Le reniflement de paquets (Sniffing)

I. Concept du reniflement

I.1 Définition

Le reniflement est une technique de surveillance et de capture de tous les paquets de données d’un réseau à l’aide d’outils logiciels ou matériels. Il permet aussi à un attaquant d’observer et d’accéder à l’intégralité du trafic réseau cible à partir d’un point donné.

Le reniflement de paquets permet à l’attaquant de collecter des informations telles que le trafic de messagerie, la configuration des routeurs, le trafic DNS, les sessions de chat, etc.

I.2 Types de reniflement

Il existe deux (2) types de reniflement :

I.2.1 Reniflement passif 

Il s’agit de renifler un réseau à travers un concentrateur. Lorsqu’on utilise des concentrateurs pour interconnecter tous les hôtes du réseau. Ces derniers peuvent voir tout le trafic qui circule dans ce réseau. Par conséquent, un attaquant peut facilement capturer le trafic passant par le concentrateur. Cette approche est devenue obsolète aujourd’hui car la plupart des réseaux utilise maintenant des commutateurs.

I.2.2 Reniflement actif 

Il est utilisé pour renifler un réseau basé sur un commutateur. Cela implique d’injecter des paquets de résolution d’adresse (ARP) dans le réseau pour inonder la table de la mémoire adressable du contenu (table CAM) du commutateur.

La table CAM permet de connaitre à quel port est connecté un hôte. (Relation entre une adresse MAC et un numéro de port

Techniques de reniflement actives :

  • Inondation MAC ou Attaques MAC (voire II) ?
  • Empoisonnement DNS
  • Empoisonnement ARP ou Attaque par usurpation d’ARP
  • Attaques par DHCP
  • Vol de port de commutateur
  • Attaque par usurpation d’identité

I.3 Etapes pour attaquer à l’aide de renifleurs

Un attaquant désirant pirater un réseau à l’aide de renifleurs procède comme suit :

   Etape 1 : Il connecte son ordinateur à un port de commutation.

   Etape 2 : Il exécute des outils de découverte pour en savoir plus sur la topologie du réseau.

   Etape 3 : Il identifie et choisit une machine victime pour viser ses attaques.

   Etape 4 : Il empoisonne la machine cible en utilisant des techniques d’usurpation d’ARP.

   Etape 5 : Le trafic destiné à la machine cible est redirigé vers l’attaquant.

   Etape 6 : Le pirate extrait les données sensibles du trafic redirigé.

I.4 Protocoles vulnérables au reniflement

Les protocoles suivants sont vulnérables au reniflement :

  • TELNET et RLOGIN : frappes, y compris les noms d’utilisateur et les mots de passe sont en texte clair,
  • IMAP : mots de passe et données envoyés en texte clair,
  • HTTP : données envoyées en texte clair,
  • SMTP et NNTP : mots de passe et données envoyés en texte clair,
  • POP : mots de passe et données envoyés en texte clair,
  • FTP : mots de passe et données envoyés en texte clair.

I.5 Reniflement sur le modèle OSI

Les renifleurs opèrent au niveau de la couche liaison de données du modèle OSI. Les couches de mise en réseau dans le modèle OSI sont conçues pour fonctionner indépendamment les unes des autres ; si un renifleur renifle des données dans la couche liaison de données, la couche supérieure ne sera pas au courant du reniflement.

I.6 Analyseur de protocole

Un analyseur de protocole est un équipement qui capture les signaux sans altérer le trafic dans un segment de câble.

Il peut être utilisé pour surveiller l’utilisation du réseau et identifier les trafics malveillants sur le réseau. Il capture un paquet de données, le décode et analyse son contenu selon certaines règles prédéterminées.

L’attaquant peut voir les octets de données individuels de chaque paquet passant par le câble.

Exemple d’analyseur : N2X N5540A Agilent Protocol Analyzer

                                        RADCOM PROTOCOL ANALYZER

                                        STINGA PROTOCOL ANALYZER

I.7 Port SPAN ou Port Miroir

L’analyseur de ports commutés (SPAN : Switched Port Analyzer) est une solution qui permet de monter un port miroir sur un commutateur afin d’y transférer du trafic à surveiller. Ainsi le port SPAN est configuré pour recevoir une copie de chaque paquet qui passe par le commutateur.

