Capture de paquets: Qu’est-ce que c’est et ce que Vous devez savoir
La capture de paquets est un outil essentiel utilisé pour assurer le fonctionnement sûr et efficace des réseaux. Entre de mauvaises mains, il peut également être utilisé pour voler des données sensibles telles que des noms d’utilisateur et des mots de passe. Dans cet article, nous allons nous plonger dans ce qu’est une capture de paquets, comment cela fonctionne, quel type d’outils sont utilisés, et examiner quelques exemples de cas d’utilisation.
- Qu’est-ce que la capture de paquets ?
- Comment Fonctionne la Capture de Paquets?
- Comment Lire une Capture de paquets
- Formats, Bibliothèques et filtres, Oh Mon dieu!
- Outils de capture de paquets
- Cas d’utilisation de la Capture de paquets et du Renifleur de paquets
- Avantages et inconvénients de la capture de paquets
Qu’est-ce que la capture de paquets?
La capture de paquets fait référence à l’action de capture de paquets de protocole Internet (IP) pour examen ou analyse. Le terme peut également être utilisé pour décrire les fichiers que les outils de capture de paquets produisent, qui sont souvent enregistrés dans le.format pcap. La capture de paquets est une technique de dépannage courante pour les administrateurs réseau et est également utilisée pour examiner le trafic réseau à la recherche de menaces de sécurité. À la suite d’une violation de données ou d’un autre incident, les captures de paquets fournissent des indices médico-légaux essentiels qui facilitent les enquêtes. Du point de vue d’un acteur de la menace, les captures de paquets peuvent être utilisées pour voler des mots de passe et d’autres données sensibles. Contrairement aux techniques de reconnaissance active comme le balayage des ports, la capture de paquets peut être effectuée sans laisser de traces pour les enquêteurs.
Comment Fonctionne La Capture De Paquets ?
Il y a plus d’une façon d’attraper un paquet! Les captures de paquets peuvent être effectuées à partir d’un équipement réseau tel qu’un routeur ou un commutateur, d’un matériel dédié appelé tap, de l’ordinateur portable ou du bureau d’un analyste et même d’appareils mobiles. L’approche utilisée dépend de l’objectif final. Quelle que soit l’approche utilisée, la capture de paquets fonctionne en créant des copies de tout ou partie des paquets passant par un point donné du réseau.
La capture de paquets à partir de votre propre machine est le moyen le plus simple de commencer, mais il y a quelques mises en garde. Par défaut, les interfaces réseau ne prêtent attention qu’au trafic qui leur est destiné. Pour une vue plus complète du trafic réseau, vous voudrez mettre l’interface en mode promiscuité ou en mode moniteur. Gardez à l’esprit que cette approche capturera également une vue limitée du réseau; sur un réseau filaire, par exemple, vous ne verrez que le trafic sur le port de commutateur local auquel votre machine est connectée.
Sur un routeur ou un commutateur, les fonctionnalités connues sous le nom de mise en miroir de port, de surveillance de port et d’analyseur de port commuté (SPAN) permettent aux administrateurs réseau de dupliquer le trafic réseau et de l’envoyer à un port spécifié, généralement pour exporter des paquets vers une solution de surveillance dédiée. De nombreux commutateurs et routeurs de niveau entreprise disposent désormais d’une fonction de capture de paquets intégrée qui peut être utilisée pour résoudre rapidement les problèmes directement à partir de l’interface de ligne de commande ou de l’interface Web de l’appareil. D’autres types d’équipements réseau tels que les pare-feu et les points d’accès sans fil ont également une fonctionnalité de capture de paquets.
Si vous effectuez une capture de paquets sur un réseau particulièrement volumineux ou occupé, une prise réseau dédiée peut être la meilleure option. Les taps sont le moyen le plus coûteux de capturer des paquets, mais n’introduisent aucune pénalité de performance car ils sont du matériel dédié.
