# Systmes > Windows > Scurit >  Sniffer rseau Wireshark

## crypto

bonjour ;

j'ai deux machines communiquant entre eux dans un rseau local , je compte intercepter les trames de communication pour vrifier si les donnes sont crypts ou non, ceci en utilisant une troisime machine  l'aide du logiciel Wireshark. je sais pas comment m'y prendre ? 

j'aimerai aussi savoir si le rsultat obtenu sera le meme en utilisant le sniffer sur une des deux machines communiquantes!!

Merci d'avance pour vos rponses

----------


## Flamby38

Salut, le plus simple c'est de brancher toutes tes machines sur un hub, comme ca elles recevront toutes les trames et tu pourras les analyser. Si tu as un switch il doit y avoir des moyens de le configurer pour qu'il fonctionne en hub (soit dans la config du switch, soit en faisant du "ARP poisoning").

----------


## ram-0000

> Salut, le plus simple c'est de brancher toutes tes machines sur un hub, comme ca elles recevront toutes les trames et tu pourras les analyser.


Oui



> Si tu as un switch il doit y avoir des moyens de le configurer pour qu'il fonctionne en hub


Certains switch ont des fonctions de "port mirroring" prvues justement pour cela. Mais cette fonctionnalit n'existe que  partir d'un certain prix. Sur un switch de base (4 ports  10), rien n'est prvu. Il faut se rabattre sur le HUB mais comme c'est des vieilles techno maintenant, tu perds l'avantage du 100Mhz pour te retrouver  10 Mhz (tu me diras, cela laisse du temps  l'analyseur d'afficher les trames)




> soit en faisant du "ARP poisoning".


Oui aussi mais ce n'est pas dterministe dans le sens o tu ne sais pas si cela va marcher ni quand cela va marcher. Et puis mettre en place des techniques de hacking pour faire de l'analyse rseau, c'est pas terrible.

----------


## crypto

Et le Wireshark !!!

----------


## ram-0000

> Et le Wireshark !!!


Wireshark est un outil qui permet effectivement de sniffer le rseau encore faut il que le rseau le permette  :;):

----------


## crypto

Merci 
il faut configurer le switch pour que le wireshark puisse faire son travail c'est bien a? je croyais que le wireshark fait tout

----------


## toomsounet

En utilisant la lib pcap ou jpcap tu peux toi mme faire ton analyseur de trames   :;):

----------


## nuke_y

Je sais pas si tu as bien compris le flux des donnes rseau (d'ailleurs je ne m'y connais pas plus que a, donc que quelqu'un n'hsite pas  me corriger) :

Soient A, B et C les ordis, D le switch ou hub (par exemple 4 ports)

A et B communiquent, le but est d'intercepter les trames avec C, sur lequel est install wireshark.

Dj il est essentiel que C soit sur le mme rseau local que A et B, donc connect  D (je simplifie l, il existe srement des cas particuliers).

Quand A envoie des trames  B, il envoie des signaux lectriques  D qui fait l'opration suivante :
- si D = switch : il ne transmet le signal lectrique que sur le port (au sens port du hub/switch, pas port machine) sur lequel est connect B, ainsi SEUL B obtient la trame envoye par A et pas les autres ordinateurs, donc C ne pourra JAMAIS voir ces trames passer.
- si D = hub : il transmet le signal lectrique  tous les ports (au sens port du hub/switch, pas port machine), ainsi tous les ordinateurs obtiennent la trame envoye par A (je crois que le terme c'est "broadcast"), donc C peut voir la trame passer.

A ce point l tu comprends donc que si D=swich, il faut le configurer pour qu'il se comporte comme un hub.

Le 2e point important est que ta carte rseau reoit toutes les signaux qui lui sont envoys MAIS qu'elle ignore toute trame qui n'est pas destine  son IP. En gros elle est polie et bien leve et ne regarde pas le courrier des autres, enfin elle le regarde mais elle n'en fait pas part au systme. Encore une fois, si C est connect  un switch il ne verra pas passer les trames destines aux autres machines puisque le switch fait les choses proprement.
Cependant, et si C est connect sur un hub, comme les informations sont disponibles, un outil comme wireshark peut trs bien demander  la carte rseau de lui montrer toutes les trames, mmes celles qui ne sont pas destines  l'IP de la machine C.

Pour configurer wireshark il suffit de le lancer, d'activer la capture et de mettre comme filtre :


```
(ip.src == <ip de A> && ip.dst == <ip de B> ) || (ip.src == <ip de B> && ip.dst == <ip de A> )
```

----------


## crypto

Merci pour les explications j'en avais besoin pour comprendre le principe!

configurer le switch me parrait un peu trop difficile vue mon niveau 

est-ce qu'il y a une autre solution purement logiciel!!

----------


## nuke_y

Je dirais que tu as 3 options :

- installer wireshark sur A et B et laisser tomber C
- rentrer dans la config de ton switch (en posant des questions sur le forum, on est l pour a) pour :
* en faire un hub
* lire les logs des trames qui transitent (en gros le logiciel de ton switch ferait le boulot de wireshark)
- mettre un hub  la place de ton switch. Ca cote quedalle un hub donc tu dbranches tes ordis du switch et tu les fous sur un hub. Evidemment si tu n'as pas le droit de toucher au rseau (genre tu es en entreprise) a peut tre compliqu, mais dans ce cas a peut vouloir dire aussi que tu n'as pas le droit de sniffer les trames.

----------


## crypto

d'ailleurs c'est ce que j'ai essay de faire  la premire option!


j'ai spcifi le port 1194 (sur lequel tourne le OpenVPN) pour l'envoie d'une chaine de caractre. Mais elle n'est pas crypt j'arrive  lire le message envoy :8O:  
quan je capture avec le wireshark c'est comme s'il y a pas de VPN entre les deux

----------


## nuke_y

Ah oui alors l tu touches peut-tre les limites l. Parce que s'il le faut ton VPN travaille  plus bas niveau que wireshark et donc les donnes sont bien cryptes d'un point de vue rseau mais pour ton wireshark c'est transparent puisque c'est le VPN qui crypte / dcrypte.

L j'ai pas d'autre solution que de configurer le switch ou alors de le remplacer par un hub pour voir.  ::?:

----------


## goldkey

> Je dirais que tu as 3 options :


J'en ajouterai une quatrime  :;): 

C avec deux cartes rseaux, l'une vers PC A et l'autre vers PC B.
Tu configures 2 sous-rseaux diffrents et tu actives le routage sur le PC C  :;): 

Purement logiciel, a part l'ajout d'une deuxime carte rseau  ::aie::

----------


## nuke_y

A ce compte l c'est plus simple de poser un hub  :;):

----------

