entreprises pour suivre l'utilisation du réseau par les employés et analyser le trafic entrant à la recherche de code malveillant. Dans certains cas, un renifleur de paquets peut enregistrer tout le trafic sur un réseau.
Les renifleurs de paquets sont précieux car ils limitent les logiciels malveillants et sont utiles pour résoudre les problèmes de réseau, mais ils doivent être utilisés avec un logiciel de sécurité robuste pour éviter leur utilisation abusive.