Comment lire une capture de paquets
Afin de comprendre et d’analyser une capture de paquets, vous aurez besoin de connaissances fondamentales sur les concepts de base du réseau, en particulier le modèle OSI. Bien qu’il puisse y avoir des différences entre des outils spécifiques, les captures de paquets seront toujours constituées d’une charge utile et de certains en-têtes. La charge utile se compose des données réelles transférées – il peut s’agir de morceaux de film en streaming, d’e-mails, de ransomware ou de toute autre chose traversant un réseau. Les en-têtes de paquets contiennent toutes les informations critiques qui aident l’équipement réseau à décider quoi faire de chaque paquet. Les plus importantes sont les adresses source et de destination, mais les paquets IP ont un total de 14 en-têtes couvrant tout, de la classe de service au type de protocole. Un analyste réseau professionnel aura une connaissance détaillée de tous ces domaines, mais une compréhension générale de la structure des paquets est tout ce qu’il faut pour commencer à résoudre les problèmes de performances ou en apprendre davantage sur le fonctionnement des réseaux.
Version | Longueur de l’en-tête | Valeur DSCP | ECN | Longueur totale du paquet |
Identification | Drapeaux | Décalage des fragments | ||
Temps de vie (TTL) | Protocole | Somme de contrôle d’en-tête | ||
Adresse IP Source |
||||
Adresse IP de Destination |
||||
Optionnel |
Outre les adresses source et de destination, certains des champs les plus importants d’un dépannage la perspective peut inclure le Point de code de services différenciés (DSCP), les drapeaux et le TTL. DSCP est utilisé pour assurer la qualité de service (QoS), et est un domaine important pour le trafic en temps réel comme la voix sur IP (VoIP). Les indicateurs sont le plus souvent utilisés pour contrôler la fragmentation des paquets et peuvent devenir un problème lorsqu’un paquet qui a l’indicateur Ne pas fragmenter dépasse également la taille maximale de l’unité de transmission (MTU) d’une liaison réseau. Les valeurs TTL sont décrémentées après chaque saut et peuvent fournir des indices importants sur le chemin d’un paquet à travers le réseau.
Pour les types de trafic non chiffrés, les renifleurs de paquets peuvent creuser plus profondément que les en-têtes et inspecter la charge utile réelle. Cela peut être extrêmement utile pour résoudre les problèmes de réseau, mais constitue également un problème de sécurité potentiel lorsque des données sensibles telles que des noms d’utilisateur et des mots de passe sont présentes. Comprendre la signification de la charge utile d’un paquet peut nécessiter une connaissance du protocole utilisé.
Les applications de capture de paquets et d’analyse de réseau incluent souvent des outils pour filtrer, visualiser et inspecter de grandes quantités de données. Ces outils permettent une analyse qui n’est pas possible par l’inspection manuelle d’une capture de paquets. Les fichiers de capture peuvent également être introduits dans un Système de Détection d’Intrusion / Systèmes de Protection (IDS / IPS), un Système de Gestion des Informations de Sécurité et des événements (SIEM) ou d’autres types de produits de sécurité pour rechercher des signes d’attaque ou de violation de données.
Formats, Bibliothèques et filtres, Oh Mon dieu!
En ce qui concerne les captures de paquets, il existe une gamme de terminologies connexes qui peuvent devenir assez rapidement déroutantes. Décomposons certains des termes les plus courants et les plus importants que vous pourriez entendre:
Formats de capture de paquets
Bien que des outils de capture de paquets tels que Wireshark puissent être utilisés pour inspecter le trafic en temps réel, il est plus courant d’enregistrer des captures dans un fichier pour une analyse ultérieure. Ces fichiers peuvent être enregistrés dans une variété de formats. .les fichiers pcap sont les plus courants et sont généralement compatibles avec une large gamme d’analyseurs de réseau et d’autres outils. .pcapng s’appuie sur le simple.format pcap avec de nouveaux champs et capacités et est maintenant le format par défaut lors de l’enregistrement de fichiers dans Wireshark. Certains outils commerciaux peuvent également utiliser des formats propriétaires.
