Ethereal analyseur multiples, Hacking and IT E-Book Dump Release
[ Pobierz całość w formacie PDF ]
HERVÉ SCHAUER CONSULTANTS
Cabinet de Consultants en Sécurité Informatique depuis 1989
HERVÉ SCHAUER CONSULTANTS
Cabinet de Consultants en Sécurité Informatique depuis 1989
Spécialisé sur Unix, Windows, TCP/IP et Internet
Spécialisé sur Unix, Windows, TCP/IP et Internet
JSSI 2004
4 mai 2004
JSSI 2004
4 mai 2004
Ethereal, un analyseur réseau à usages
multiples
Ethereal, un analyseur réseau à usages
multiples
ou comment détecter virus et vers par analyse réseau
ou comment détecter virus et vers par analyse réseau
JeanBaptiste Marchand
<JeanBaptiste.Marchand@hsc.fr>
JeanBaptiste Marchand
Plan
✗
Ethereal
✗
Fonctionnalités
✗
Analyse réseau (dans l optique de détection de virus et vers)
✗
Capture de trafic sur l Internet
✗
Analyse de premier niveau des traces collectées
✗
Analyse fine avec Ethereal
2
/ 52
/ 52
Copyright Hervé Schauer Consultants 20002004 Reproduction Interdite
Ethereal : fonctionnalités (1/3)
✗
Ethereal
✗
Analyseur réseau : logiciel qui décode le trafic réseau, jusqu'à la couche applicative
✗
Logiciel libre, fonctionne sur Unix et Windows
✗
Support de plus de 500 protocoles
✗
Capture et lecture du trafic réseau
✗
Capture en utilisant l interface pcap (Unix) ou Winpcap (Win32)
✗
Support de nombreux formats de captures d autres analyseurs réseau
✗
Programmes editcap et mergecap, pour éditer ou convertir les formats de fichiers
de capture supportés par ethereal
3
/ 52
/ 52
Copyright Hervé Schauer Consultants 20002004 Reproduction Interdite
Ethereal : fonctionnalités (2/3)
✗
Décodage du trafic
✗
ethereal (GUI en GTK) ou tethreal (CLI)
✗
Filtres d affichage (
display filters
), qui permettent de filtrer les trames affichées
✗
Tout champ décodé par ethereal peut être spécifié dans un
filtre d affichage
✗
Différent d un
filtre de capture
(expressions BPF), qui sont pris en compte lors de
la phase de capture du trafic réseau
✗
Sauvegarde du trafic
✗
Possibilité de sauvegarder un sousensemble du trafic capturé
✗
Particulièrement intéressant en utilisant un filtre d affichage
4
/ 52
/ 52
Copyright Hervé Schauer Consultants 20002004 Reproduction Interdite
Ethereal : fonctionnalités (3/3)
✗
Analyse du trafic
✗
Fonctionnalité
Follow TCP Stream
: réassemblage d une session TCP
✗
Fonctionnalités statistiques avancées, parmi lesquelles
✗
Protocol Hierarchy
: donne un aperçu de la répartition des protocoles observés dans une
capture
✗
Conversation List
: donne la liste des conversations observées dans une capture
✗
Endpoint List
: donne la liste des endpoints observés dans une capture
✗
Identification du trafic
✗
Ethereal peut se baser sur les numéros de port pour identifier la nature du trafic
✗
Mécanisme d heuristique pour les protocoles qui n utilisent pas un port fixe
✗
Fonctionnalité
Decode As
, lorsqu ethereal se trompe dans l identification
✗
Il est parfois nécessaire de désactiver le décodage d un protocole donné (
Enabled
Protocols
)
5
/ 52
/ 52
Copyright Hervé Schauer Consultants 20002004 Reproduction Interdite
[ Pobierz całość w formacie PDF ]
zanotowane.pl doc.pisz.pl pdf.pisz.pl upanicza.keep.pl
HERVÉ SCHAUER CONSULTANTS
Cabinet de Consultants en Sécurité Informatique depuis 1989
HERVÉ SCHAUER CONSULTANTS
Cabinet de Consultants en Sécurité Informatique depuis 1989
Spécialisé sur Unix, Windows, TCP/IP et Internet
Spécialisé sur Unix, Windows, TCP/IP et Internet
JSSI 2004
4 mai 2004
JSSI 2004
4 mai 2004
Ethereal, un analyseur réseau à usages
multiples
Ethereal, un analyseur réseau à usages
multiples
ou comment détecter virus et vers par analyse réseau
ou comment détecter virus et vers par analyse réseau
JeanBaptiste Marchand
<JeanBaptiste.Marchand@hsc.fr>
JeanBaptiste Marchand
Plan
✗
Ethereal
✗
Fonctionnalités
✗
Analyse réseau (dans l optique de détection de virus et vers)
✗
Capture de trafic sur l Internet
✗
Analyse de premier niveau des traces collectées
✗
Analyse fine avec Ethereal
2
/ 52
/ 52
Copyright Hervé Schauer Consultants 20002004 Reproduction Interdite
Ethereal : fonctionnalités (1/3)
✗
Ethereal
✗
Analyseur réseau : logiciel qui décode le trafic réseau, jusqu'à la couche applicative
✗
Logiciel libre, fonctionne sur Unix et Windows
✗
Support de plus de 500 protocoles
✗
Capture et lecture du trafic réseau
✗
Capture en utilisant l interface pcap (Unix) ou Winpcap (Win32)
✗
Support de nombreux formats de captures d autres analyseurs réseau
✗
Programmes editcap et mergecap, pour éditer ou convertir les formats de fichiers
de capture supportés par ethereal
3
/ 52
/ 52
Copyright Hervé Schauer Consultants 20002004 Reproduction Interdite
Ethereal : fonctionnalités (2/3)
✗
Décodage du trafic
✗
ethereal (GUI en GTK) ou tethreal (CLI)
✗
Filtres d affichage (
display filters
), qui permettent de filtrer les trames affichées
✗
Tout champ décodé par ethereal peut être spécifié dans un
filtre d affichage
✗
Différent d un
filtre de capture
(expressions BPF), qui sont pris en compte lors de
la phase de capture du trafic réseau
✗
Sauvegarde du trafic
✗
Possibilité de sauvegarder un sousensemble du trafic capturé
✗
Particulièrement intéressant en utilisant un filtre d affichage
4
/ 52
/ 52
Copyright Hervé Schauer Consultants 20002004 Reproduction Interdite
Ethereal : fonctionnalités (3/3)
✗
Analyse du trafic
✗
Fonctionnalité
Follow TCP Stream
: réassemblage d une session TCP
✗
Fonctionnalités statistiques avancées, parmi lesquelles
✗
Protocol Hierarchy
: donne un aperçu de la répartition des protocoles observés dans une
capture
✗
Conversation List
: donne la liste des conversations observées dans une capture
✗
Endpoint List
: donne la liste des endpoints observés dans une capture
✗
Identification du trafic
✗
Ethereal peut se baser sur les numéros de port pour identifier la nature du trafic
✗
Mécanisme d heuristique pour les protocoles qui n utilisent pas un port fixe
✗
Fonctionnalité
Decode As
, lorsqu ethereal se trompe dans l identification
✗
Il est parfois nécessaire de désactiver le décodage d un protocole donné (
Enabled
Protocols
)
5
/ 52
/ 52
Copyright Hervé Schauer Consultants 20002004 Reproduction Interdite
[ Pobierz całość w formacie PDF ]