Si une machine cible est connectée au port SPAN, l’attaquant peut passer par celle-ci pour compromettre l’ensemble du réseau.

I.8 Ecoutes téléphoniques

L’écoute téléphonique est un processus de surveillance des conversations téléphoniques et Internet par un tiers.

Les attaquants connectent un appareil d’écoute (matériel, logiciel, ou les deux) au circuit transportant des informations entre deux téléphones ou hôtes sur Internet. Ainsi cela permet de surveiller, d’intercepter, d’accéder et d’enregistrer des informations contenues dans un flux de données d’un système de communication cible.

L’écoute téléphonique peut être de deux types, soit :

  • ACTIF : il surveille, enregistre, modifie et injecte également des données dans la communication ou le trafic.
  • PASSIF : il surveille et enregistre uniquement le trafic et collecte les informations qu’il contient.

I.9 Interception légale

L’interception légale fait référence aux installations des réseaux de télécommunication et de téléphonie qui permettent aux organismes chargés de l’application des lois avec des ordonnances judiciaires ou d’autres autorisations légales d’écouter sélectivement des abonnés individuels. La plupart des pays exige aux opérateurs de télécommunication agréés qu’ils fournissent à leurs réseaux des passerelles et des nœuds d’interception légale pour qu’ils puissent intercepter des communications.

Ainsi cela permet d’intercepter légalement la communication de données entre deux extrémités pour la surveillance des réseaux traditionnels de télécommunications, VoIP, de données et multiservices.

II. Attaques MAC (Media Access Control)

II.1 Adresse MAC / Table CAM (Content Adressable Memory : Mémoire Adressable de Contenu)

Chaque commutateur possède une table de mémoire adressable de contenu (CAM) dont le contenu est dynamique mais la taille est fixe.

La table CAM stocke des informations telles que les adresses MAC disponibles sur les ports physiques avec leurs paramètres VLAN associés.

Lorsque la table CAM du commutateur est pleine, le trafic de demande ARP supplémentaire inondera chaque port du commutateur. Cela changera le comportement du commutateur qui, pour réinitialiser son mode d’apprentissage, agit comme un concentrateur en diffusant sur chaque port.

Cette attaque remplira également les tables CAM des commutateurs adjacents.

II.2 Inondation MAC

L’inondation MAC implique l’inondation de la table CAM avec de fausses adresses MAC et des paires IP jusqu’à ce qu’elle soit pleine.

Ensuite, le commutateur agit comme un concentrateur en diffusant des paquets vers toutes les machines du réseau. De ce fait, l’attaquant pourra facilement renifler le trafic.

On peut faire de l’inondation MAC en utilisant l’outil ‘macof’ :

  • macof est un outil Unix / Linux qui fait partie de la collection dsniff.
  • macof envoie des adresses MAC et IP source aléatoires.
  • Cet outil inonde les tables CAM du commutateur en envoyant de fausses entrées MAC.

II.3 Vol de port de commutateur

Cette technique utilise l’inondation MAC pour renifler les paquets. L’attaquant inonde le commutateur de faux paquets ARP avec l’adresse MAC cible comme source et sa propre adresse MAC comme destination.

Une condition de concurrence entre les paquets d’inondations de l’attaquant et les paquets des hôtes cibles se produira et le commutateur devra donc changer constamment la liaison de son adresse MAC entre deux ports différents.

Dans un tel cas, si l’attaquant est assez rapide, il pourra diriger les paquets destinés à l’hôte cible vers son port de commutation.

Ainsi l’attaquant envoie une demande ARP au port de commutateur volé pour découvrir l’adresse IP de l’hôte cible. Lorsqu’il obtient une réponse ARP, cela indique que la liaison du port de commutation de l’hôte cible a été restaurée et l’attaquant peut désormais renifler les paquets envoyés vers l’hôte cible.

II.4 Défense contre les attaques MAC

Pour se défendre contre les attaques MAC, il faut :

  • Configurer la sécurité des ports sur le commutateur Cisco.
  • Utiliser la sécurité des ports pour restreindre le trafic entrant provenant uniquement d’un ensemble sélectionné d’adresses MAC et limiter les attaques par inondation MAC.

