La capture de paquets est un outil essentiel utilisé pour assurer le fonctionnement sûr et efficace des réseaux. Entre de mauvaises mains, il peut également être utilisé pour voler des données sensibles comme les noms d'utilisateur et les mots de passe. Dans cet article, nous allons nous pencher sur ce qu'est une capture de paquets, son fonctionnement, les types d'outils utilisés et examiner quelques exemples de cas d'utilisation.
- Qu'est-ce que la capture de paquets ?
- Comment fonctionne la capture de paquets ?
- Comment lire une capture de paquet
- Formats, bibliothèques et filtres, Oh My !
- Outils de capture de paquets
- Cas d'utilisation de la capture de paquets et du renifleur de paquets
- Avantages et inconvénients de la capture de paquets
Obtenez une évaluation gratuite des risques liés aux données
Qu'est-ce que la capture de paquets ?
La capture de paquets fait référence à l'action de capture de paquets IP (Internet Protocol) à des fins d'examen ou d'analyse. Le terme peut également être utilisé pour décrire les fichiers générés par les outils de capture de paquets, qui sont souvent enregistrés au format .pcap. La capture de paquets est une technique de dépannage courante pour les administrateurs réseau et est également utilisée pour examiner le trafic réseau à la recherche de menaces de sécurité. À la suite d'une violation de données ou d'un autre incident, les captures de paquets fournissent des indices médico-légaux essentiels qui facilitent les enquêtes. Du point de vue d'un pirate, les captures de paquets peuvent être utilisées pour voler des mots de passe et d'autres données sensibles. Contrairement aux techniques de reconnaissance active commebalayage des ports, la capture de paquets peut être réalisée sans laisser de trace pour les enquêteurs.
Comment fonctionne la capture de paquets ?
Il y a plus d'une façon d'attraper un paquet ! Les captures de paquets peuvent être effectuées à partir d'un équipement réseau tel qu'un routeur ou un commutateur, à partir d'un équipement dédié appelé tap, à partir de l'ordinateur portable ou de bureau d'un analyste et même à partir d'appareils mobiles. L'approche utilisée dépend de l'objectif final. Quelle que soit l'approche utilisée, la capture de paquets fonctionne en créant des copies de certains ou de tous les paquets passant par un point donné du réseau.
La capture de paquets à partir de votre propre machine est le moyen le plus simple de commencer, mais il y a quelques mises en garde. Par défaut, les interfaces réseau ne prêtent attention qu'au trafic qui leur est destiné. Pour une vue plus complète du trafic réseau, vous souhaiterez mettre l'interface en mode promiscuité ou en mode surveillance. Gardez à l'esprit que cette approche capturera également une vue limitée du réseau ; sur un réseau câblé, par exemple, vous ne verrez que le trafic sur le port du commutateur local auquel votre machine est connectée.
Sur un routeur ou un commutateur, des fonctionnalités connues sous le nom de mise en miroir de port, surveillance de port et analyseur de port commuté (SPAN) permettent aux administrateurs réseau de dupliquer le trafic réseau et de l'envoyer à un port spécifié, généralement pour exporter des paquets vers une solution de surveillance dédiée. De nombreux commutateurs et routeurs d'entreprise disposent désormais d'une fonction de capture de paquets intégrée qui peut être utilisée pour dépanner rapidement directement à partir de l'interface CLI ou Web de l'appareil. D'autres types d'équipements de mise en réseau, tels que les pare-feu et les points d'accès sans fil, disposent également généralement d'une fonctionnalité de capture de paquets.
Si vous effectuez une capture de paquets sur un réseau particulièrement vaste ou occupé, un tap réseau dédié peut être la meilleure option. Les taps sont le moyen le plus coûteux de capturer des paquets, mais n'induisent aucune baisse de performances puisqu'il s'agit de matériel dédié.