Bibliothèques
Les bibliothèques telles que libpcap, winpcap et npcap sont les véritables stars du spectacle de capture de paquets, s’accrochant à la pile réseau d’un système d’exploitation et offrant la possibilité de scruter les paquets se déplaçant entre les interfaces. Beaucoup de ces bibliothèques sont des projets open source, vous pouvez donc les trouver dans une grande variété d’outils de capture de paquets commerciaux et gratuits. Dans certains cas, vous devrez peut-être installer la bibliothèque séparément de l’outil.
Filtrage
La capture complète de paquets peut prendre un peu d’espace et demander plus de ressources au périphérique de capture. C’est également exagéré dans la plupart des cas – les informations les plus intéressantes ne représentent généralement qu’une petite partie du trafic total observé. Les captures de paquets sont souvent filtrées pour éliminer les informations pertinentes. Cela peut être basé sur tout, de la charge utile à l’adresse IP, en passant par une combinaison de facteurs.
Outils de capture de paquets
Un grand nombre d’outils différents sont disponibles pour capturer et analyser les paquets traversant votre réseau. Ceux-ci sont parfois connus sous le nom de renifleurs de paquets. Voici quelques-uns des plus populaires:
Wireshark
L’outil de capture de paquets par excellence, Wireshark est l’outil de capture de paquets incontournable pour de nombreux administrateurs réseau, analystes de sécurité et geeks amateurs. Avec une interface graphique simple et des tonnes de fonctionnalités pour trier, analyser et donner un sens au trafic, Wireshark combine facilité d’utilisation et capacités puissantes. Le package Wireshark comprend également un utilitaire de ligne de commande appelé tshark.
tcpdump
Léger, polyvalent et préinstallé sur de nombreux systèmes d’exploitation de type UNIX, tcpdump est le rêve d’un accro à l’interface de ligne de commande lorsqu’il s’agit de captures de paquets. Cet outil opensource peut capturer rapidement des paquets pour une analyse ultérieure dans des outils tels que Wireshark, mais dispose de nombreuses commandes et commutateurs propres pour donner un sens à de vastes sommes de données réseau.
Moniteur de performances réseau SolarWinds
Cet outil commercial est depuis longtemps un favori pour sa facilité d’utilisation, ses visualisations et sa capacité à classer le trafic par application. Bien que l’outil ne s’installe que sur des plates-formes Windows, il peut renifler et analyser le trafic de tout type d’appareil.
ColaSoft Capsa
ColaSoft fabrique un renifleur de paquets commercial destiné aux clients professionnels, mais propose également une édition réduite destinée aux étudiants et à ceux qui se lancent dans le réseautage. L’outil dispose d’une variété de fonctionnalités de surveillance pour faciliter le dépannage et l’analyse en temps réel.
Kismet
Kismet est un utilitaire dédié à la capture du trafic sans fil et à la détection de réseaux et de périphériques sans fil. Disponible pour les plates-formes Linux, Mac et Windows, cet outil prend en charge un large éventail de sources de capture, y compris les radios Bluetooth et Zigbee. Avec la bonne configuration, vous pouvez capturer des paquets de tous les périphériques du réseau.