III. Attaques par DHCP

III.1 Rôle DHCP

Les serveurs DHCP conservent les informations de configuration TCP / IP telles que les paramètres de configuration TCP / IP valides, les adresses IP valides et la durée du bail proposé par le serveur, dans une base de données.

Il fournit des configurations d’adresses aux clients DHCP sous la forme d’une offre de location.

III.2 Attaque de famine DHCP

Il s’agit d’une attaque par déni de service (DoS) sur les serveurs DHCP où l’attaquant diffuse des demandes DHCP falsifiées et tente de louer toutes les adresses DHCP disponibles dans la portée DHCP.

En conséquence, l’utilisateur légitime n’est pas en mesure d’obtenir ou de renouveler une adresse IP demandée via DHCP, ce qui fait échouer l’accès au réseau.

Outils d’attaque de famine DHCP : Dhcpstarv, Yersinia, etc.

III.3 Attaque frauduleuse du serveur DHCP

L’attaquant définit un serveur DHCP non autorisé sur le réseau et répond aux demandes DHCP en allouant de fausses adresses IP, cela se traduit par un accès au réseau compromis.

Cette attaque fonctionne avec l’attaque de famine DHCP. L’attaquant envoie le paramètre TCP/IP à l’utilisateur après l’avoir éliminé du véritable serveur DHCP.

III.4 Défense contre les attaques DHCP

Pour se défendre contre les attaques de famine DHCP et les attaques frauduleuses de serveur DHCP, il faut :

  • Activer la sécurité des ports pour se défendre contre les attaques de famine DHCP. La configuration de la limite MAC sur les ports du commutateur supprime les paquets des autres MAC une fois la limite atteinte.
  • Activer l’espionnage DHCP qui permet au commutateur d’accepter une transaction DHCP provenant uniquement d’un port approuvé.

III.5 Commandes Globales IOS

Voici quelques commandes d’espionnage avec DHCP :

  • ip dhcp snooping vlan 4,104 : permet de spécifier des VLANs à espionner
  • no ip dhcp snooping information option : permet d’autoriser certaines options DHCP
  • ip dhcp snooping : Cela active l’espionnage DHCP.

IV. Attaque par usurpation d’ARP

IV.1 Définition

Des paquets ARP peuvent être falsifiés pour envoyer des données à la machine de l’attaquant. L’usurpation d’ARP implique la construction d’un grand nombre de paquets de demande et de réponse d’ARP falsifiés pour surcharger un commutateur.

Après que la table ARP soit inondée de réponses d’ARP usurpées, les attaquants peuvent maintenant renifler tous les paquets du réseau.

Le cache ARP de l’ordinateur cible est aussi inondé avec des entrées falsifiées, dans ce cas on parle également d’empoisonnement ARP.

IV.2 Menaces d’empoisonnement ARP

À l’aide de faux messages ARP, un attaquant peut détourner toutes les communications entre deux machines afin que tout le trafic passe par son ordinateur.

Les menaces d’empoisonnement ARP comprennent :

  • Reniflement de paquets
  • Détournement de session
  • Écoute d’appel VoIP
  • Manipulation des données
  • Attaque de l’homme du milieu (man in the middle)
  • Interception de données
  • Détournement de connexion
  • Réinitialisation de la connexion
  • Vol de mots de passe
  • Attaque par déni de service (DoS)

IV.3 Outils d’empoisonnement ARP

Parmi les outils d’empoisonnement ARP, nous avons :

  • Ufasoft Snif : un outil d’empoisonnement ARP automatisé qui détecte les mots de passe et les e-mails sur le réseau et fonctionne également sur le réseau Wi-Fi.
  • Cain & Abel : qui permet de renifler des paquets de divers protocoles sur des réseaux locaux commutés en détournant le trafic IP de plusieurs hôtes simultanément.
  • BetterCAP : un outil puissant, flexible et portable créé pour effectuer différents types d’attaques de man-in-the-middle contre un réseau, manipuler le trafic HTTP, HTTPS et TCP en temps réel, détecter les informations d’identification et bien plus encore.
  • Ettercap : un outil pour les attaques man-in-the-middle. Il propose le reniflement de connexions en direct, le filtrage de contenu à la volée et comprend de nombreuses fonctionnalités pour l’analyse du réseau et de l’hôte.
  • MITMF (Man in the Middle Framework)  : un Framework spécialement conçu pour procéder à des attaques de type Man In The Middle.