Comment lire une capture de paquet
Afin de comprendre et d'analyser une capture de paquets, vous aurez besoin de connaissances fondamentales sur les concepts de base des réseaux, en particulier le modèle OSI. Bien qu'il puisse y avoir des différences entre des outils spécifiques, les captures de paquets se composeront toujours d'une charge utile et de quelques en-têtes. La charge utile se compose des données réelles transférées - il peut s'agir de morceaux d'un film en streaming, d'e-mails, de ransomwares ou de tout autre élément traversant un réseau. Les en-têtes de paquet contiennent toutes les informations critiques qui aident l'équipement réseau à décider quoi faire avec chaque paquet. Les adresses source et de destination sont les plus importantes, mais les paquets IP ont un total de 14 en-têtes couvrant tout, de la classe de service au type de protocole. Un analyste de réseau professionnel aura une connaissance détaillée de tous ces domaines, mais une compréhension générale de la structure des paquets suffit pour commencer à résoudre les problèmes de performances ou à en savoir plus sur le fonctionnement des réseaux.
| Version | Longueur d'en-tête | Valeur DSCP | REC | Longueur totale du paquet |
| Identification | Drapeaux | Décalage de fragments | ||
| Durée de vie (TTL) | Protocole | Somme de contrôle d'en-tête | ||
Adresse IP source | ||||
Adresse IP de destination | ||||
Facultatif | ||||
Outre les adresses source et de destination, certains des champs les plus importants du point de vue du dépannage peuvent inclure le point de code de services différenciés (DSCP), les indicateurs et la durée de vie. DSCP est utilisé pour assurer la qualité de service (QoS) et est un domaine important pour le trafic en temps réel comme la voix sur IP (VoIP). Les indicateurs sont le plus souvent utilisés pour contrôler la fragmentation des paquets et peuvent devenir un problème lorsqu'un paquet portant l'indicateur Ne pas fragmenter dépasse également la taille de l'unité de transmission maximale (MTU) d'une liaison réseau. Les valeurs TTL sont décrémentées après chaque saut et peuvent fournir des indices importants sur le chemin d'un paquet à travers le réseau.
Pour les types de trafic non chiffrés, les renifleurs de paquets peuvent creuser plus loin que les en-têtes et inspecter la charge utile réelle. Cela peut être extrêmement utile pour résoudre les problèmes de réseau, mais constitue également un problème de sécurité potentiel lorsque des données sensibles telles que les noms d'utilisateur et les mots de passe sont présentes. Comprendre la signification de la charge utile d'un paquet peut nécessiter une connaissance du protocole utilisé.
Les applications de capture de paquets et d'analyse de réseau incluent souvent des outils pour filtrer, visualiser et inspecter de grandes quantités de données. Ces outils permettent une analyse qui n'est pas possible par l'inspection manuelle d'une capture de paquet. Les fichiers de capture peuvent également être introduits dans unSystème de détection d'intrusion/Systèmes de protection (IDS/IPS),Système de gestion des informations et des événements de sécurité (SIEM), ou d'autres types de produits de sécurité pour rechercher des signes d'attaque ou de violation de données.
Formats, bibliothèques et filtres, Oh My !
En ce qui concerne les captures de paquets, il existe toute une gamme de termes connexes qui peuvent rapidement prêter à confusion. Décomposons certains des termes les plus courants et les plus importants que vous pourriez entendre :
Formats de capture de paquets
Alors que des outils de capture de paquets comme Wireshark peuvent être utilisés pour inspecter le trafic en temps réel, il est plus courant d'enregistrer les captures dans un fichier pour une analyse ultérieure. Ces fichiers peuvent être enregistrés dans une variété de formats. Les fichiers .pcap sont les plus courants et sont généralement compatibles avec une large gamme d'analyseurs de réseau et d'autres outils. .pcapng s'appuie sur le format simple .pcap avec de nouveaux champs et fonctionnalités et est désormais le format par défaut lors de l'enregistrement de fichiers dans Wireshark. Certains outils commerciaux peuvent également utiliser des formats propriétaires.
Bibliothèques
Les bibliothèques telles que libpcap, winpcap et npcap sont les véritables vedettes de l'émission de capture de paquets, se connectant à la pile réseau d'un système d'exploitation et offrant la possibilité de scruter les paquets se déplaçant entre les interfaces. Beaucoup de ces bibliothèques sont des projets open source, vous pouvez donc les trouver dans une grande variété d'outils de capture de paquets commerciaux et gratuits. Dans certains cas, vous devrez peut-être installer la bibliothèque séparément de l'outil.
Filtration
La capture de paquets complets peut prendre un peu d'espace et exiger plus de ressources de la part du périphérique de capture. C'est aussi exagéré dans la plupart des cas - les informations les plus intéressantes ne représentent généralement qu'une petite partie du trafic total observé. Les captures de paquets sont souvent filtrées pour éliminer les informations pertinentes. Cela peut être basé sur tout, de la charge utile à l'adresse IP en passant par une combinaison de facteurs.
