Extraction d'informations depuis le réseau

Magazine
Marque
GNU/Linux Magazine
HS n°
Numéro
84
Mois de parution
mai 2016
Domaines


Résumé
Pour savoir ce qui se passe sur un réseau, le premier outil à utiliser est tshark. Il permet de capturer les paquets qui transitent par une interface et fournit une aide précieuse pour identifier les éléments fautifs. Wireshark, avec son interface graphique permet d'aller plus loin dans l'analyse protocolaire pour les initiés, mais il existe d'autres outils qui permettent des approches complémentaires en étant plus simples à utiliser.

La boîte à outils du bon administrateur réseau contient de nombreux outils permettant de répondre à des questions précises. Il y a des outils actifs qui peuvent analyser les équipements réseaux pour détecter les services ou matériels présents, mais inconnus (bug, service non référencé ou plus rarement intrusion). Les premiers outils sont nmap, ping et traceroute. Il en existe de nombreux autres qui vont jusqu’aux détecteurs de vulnérabilités.

D’autres outils sont passifs et ne créent pas de trafic réseau. Les premiers outils sont les analyseurs de trafic (ou sniffers) comme tcpdump ou tshark. Il en existe bien d’autres comme iftop, qui mesure la charge des interfaces, ou snort qui essaie de détecter les intrusions.

Les scanners, comme tcpdump, tshark ou wireshark utilisent la libpcap [1] qui fournit aux outils une API indépendante du matériel. De nombreux outils utilisent cette librairie soit directement, soit en utilisant tcpdump ou tshark. tcpdump et  

Cet article est réservé aux abonnés. Il vous reste 94% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Attaques en environnement Docker : compromission et évasion

Magazine
Marque
MISC
Numéro
113
Mois de parution
janvier 2021
Domaines
Résumé

Ces dernières années, on a pu observer une évolution croissante des environnements conteneurisés et notamment de l’usage de Docker. Les arguments mis en avant lors de son utilisation sont multiples : scalabilité, flexibilité, adaptabilité, gestion des ressources... En tant que consultants sécurité, nous sommes donc de plus en plus confrontés à cet outil. Au travers de cet article, nous souhaitons partager notre expérience et démystifier ce que nous entendons bien trop régulièrement chez les DevOps, à savoir que Docker est sécurisé par défaut.

Les taxonomies se cachent pour ne pas mourir

Magazine
Marque
MISC
Numéro
113
Mois de parution
janvier 2021
Domaines
Résumé

« Attention, nouveau virus ! » Nombreux sont les articles à nous alerter régulièrement, par cette métonymie, sur l’émergence d’un nouveau malware. Pourtant, le terme de virus a-t-il encore un sens aujourd’hui ? Wannacry était-il un ver, ou un ransomware ? NotPetya, un wiper, ou bien un ver ? Et plus encore, au-delà de l’utilisation de termes et expressions se pose la question de la nécessaire catégorisation des incidents de cybersécurité ; pourquoi, comment, à quelles fins ? Essai (critique) de réponse.

Les difficultés du désassemblage sur ARM

Magazine
Marque
MISC
Numéro
113
Mois de parution
janvier 2021
Domaines
Résumé

Cet article aborde les problèmes spécifiques à l’architecture ARM qui se posent lorsqu’on désassemble un exécutable, c’est-à-dire lorsqu’on l’analyse statiquement pour en produire une représentation en langage assembleur. En effet, les particularités de l’architecture ARM peuvent rendre le désassemblage – déjà habituellement compliqué – particulièrement ardu.