IV.4 Défense contre l’empoisonnement ARP

Pour se défendre contre l’empoisonnement ARP, il faut :

  • Implémenter l’inspection ARP dynamique à l’aide de la table de liaison d’espionnage DHCP.
  • Vérifier les champs MAC et IP pour voir si l’ARP de l’interface est dans la liaison ; si ce n’est pas le cas, le trafic est bloqué.

IV.5 Outils de détection d’attaque par usurpation d’ARP

XArp aide les utilisateurs à détecter les attaques ARP et à garder leurs données privées. Il permet aux administrateurs de surveiller des sous-réseaux entiers pour les attaques ARP. Différents niveaux de sécurité et possibilités de réglage fin permettent aux utilisateurs normaux et expérimentés d’utiliser efficacement XArp pour détecter les attaques ARP.

Autres outils de détection d’usurpation ARP : Capsa Network Analyzer, Arpon, ARPStraw, shARP, etc.

V. Attaque par usurpation d’identité

V.1 Usurpation d’adresse MAC ou duplication

L’attaque par duplication d’adresse MAC est lancée en reniflant un réseau pour connaitre toutes les adresses MAC des clients qui sont activement associés à un port de commutateur et en réutilisant l’une de ces adresses.

En écoutant le trafic sur le réseau, un utilisateur malveillant peut intercepter et utiliser l’adresse MAC d’un utilisateur légitime pour recevoir tout le trafic destiné à l’utilisateur.

Cette attaque permet à un attaquant d’accéder au réseau et de reprendre l’identité d’une personne déjà présente sur le réseau.

Technique d’usurpation d’adresse MAC : Windows

  • Méthode 1 : si la carte d’interface réseau prend en charge l’adresse MAC clonée, suivez les étapes suivantes :

Étape 1 : – Démarrer —> Panneau de configuration -> Réseau et Internet -> Centre de mise en réseau et de partage

Étape 2 : – cliquez sur Ethernet -> Cliquez sur Propriétés dans l’état Ethernet.

Étape 3 : – dans la fenêtre des propriétés Ethernet —> cliquez sur configurer puis sur l’onglet avancé

Étape 4 : – Sous la section des propriétés -> recherchez l’adresse réseau et cliquez dessus

Étape 5 : – Sur le côté droit sous « valeur », saisissez la nouvelle adresse MAC que vous souhaitez attribuer et cliquez sur OK

Étape 6 : – Tapez « ipconfig/all » ou net « config rdr » dans CMD pour vérifier les modifications

Étape 7 : – Si les modifications sont visibles, redémarrez le système.

  • Méthode 2 : pour modifier l’adresse MAC dans le Registre, suivez les étapes suivantes :

Étape 1 : Tapez Win + R pour ouvrir Exécuter, puis tapez regedt32, ensuite Entrée.

Étape 2 : accédez à HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Class\{4d36e972-e325-11ce-bfc1-08002be10318} et double-cliquez dessus pour étendre l’arbre.

Étape 3 : les sous-clés à 4 chiffres représentant les cartes réseau seront trouvées (commençant par 0000, 0001, 0002, etc.)

Étape 4 : Recherchez la bonne clé « DriverDesc » pour trouver l’interface souhaitée.

Étape 5 : Modifiez ou ajoutez la clé de chaîne « NetworkAddress » (type de données « REG_SZ ») pour contenir la nouvelle adresse MAC

Étape 6 : désactivez puis réactivez l’interface qui a été modifiée ou redémarrez le système.

  • Quelques outils d’usurpation d’adresses MAC : TECHNITIUM MAC ADDRESS CHANGER, MAC ADDRESS CHANGER, SMAC.
  • Pour se défendre contre les attaques par usurpation d’adresses MAC, il faut utiliser la table de liaison de surveillance DHCP, l’inspection ARP dynamique et la protection d’adresse IP source.