Un grand nombre d'outils différents sont disponibles pour capturer et analyser les paquets traversant votre réseau. Ceux-ci sont parfois appelés renifleurs de paquets. Voici quelques-uns des plus populaires :
Wireshark
L'outil de paquet par excellence,Wiresharkest l'outil de capture de paquets incontournable pour de nombreux administrateurs réseau, analystes de sécurité et geeks amateurs. Avec une interface graphique simple et des tonnes de fonctionnalités pour trier, analyser et donner un sens au trafic, Wireshark combine facilité d'utilisation et capacités puissantes. Le package Wireshark comprend également un utilitaire de ligne de commande appelé tshark.
tcpdump
Léger, polyvalent et préinstallé sur de nombreux systèmes d'exploitation de type UNIX,tcpdumpest le rêve d'un accro CLI devenu réalité quand il s'agit de captures de paquets. Cet outil open source peut capturer rapidement des paquets pour une analyse ultérieure dans des outils tels que Wireshark, mais possède de nombreuses commandes et commutateurs propres pour donner un sens à de vastes quantités de données réseau.
Moniteur de performances réseau SolarWinds
Cet outil commercial est depuis longtemps un favori pour sa facilité d'utilisation, ses visualisations et sa capacité à classer le trafic par application. Bien que l'outil ne s'installe que sur les plates-formes Windows, il peut détecter et analyser le trafic de tout type d'appareil.
ColaSoft Capsa
ColaSoft fabrique un renifleur de paquets commercial destiné aux entreprises clientes, mais propose également unédition allégéedestiné aux étudiants et à ceux qui se lancent dans le réseautage. L'outil dispose d'une variété de fonctionnalités de surveillance pour faciliter le dépannage et l'analyse en temps réel.
Le kismet
Le kismetest un utilitaire dédié à la capture du trafic sans fil et à la détection des réseaux et appareils sans fil. Disponible pour les plates-formes Linux, Mac et Windows, cet outil prend en charge un large éventail de sources de capture, notamment les radios Bluetooth et Zigbee. Avec la bonne configuration, vous pouvez capturer les paquets de tous les appareils du réseau.
Cas d'utilisation de la capture de paquets et du renifleur de paquets
Alors que le terme Packet Sniffer peut évoquer des images de pirates exploitant secrètement des communications sensibles, il existe de nombreuses utilisations légitimes pour un renifleur de paquets. Voici quelques cas d'utilisation typiques des renifleurs de paquets :
Découverte d'actifs/reconnaissance passive
Les paquets, de par leur nature même, incluent des adresses source et de destination, de sorte qu'une capture de paquets peut être utilisée pour découvrir des points de terminaison actifs sur un réseau donné. Avec suffisamment de données, il est même possible d'identifier les terminaux. Lorsque cela est fait à des fins commerciales légitimes, cela s'appelle la découverte ou l'inventaire. Cependant, la nature passive d'une capture de paquets en fait un excellent moyen pour les attaquants malveillants de recueillir des informations pour les étapes ultérieures d'une attaque. Bien sûr, la même technique peut être utilisée parcoéquipiers rougestester la sécurité d'une organisation
Dépannage
Lors du dépannage de problèmes de réseau, l'inspection du trafic réseau réel peut être le moyen le plus efficace de réduire la cause première d'un problème. Les renifleurs de paquets permettent aux administrateurs réseau et aux ingénieurs de visualiser le contenu des paquets traversant le réseau. Il s'agit d'une fonctionnalité essentielle lors du dépannage des protocoles réseau fondamentaux tels que DHCP, ARP et DNS. Les captures de paquets ne révèlent cependant pas le contenu du trafic réseau chiffré.
Le reniflage des paquets peut aider à vérifier que le trafic emprunte le bon chemin sur le réseau et qu'il est traité avec la bonne priorité. Une liaison réseau encombrée ou interrompue est souvent facile à repérer dans une capture de paquets, car un seul côté d'une conversation généralement bilatérale sera présent. Les connexions avec un grand nombre de tentatives ou de paquets abandonnés indiquent souvent une liaison surutilisée ou un matériel réseau défaillant.
Détection d'intrusion
Le trafic réseau suspect peut être enregistré sous forme de capture de paquets et transmis à une solution IDS, IPS ou SIEM pour une analyse plus approfondie. Les attaquants font de grands efforts pour se fondre dans le trafic réseau normal, mais une inspection minutieuse peut découvrir le trafic secret. Les adresses IP malveillantes connues, les charges utiles révélatrices et d'autres détails infimes peuvent tous indiquer une attaque. Même quelque chose d'aussi inoffensif qu'unRequête DNS, s'il est répété à intervalles réguliers, pourrait être le signe d'une balise de commandement et de contrôle.