Cas d’utilisation de Capture de paquets et de renifleur de paquets
Bien que le terme renifleur de paquets puisse évoquer des images de pirates informatiques exploitant secrètement des communications sensibles, il existe de nombreuses utilisations légitimes pour un renifleur de paquets. Voici quelques cas d’utilisation typiques pour les renifleurs de paquets :
Découverte d’actifs /Reconnaissance passive
Les paquets de par leur nature même incluent des adresses source et de destination, de sorte qu’une capture de paquets peut être utilisée pour découvrir des points de terminaison actifs sur un réseau donné. Avec suffisamment de données, il est même possible d’empreintes digitales des points de terminaison. Lorsque cela est fait à des fins commerciales légitimes, cela s’appelle la découverte ou l’inventaire. Cependant, la nature passive d’une capture de paquets en fait un excellent moyen pour les attaquants malveillants de collecter des informations pour les étapes ultérieures d’une attaque. Bien entendu, la même technique peut être utilisée par les équipes rouges testant la sécurité d’une organisation
Dépannage
Lors du dépannage de problèmes réseau, l’inspection du trafic réseau réel peut être le moyen le plus efficace de réduire la cause profonde d’un problème. Les renifleurs de paquets permettent aux administrateurs réseau et aux ingénieurs de visualiser le contenu des paquets traversant le réseau. Il s’agit d’une fonctionnalité essentielle lors du dépannage des protocoles réseau fondamentaux tels que DHCP, ARP et DNS. Les captures de paquets ne révèlent cependant pas le contenu du trafic réseau chiffré.
Les paquets renifleurs peuvent aider à vérifier que le trafic emprunte le chemin correct sur le réseau et est traité avec la priorité correcte. Une liaison réseau encombrée ou rompue est souvent facile à repérer dans une capture de paquets car un seul côté d’une conversation généralement bilatérale sera présent. Les connexions avec un grand nombre de tentatives ou de paquets abandonnés indiquent souvent une liaison surutilisée ou un matériel réseau défaillant.
Détection d’intrusion
Le trafic réseau suspect peut être enregistré en tant que capture de paquets et introduit dans une solution IDS, IPS ou SIEM pour une analyse plus approfondie. Les attaquants font de grands efforts pour se fondre dans le trafic réseau normal, mais une inspection minutieuse peut révéler du trafic caché. Les adresses IP malveillantes connues, les charges utiles révélatrices et d’autres détails infimes peuvent tous indiquer une attaque. Même quelque chose d’aussi anodin qu’une requête DNS, si elle est répétée à intervalles réguliers, pourrait être le signe d’une balise de commande et de contrôle.
Intervention en cas d’incident et criminalistique
Les captures de paquets offrent une opportunité unique aux intervenants en cas d’incident. Les attaquants peuvent prendre des mesures pour couvrir leurs traces sur les points de terminaison, mais ils ne peuvent pas désenvoyer les paquets qui ont déjà traversé un réseau. Qu’il s’agisse de logiciels malveillants, d’exfiltration de données ou d’un autre type d’incident, les captures de paquets peuvent souvent détecter les signes d’une attaque que d’autres outils de sécurité manquent. Comme un en-tête de paquet contiendra toujours à la fois une adresse source et une adresse de destination, les équipes de réponse aux incidents peuvent utiliser des captures de paquets pour tracer le chemin d’un attaquant à travers le réseau ou repérer les signes d’exfiltration de données hors du réseau.
Avantages et inconvénients de la capture de paquets
Comme déjà indiqué, la capture de paquets est un atout considérable pour les administrateurs réseau et les équipes de sécurité. Ils ne sont cependant pas la seule option pour surveiller le trafic réseau, et il peut y avoir des cas où des choses comme SNMP ou NetFlow sont de meilleurs choix. Voici un aperçu de certains des avantages et des inconvénients de l’utilisation des captures de paquets:
Avantage: Regard le plus complet sur le trafic réseau
La capture de paquets est par définition une copie en double des paquets réels traversant un réseau ou une liaison réseau. C’est donc l’examen le plus approfondi possible du trafic réseau. Les captures de paquets contiennent un niveau de détail élevé qui n’est pas disponible dans d’autres solutions de surveillance, y compris la charge utile complète, tous les champs d’en-tête IP et, dans de nombreux cas, même des informations sur l’interface de capture. Cela peut faire de la capture la seule solution viable dans les cas où beaucoup de détails sont nécessaires.