V.2 Usurpation d’identité IRDP

ICMP Router Discovery Protocol (IRDP) est un protocole de routage qui permet à un hôte de découvrir les adresses IP des routeurs actifs en écoutant les messages de publicité et de sollicitation des routeurs sur leur réseau.

L’attaquant envoie un message de publicité de routeur IRDP usurpé à l’hôte du sous-réseau, ce qui lui fait changer son routeur par défaut en celui que l’attaquant a choisi.

Cette attaque permet à l’attaquant de renifler le trafic et de collecter les précieuses informations des paquets. Les attaquants peuvent utiliser l’usurpation d’identité IRDP pour lancer des attaques de type man-in-the-middle, déni de service et reniflement passif.

VI. Empoisonnement DNS

VI.1 Techniques d’empoisonnement DNS

L’empoisonnement DNS est une technique qui incite un serveur DNS à croire qu’il a reçu des informations authentiques alors qu’en réalité, ce n’est pas le cas. Il en résulte la substitution d’une fausse adresse IP au niveau DNS.

Il permet à l’attaquant de remplacer les entrées d’adresse IP d’un site cible sur un serveur DNS donné par l’adresse IP du serveur qu’il contrôle. L’attaquant peut créer de fausses entrées DNS pour le serveur (contenant du contenu malveillant) avec les mêmes noms que celui du serveur cible.

VI.2 Usurpation DNS intranet (réseau local)

Pour cette technique, il faut se connecter au réseau local (LAN) et pouvoir détecter les paquets. Il fonctionne bien sur les commutateurs avec ARP empoisonnant le routeur.

VI.3 Usurpation DNS Internet (réseau distant)

Avec l’usurpation DNS Internet DNS, l’attaquant infecte la machine de la victime avec un cheval de Troie et change l’adresse IP de son DNS par son adresse lui-même (celle de l’attaquant).

VI.4 Empoisonnement DNS du serveur proxy

L’attaquant envoie un cheval de Troie à la machine cible qui modifie les paramètres de son serveur proxy dans Internet Explorer en ceux de l’attaquant et est redirige vers un faux site Web.

VI.5 Empoisonnement du cache DNS

L’empoisonnement du cache DNS fait référence à la modification ou à l’ajout d’enregistrements DNS falsifiés dans le cache du résolveur DNS afin qu’une requête DNS soit redirigée vers un site malveillant.

Si le résolveur ne peut pas valider les réponses DNS d’une source faisant autorité, il mettra en cache les entrées incorrectes localement et les servira aux utilisateurs qui font la même demande.

VI.6 Défense contre l’usurpation de DNS

Pour se défendre contre les attaques par usurpation DNS, il faut :

  • Implémenter DNSSEC (Domain Name System Security extension)
  • Utiliser SSL pour sécuriser le trafic
  • Résoudre toutes les requêtes DNS sur le serveur DNS local.
  • Configurez le pare-feu pour restreindre la recherche DNS externe
  • Utiliser un ARP statique et une table IP
  • Utiliser le cryptage Shell sécurisé
  • Sécuriser vos machines internes
  • Auditer régulièrement le serveur DNS pour supprimer les vulnérabilités
  • Bloquer les requêtes DNS envoyées à des serveurs externes.

VII. Outils de reniflement

VII.1 Wireshark

Wireshark permet de capturer et de parcourir de manière interactive le trafic en cours d’exécution sur un réseau. Il utilise Pcap pour capturer les paquets, il ne peut donc capturer que les paquets sur les réseaux pris en charge par Pcap.

Il capture le trafic réseau en direct des réseaux Ethernet, IEEE 802.11, PPP / HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay, FDDI.

Un ensemble de filtres pour l’affichage de données personnalisé peut être affiné à l’aide d’un filtre d’affichage.