Réponse aux incidents et criminalistique
Les captures de paquets offrent une opportunité unique aux intervenants en cas d'incident. Les attaquants peuvent prendre des mesures pour couvrir leurs traces sur les terminaux, mais ils ne peuvent pas annuler l'envoi de paquets qui ont déjà traversé un réseau. Qu'il s'agisse de logiciels malveillants, d'exfiltration de données ou d'un autre type d'incident, les captures de paquets peuvent souvent détecter les signes d'une attaque que d'autres outils de sécurité manquent. Comme un en-tête de paquet contiendra toujours à la fois une adresse source et une adresse de destination, les équipes de réponse aux incidents peuvent utiliser des captures de paquets pour tracer le chemin d'un attaquant à travers le réseau ou repérer des signes d'exfiltration de données hors du réseau.
Avantages et inconvénients de la capture de paquets
Comme déjà indiqué, les captures de paquets sont un atout considérable pour les administrateurs réseau et les équipes de sécurité. Cependant, ils ne sont pas la seule option pour surveiller le trafic réseau, et il peut y avoir des cas où des choses comme SNMP ou NetFlow sont de meilleurs choix. Voici un aperçu de certains des avantages et des inconvénients de l'utilisation des captures de paquets :
Avantage : aperçu le plus complet du trafic réseau
La capture de paquets est par définition une copie dupliquée des paquets réels traversant un réseau ou une liaison réseau. Il s'agit donc de l'examen le plus approfondi possible du trafic réseau. Les captures de paquets contiennent un niveau de détail élevé qui n'est pas disponible dans d'autres solutions de surveillance, notamment la charge utile complète, tous les champs d'en-tête IP et, dans de nombreux cas, même des informations sur l'interface de capture. Cela peut faire de la capture la seule solution viable dans les cas où beaucoup de détails sont nécessaires.
Avantage : peut être enregistré pour une analyse plus approfondie
Les captures de paquets peuvent être enregistrées pour une analyse ou une inspection plus approfondie dans les formats .pcap et .pcapng standard de l'industrie. Cela permet, par exemple, au trafic suspect d'être enregistré par un ingénieur réseau, puis examiné ultérieurement par un analyste de la sécurité. Une grande variété d'outils prennent en charge ce format, y compris des outils d'analyse de sécurité. Il est également possible de sauvegarder une capture de paquets composée de plusieurs heures de données et de la revoir ultérieurement.
Avantage : indépendant du matériel
SNMP et NetFlow nécessitent tous deux une prise en charge au niveau du matériel réseau. Bien que les deux technologies bénéficient d'un large soutien, elles ne sont pas universellement disponibles. Il peut également y avoir des différences dans la façon dont chaque fournisseur les implémente. La capture de paquets, en revanche, ne nécessite pas de support matériel spécialisé et peut être effectuée à partir de n'importe quel périphérique ayant accès au réseau.
Inconvénient : fichiers de grande taille
La capture de paquets complets peut occuper de grandes quantités d'espace disque - dans certains cas jusqu'à 20 fois plus d'espace que d'autres options. Même lorsque le filtrage est appliqué, un seul fichier de capture peut occuper plusieurs gigaoctets de stockage. Cela peut rendre les captures de paquets inadaptées au stockage à long terme. Ces fichiers volumineux peuvent également entraîner de longs temps d'attente lors de l'ouverture d'un fichier .pcap dans un outil d'analyse de réseau.
Inconvénient : trop d'informations
Bien que les captures de paquets fournissent un aperçu très complet du trafic réseau, elles sont souventaussicomplet. Les informations pertinentes peuvent souvent se perdre dans de vastes quantités de données. Les outils d'analyse ont des fonctionnalités pour ordonner, trier et filtrer les fichiers de capture, mais de nombreux cas d'utilisation pourraient être mieux servis par d'autres options. Il est souvent possible de dépanner un réseau ou de repérer les signes d'une attaque avec uniquement les versions résumées du trafic réseau disponibles dans d'autres solutions de surveillance. Une approche courante consiste à utiliser une technologie telle que NetFlow pour surveiller tout le trafic et se tourner vers une capture complète des paquets si nécessaire.