Avantage: Peut être enregistré pour une analyse plus approfondie
Les captures de paquets peuvent être enregistrées pour une analyse ou une inspection plus approfondie dans les normes de l’industrie.pcap et.formats pcapng. Cela permet, par exemple, d’enregistrer le trafic suspect par un ingénieur réseau, puis de l’examiner par un analyste de la sécurité. Une grande variété d’outils prennent en charge ce format, y compris des outils d’analyse de sécurité. Il est également possible d’enregistrer une capture de paquets composée de plusieurs heures de données et de la revoir ultérieurement.
Avantage: Indépendant du matériel
SNMP et NetFlow nécessitent tous deux une prise en charge au niveau du matériel réseau. Bien que les deux technologies bénéficient d’un large soutien, elles ne sont pas universellement disponibles. Il peut également y avoir des différences dans la façon dont chaque fournisseur les implémente. La capture de paquets, en revanche, ne nécessite pas de support matériel spécialisé et peut avoir lieu à partir de n’importe quel périphérique ayant accès au réseau.
Inconvénient: Les grandes tailles de fichiers
La capture complète de paquets peut occuper de grandes quantités d’espace disque – dans certains cas jusqu’à 20 fois plus d’espace que les autres options. Même lorsque le filtrage est appliqué, un seul fichier de capture peut prendre plusieurs gigaoctets de stockage. Cela peut rendre les captures de paquets impropres au stockage à long terme. Ces grandes tailles de fichiers peuvent également entraîner de longs temps d’attente lors de l’ouverture d’un.pcap dans un outil d’analyse de réseau.
Inconvénient: Trop d’informations
Bien que les captures de paquets fournissent un aperçu très complet du trafic réseau, elles sont souvent trop complètes. Les informations pertinentes peuvent souvent se perdre dans de vastes quantités de données. Les outils d’analyse ont des fonctionnalités d’ordre, de tri et de filtrage des fichiers de capture, mais de nombreux cas d’utilisation pourraient être mieux servis par d’autres options. Il est souvent possible de dépanner un réseau ou de repérer les signes d’une attaque avec uniquement les versions résumées du trafic réseau disponibles dans d’autres solutions de surveillance. Une approche courante consiste à utiliser une technologie comme NetFlow pour surveiller tout le trafic et se tourner vers une capture complète des paquets si nécessaire.
Inconvénient : Champs fixes
Les itérations les plus récentes de NetFlow permettent des enregistrements personnalisables, ce qui signifie que les administrateurs réseau peuvent choisir les informations à capturer. Puisqu’une capture de paquet est basée sur la structure existante d’un paquet IP, il n’y a pas de place pour la personnalisation. Cela peut ne pas être un problème, mais encore une fois, selon le cas d’utilisation, il peut ne pas être nécessaire de capturer tous les champs d’un paquet IP.
Conclusion
La capture de paquets est inestimable du point de vue du dépannage et de la sécurité, mais ne devrait jamais être le seul outil sur lequel un administrateur réseau ou un ingénieur en sécurité s’appuie. L’utilisation accrue du cryptage à des fins légitimes et illégitimes limite l’efficacité d’outils tels que Wireshark. Les captures de paquets ne donnent pas non plus aux intervenants en cas d’incident une bonne idée des actions qui ont eu lieu sur un hôte. Les fichiers auraient pu être modifiés, les processus masqués et de nouveaux comptes d’utilisateurs créés sans générer un seul paquet. La plateforme de protection des données Varonis fournit une vue centrée sur les données de votre organisation qui peut détecter les menaces qui ne sont pas détectées sur le réseau. Comme toujours, assurez-vous d’utiliser la défense en profondeur et les meilleures pratiques dans votre réseau. Et lorsque vous êtes prêt à ajouter Varonis à votre complément d’outils de sécurité, planifiez une démo individuelle !