Filtres d’affichage dans Wireshark :

Les filtres d’affichage sont utilisés pour changer la vue des paquets dans les fichiers capturés :

  • Filtrage de l’affichage par protocole :
    • Exemple: saisissez le protocole dans la zone de filtre; arp, http, tcp, udp, dns, ip
  • Surveillance des ports spécifiques :
    • tcp.port==23
    • ip.addr==192.168.1.100 && tcp.port=23
  • Filtrage par plusieurs adresses IP :
    • ip.addr==10.0.0.4 or ip.addr==10.0.0.5
  • Filtrage par adresse IP :
    • ip.addr==10.0.0.4
  • Affiche toutes les réinitialisations TCP :
    • tcp.flags.reset==1
  • Définit un filtre pour les valeurs Hexadécimal de 0x33 0x27 0x58
    • udp contains 33:27:58
  • Affiche toutes les demandes HTTP GET :
    • http.request
  • Autres filtres :
    • ip.dst==10.0.1.50 && frame.pkt_len>400
    • ip.addr==10.0.1.12 && icmp && frame.number > 15 && frame.number < 30
    • ip.src==205.153.63.30 or ip.dst==205.153.63.30

VII.2 SteellCentral Packet Analyzer

SteelCentral Packet Analyzer Plus est un renifleur de paquets réseau qui accélère l’analyse de paquets réseau et la génération de rapports de fichiers de trace volumineux à l’aide d’une interface utilisateur graphique intuitive et d’une large sélection de vues d’analyse prédéfinies

En isolant rapidement les paquets spécifiques nécessaires pour diagnostiquer et dépanner les problèmes de performances complexes, il permet d’analyser rapidement les enregistrements de paquets de plusieurs téraoctets.

Le logiciel SteelCentral Packet Analyzer s’intègre également de manière complète et transparente au logiciel Wireshark, le premier analyseur de protocole open source, pour une analyse et un décodage approfondis des paquets.

VII.3 Autres Outils de reniflement

  • Capsa Network Analyzer : il permet de capturer toutes les données transmises sur le réseau et fournit une large gamme de statistiques d’analyse de manière intuitive et graphique.
  • OmniPeek Network Analyzer : Le renifleur OmniPeek affiche une carte Google Map dans la fenêtre de capture OmniPeek montrant les emplacements de toutes les adresses IP publiques des paquets capturés.
  • Observer Analyzer : Observer fournit une analyse détaillée du trafic réseau et fournit des analyses, des rapports, des tendances, des alarmes, des outils d’application et des capacités de surveillance des itinéraires.
  • TCPdump : c’est un renifleur de paquets fonctionnant en ligne de commande qui s’exécute sur Linux et Windows.
  • Il y a aussi SMARTSNIFF, KISMET, NTOPNG, CSNIFFER, etc.

VII.4 Outils de reniflement pour mobile 

  • Wi.cap. Network Sniffer Pro : Renifleur de paquets de réseau mobile pour les Androïdes ROOT ARM.
  • FaceNiff : FaceNiff est une application Android qui vous permet de renifler et d’intercepter des profils de session Web via le Wi-Fi.
  • Packet Capture : est utilisé pour intercepter un paquet de données en temps réel qui traverse un point spécifique d’un réseau de données. 

VIII. Les Contre-mesures

Pour se protéger contre les attaques par reniflement de paquet, il faut :

  • Utiliser un cryptage de bout en bout pour protéger les informations confidentielles
  • Utiliser IPv6 au lieu du protocole IPv4
  • Ajouter définitivement l’adresse MAC de la passerelle au cache ARP
  • Utiliser des sessions cryptées telles que SSH au lieu de Telnet, Secure Copy (SCP) au lieu de FTP, SSL pour la connexion par e-mail, etc.
  • Utiliser HTTPS au lieu de http
  • Utiliser un commutateur au lieu d’un concentrateur, car le commutateur fournit des données uniquement au destinataire prévu.
  • Utiliser le protocole de transfert de fichiers sécurisé (SFTP) au lieu de FTP pour un transfert sécurisé des fichiers
  • Récupérer l’adresse MAC directement depuis la carte réseau au lieu du système d’exploitation; cela empêche l’usurpation d’adresse MAC.
  • Utiliser des outils pour déterminer si des cartes réseau s’exécutent en mode promiscuité
  • Utiliser un protocole de chiffrement puissant tel que WPA et WPA2.
  • Limiter l’accès physique au média réseau pour vous assurer qu’un renifleur de paquets ne peut pas être installé.