Inconvénient : champs fixes
Les versions les plus récentes de NetFlow permettent des enregistrements personnalisables, ce qui signifie que les administrateurs réseau peuvent choisir les informations à capturer. Étant donné qu'une capture de paquets est basée sur la structure existante d'un paquet IP, il n'y a pas de place pour la personnalisation. Cela peut ne pas être un problème, mais encore une fois, selon le cas d'utilisation, il peut ne pas être nécessaire de capturer tous les champs d'un paquet IP.
Conclusion
La capture de paquets est inestimable du point de vue du dépannage et de la sécurité, mais ne doit jamais être le seul outil sur lequel un administrateur réseau ou un ingénieur en sécurité s'appuie. L'utilisation accrue du cryptage à des fins légitimes et illégitimes limite l'efficacité d'outils comme Wireshark. Les captures de paquets ne donnent pas non plus aux intervenants en cas d'incident une idée précise des actions qui ont eu lieu sur un hôte. Des fichiers auraient pu être modifiés, des processus masqués et de nouveaux comptes d'utilisateurs créés sans générer un seul paquet. LeProtection des données du hérosLa plate-forme fournit une vue centrée sur les données de votre organisation qui peut repérer les menaces qui ne sont pas détectées dans le réseau. Comme toujours, assurez-vous d'utiliser une défense en profondeur et les meilleures pratiques dans votre réseau. Et lorsque vous serez prêt à ajouter Varonis à votre ensemble d'outils de sécurité, planifiez unedémo individuelle!
FAQs
Comment analyser des paquets ? ›
Vous pouvez lire les informations de paquets hors ligne avec un analyseur de paquets tel que Wireshark ou tcpdump. Si vous devez rapidement capturer des paquets destinés au moteur de routage ou les analyser en ligne, vous pouvez utiliser l'outil de diagnostic de capture de paquets J-Web.
Comment Wireshark Capture-t-il les paquets réseau ? ›Par défaut, Wireshark ne capture que les paquets envoyés et reçus par l'ordinateur sur lequel il est exécuté. En cochant la case Promiscuous Mode dans les paramètres de capture, vous pouvez capturer la plupart du trafic intervenant sur le réseau local.
Quel est le rôle de Wireshark ? ›Wireshark est un analyseur de protocole réseau. Il permet de visualiser et de capturer les trames, les paquets de différents protocoles réseau, filaire ou pas.
Comment se nomme le procédé qui consiste à inspecter les paquets de données qui circulent sur un réseau ? ›La capture de paquets désigne l'action de capturer des paquets IP (Internet Protocol) pour les examiner ou les analyser.
Pourquoi Découpe-t-on l'information en paquets ? ›Pour mieux circuler sur Internet, les données des utilisateurs sont découpées en paquets avant d'être transmises. Ce découpage permet une transmission efficace, sans perte et plus rapide quel que soit le trafic et la quantité des données qui transitent.
Comment savoir si on a des pertes de paquets ? ›Par exemple, si un paquet passe par 10 routeurs, on considère qu'il y a 10 sauts sur le chemin du réseau pour arriver à sa destination. Si votre connexion Internet est lente ou si vous constatez qu'une application Web ne fonctionne pas, il peut s'agir d'un problème de perte de paquets.
Quel est le champ qui permet de savoir si un paquet IP est fragmenté ? ›Pour déterminer si le paquet complet peut être reconstitué, IP se base sur le champ fragment offset (position du fragment), sur 13 bits. Il indique simplement la position du fragment dans le paquet d'origine, sa valeur correspond au nombre d'octets avant lui.
Comment sont acheminés les différents paquets ? ›Les paquets sont normalement acheminés par les nœuds de réseau intermédiaires de manière asynchrone en utilisant la méthode du premier entré, premier sorti.
Comment régler les pertes de paquets ? ›Solutions rapides à la perte de paquets
Si vous utilisez une connexion câblée, essayez de brancher le câble Ethernet à un port différent du routeur : les ports défectueux sont une cause potentielle de perte de paquets. Ensuite, essayez de remplacer le câble Ethernet lui-même (à condition d'en avoir un autre).
Au niveau de l'ordinateur client, il y a une encapsulation :
Cette requête est encapsulée dans un datagramme (ou plusieurs) par le protocole TCP : couche Transport. Ces datagrammes sont encapsulés avec des adresses IP dans des paquets pour pouvoir circuler dans le réseau : couche Internet.