Il peut sembler étrange de parler d'analyse réseau dans un dossier consacré à l'analyse post mortem. Si l'on peut étudier le comportement d'une machine à travers ce qu'elle envoie ou reçoit, c'est que la « bête » est encore vivante. Dans certains cas cependant – en l'absence de logs par exemple – c'est pourtant une des seules choses à faire. Cet article présente une méthode – sans prétention – d'analyse de traces réseau à l'aide de TShark et d'outils OpenSource.
Contexte
Qu'entend-on par « network forensic » ? Quels sont les cas où cette méthode est employée ?
Le terme est difficilement transposable en français. Il devrait se traduire en « analyse réseau post-mortem » ce qui n'a pas vraiment de sens : si une machine émet ou reçoit des paquets, elle n'est pas vraiment morte. Au pire pourrait-on qualifier son état de NDE (Near Death Experience).
Le « network forensic » est souvent défini comme une analyse de trafic en vue de résoudre ou déterminer l'origine d'incidents survenus sur un réseau. Cette définition, large, recouvre des cas très divers, allant de la mauvaise configuration d'un ordinateur ou d'un équipement réseau jusqu'à l'attaque DDoS en passant par toutes sortes d'anomalies. Dans le contexte qui nous intéresse, nous préciserons donc le périmètre dans lequel nous nous inscrivons en parlant « d'incidents de sécurité survenus sur un réseau…
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première