NB : Le mode promiscuité est un mode de configuration de la carte réseau, qui permet à celle-ci d’accepter tous les paquets qu’elle reçoit, même si ceux-ci ne lui sont pas adressés.

IX. Techniques de détections de reniflement

Pour détecter une attaque par reniflement de paquet, on peut utiliser les techniques suivantes :

  • Mode promiscuité : Il s’agit de vérifier quelles machines fonctionnent en mode promiscuité afin de permettre à un périphérique réseau  d’intercepter et de lire chaque paquet réseau qui arrive dans son intégralité.
    • Outils de détection de promiscuité
      • PromqryUI : PromqryUI est un outil de sécurité de Microsoft qui peut être utilisé pour détecter les interfaces réseau qui s’exécutent en mode promiscuité.
      • NMAP : il permet de vérifier si une cible sur un Ethernet local a sa carte réseau en mode promiscuité. La commande pour détecter la carte réseau en mode promiscuité est : nmap –script=sniffer-detect [adresse IP cible ou plage d’adresses IP]
  • IDS : Il s’agit d’activer le système de détection d’intrusion pour la notification des activités suspectes et des changements d’adresses MAC.
  • Outils réseau : il s’agit de collecter, consolider, centraliser et analyser les données de trafic en utilisant des outils comme l’analyseur de réseau Capsa (Capsa Network Analyzer) pour surveiller le réseau à la recherche de paquets étranges.
  • Méthode Ping : Il s’agit d’envoyer une requête ping à la machine suspecte avec son adresse IP et une adresse MAC incorrecte. Si la machine n’est pas reniflée alors l’adaptateur Ethernet de la machine rejette le ping  car l’adresse MAC ne correspond pas. Tandis que si la machine suspecte y répond alors elle exécute un renifleur car ne rejetant pas les paquets avec une adresse MAC différente.
  • Méthode ARP : Une machine en mode promiscuité met en cache les informations ARP (mappage des adresses IP et MAC). Cette machine répondra au message ping car elle a des informations correctes sur l’hôte envoyant la requête ping dans son cache ; les autres machines enverront une sonde ARP pour identifier la source de la requête ping.
  • Méthode DNS : La plupart des renifleurs effectuent une recherche DNS inversée pour identifier la machine à partir de l’adresse IP. Une machine générant du trafic de recherche DNS inversée exécute très probablement un renifleur. 

X. Test de pénétration par reniflement

Le test de pénétration par reniflement est utilisé pour vérifier si la transmission de données d’une organisation est protégée contre les attaques de détection et d’interception. Pour se faire, on passe par les étapes suivantes :

Étape 1 : débuter

Étape 2 : effectuer une attaque par inondation MAC à l’aide d’outils tels que Yersinia et macof.

Étape 3 : effectuer une attaque de famine DHCP à l’aide d’outils tels que Dhcpstarv et Yersinia.

Étape 4 : effectuer une attaque de serveur corrompu en exécutant un serveur DHCP non autorisé sur le réseau et en répondant aux demandes DHCP avec des adresses IP fausses.

Étape 5 : effectuer un empoisonnement ARP à l’aide d’outils tels que Ufasoft sniff, BetterCAP, ettercap, etc.

Étape 6 : Effectuer l’usurpation d’adresse MAC à l’aide d’outils tels que Technitium, Mac Changer, etc.

Étape 7 : effectuer une usurpation IRDP en envoyant des messages de publicité de routeur IRDP usurpés.

Étape 8 : effectuer une usurpation DNS en utilisant des techniques telles qu’arpspoof ou dnsspoof.

Étape 9 : effectuer un empoisonnement du cache en envoyant un cheval de Troie à la machine de la victime qui modifie les paramètres du serveur proxy afin d’utiliser ceux des attaquants, redirigeant ainsi vers un faux site Web.

Étape 10 : effectuer un empoisonnement du serveur proxy en exécutant un serveur DNS corrompu.

Étape 11 : Documenter toutes les constatations

<<< les menaces des malwares
l’ingénierie sociale >>>