Un renifleur de réseau est juste comme cela sonne; un outil logiciel qui surveille ou détecte en temps réel les données circulant sur les liaisons réseau d'ordinateurs. Il peut s'agir d'un programme logiciel autonome ou d'un périphérique matériel doté du logiciel ou du micrologiciel approprié.
Les renifleurs de réseau peuvent prendre des copies instantanées des données sans les rediriger ou les modifier. Certains renifleurs fonctionnent uniquement avec des paquets TCP / IP, mais les outils les plus sophistiqués peuvent fonctionner avec de nombreux autres protocoles réseau et à des niveaux inférieurs, y compris les trames Ethernet.
Il y a des années, les renifleurs étaient des outils utilisés exclusivement par des ingénieurs réseau professionnels. De nos jours, cependant, avec des applications logicielles disponibles gratuitement sur le Web, elles sont également populaires auprès des pirates Internet et des personnes simplement curieuses de la mise en réseau.
Remarque: Les renifleurs de réseau sont parfois appelés sondes de réseau, renifleurs sans fil, renifleurs Ethernet, renifleurs de paquets, analyseurs de paquets ou simplement snoops.
A quoi servent les analyseurs de paquets
Il existe un large éventail d'applications pour les renifleurs de paquets, mais la plupart des outils de vérification des données ne font pas la différence entre une raison néfaste et une raison sans danger et normale. En d'autres termes, la plupart des renifleurs de paquets peuvent être utilisés de manière inappropriée par une personne et pour des raisons légitimes par une autre.
Un programme capable de capturer des mots de passe, par exemple, pourrait être utilisé par un pirate mais le même outil pourrait être utilisé par un administrateur réseau pour rechercher des statistiques réseau telles que la bande passante disponible.
Un renifleur peut également être utile pour tester le pare-feu ou les filtres Web ou pour résoudre les problèmes des relations client / serveur.
Outils de renifleur de réseau
Wireshark (anciennement connu sous le nom d'Ethereal) est largement reconnu comme étant le renifleur de réseau le plus populaire au monde. C'est une application gratuite et open source qui affiche les données de trafic avec un code couleur pour indiquer le protocole utilisé pour le transmettre.
Sur les réseaux Ethernet, son interface utilisateur affiche les trames individuelles dans une liste numérotée et met en évidence par des couleurs distinctes le fait qu'elles soient envoyées via TCP, UDP ou d'autres protocoles. Cela permet également de regrouper les flux de messages échangés entre une source et une destination (qui sont normalement mélangés dans le temps au trafic provenant d'autres conversations).
Wireshark prend en charge les captures de trafic via une interface de bouton poussoir de démarrage / arrêt. L'outil contient également diverses options de filtrage qui limitent les données affichées et incluses dans les captures. Il s’agit là d’une fonctionnalité essentielle, car le trafic sur la plupart des réseaux contient de nombreux types de messages de contrôle de routine qui ne présentent généralement aucun intérêt.
De nombreuses applications logicielles de sondage ont été développées au fil des ans. Voici quelques exemples:
- tcpdump (un outil de ligne de commande pour Linux et d'autres systèmes d'exploitation basés sur Unix)
- CloudShark
- Caïn et Abel
- Microsoft Message Analyzer
- CommView
- Omnipeek
- Capsa
- Ettercap
- PRTG
- Analyseur de réseau gratuit
- NetworkMiner
- Outils IP
Certains de ces outils sont gratuits tandis que les autres coûtent ou pourraient avoir un essai gratuit. En outre, certains de ces programmes ne sont plus maintenus ou mis à jour, mais ils sont toujours disponibles au téléchargement.
Problèmes avec les renifleurs de réseau
Les outils renifleurs constituent un excellent moyen d’apprendre le fonctionnement des protocoles. Cependant, ils permettent également d'accéder facilement à certaines informations privées telles que les mots de passe réseau. Vérifiez auprès des propriétaires pour obtenir l'autorisation avant d'utiliser un renifleur sur le réseau de quelqu'un d'autre.
Les sondes de réseau peuvent uniquement intercepter les données des réseaux auxquels leur ordinateur hôte est connecté. Sur certaines connexions, les renifleurs capturent uniquement le trafic adressé à cette interface réseau particulière. De nombreuses interfaces réseau Ethernet supportent ce que l'on appelle mode promiscuous cela permet à un renifleur de capter tout le trafic passant par ce lien réseau (même s'il n'est pas directement adressé à l'hôte).
