web-dev-qa-db-fra.com

Existe-t-il un moyen de renifler des paquets d'une adresse IP distante?

Je voudrais savoir si renifler des paquets d'une adresse IP distante est possible, si oui je voudrais savoir:

  • quel est le taux de réussite, je veux dire combien pour cent des paquets que vous captureriez?
  • Quels sont les avantages de sécuriser le LAN local si quelqu'un peut capturer tous les paquets de ce LAN simplement en reniflant la connexion WAN?
  • Quels sont les moyens d'empêcher cela, et s'il existe un moyen d'empêcher l'attaquant de connaître mes requêtes DNS et par là même de savoir sur quels sites Web je surfe.
9
Hanan N.

Si vous avez le contrôle sur le réseau, vous pouvez renifler le trafic à distance en utilisant un vlan comme destination pour un port span puis en le joignant là où vous en avez besoin. Vous pouvez également le faire sur des réseaux routés à l'aide de tunnels GRE, mais vous devez contrôler le réseau.

1) Si vous avez le contrôle du réseau, vous devriez pouvoir capturer 100%

2) Vous pouvez crypter les connexions WAN en utilisant IPSec d'hôte à hôte ou sur les routeurs qui se connectent au fournisseur de services pour empêcher le fournisseur de services de visualiser les données.

3) Cela ressemble plus à un problème de spyware sur votre poste de travail. Si vous avez un malware sur la boîte, peu importe ce que vous faites d'autre. Vous devez nettoyer la boîte.

7
Paul Ackerman

IP est un mécanisme d'adressage qui se trouve à la couche 3 du modèle OSI. Par définition, la seule façon de "renifler" ces paquets est de se trouver sur le chemin du routeur lui-même.

Ainsi, vous pouvez avec succès renifler des paquets sur votre LAN tant que vous êtes sur un support de diffusion tel que certaines topologies Ethernet ou wifi sans capacités de sécurité directionnelles. À moins que vous ne soyez assis à un routeur principal dans une installation de télécommunication ou que vous introduisez avec succès des routes sur Internet , vous n'avez aucune chance de capturer des paquets aléatoires sur plusieurs réseaux.

L'histoire liée ici est intéressante en ce qu'elle montre à quel point ces itinéraires sont dynamiques. Internet est censé tolérer les pannes de route, il se déplace donc constamment. La possibilité de créer accidentellement ou par malveillance un itinéraire principal existe. Vous pouvez essentiellement capturer 100% du trafic circulant sur cette route, ce qui n'est pas la même chose que capturer 100% du flux de paquets spécifique. Les paquets IP individuels peuvent arriver sur différentes routes. Une fois que vos paquets quittent votre ordinateur, ils sont soumis aux caprices des routeurs intermédiaires.

Utilisez toujours des protocoles de chiffrement tels que SSL/TLS lorsque vous en avez la possibilité.

6
logicalscope

Un moyen de capturer le trafic distant sur Internet, lorsque vous n'êtes pas sur le même réseau local que le récepteur ou l'expéditeur, utilise le détournement BGP. Kapela et Pilosov ont fait une excellente présentation sur ce sujet à Defcon 16: http://www.securitytube.net/video/17

L'attaque nécessite que l'attaquant ait le contrôle d'un AS. Il peut envoyer de fausses annonces de préfixe avec des propriétés favorables à ses pairs afin qu'ils choisissent d'acheminer le trafic pour la victime via lui. Ces annonces se propageront, et l'attaquant peut capturer une grande partie du trafic (ou même tout) qui était destiné à sa victime. Pour que le trafic soit acheminé à la victime, l'attaquant doit garder un de ses pairs "propre" afin qu'il puisse y transférer le trafic.

L'attaque est complexe et dépend de nombreux facteurs. Internet n'est pas un endroit prévisible en termes de flux de trafic. Cependant, Kapela et Pilosov donnent une démonstration en direct réussie de la capture du trafic du site Defcon. Un autre exemple célèbre est le Pakistan détournant accidentellement du trafic YouTube en 2008 (http://www.circleid.com/posts/82258_pakistan_hijacks_youtube_closer_look). La Chine a été accusée d'avoir détourné une grande partie du trafic Internet américain (http://bgpmon.net/blog/?p=282).

Un moyen de se protéger contre cela consiste à utiliser un chiffrement de bout en bout, comme l'utilisation de SSL ou IPSec. Il existe également certaines initiatives qui tentent de rendre BGP plus sûr (SBGP, SOBGP).

6
chris

Je ne sais pas exactement ce que votre question vise - si vous voulez dire, "Un attaquant distant peut-il voir mon trafic LAN simplement en surveillant le WAN port" la réponse est non, à moins qu'il ne contrôle ce routeur ou votre routeur a été configuré pour tout diffuser (pas normal)

Quant à vos détails:

quel est le taux de réussite, je veux dire par là combien pour cent des paquets que vous captureriez?

Vous pouvez capturer 100% si vous êtes sur le chemin, mais comme le dit @greg, ce chemin peut se déplacer

Quels sont les avantages de sécuriser le LAN local si quelqu'un peut capturer tous les paquets de ce LAN simplement en reniflant la connexion WAN?

Ils ne peuvent pas.

Quels sont les moyens d'empêcher cela, et s'il existe un moyen d'empêcher l'attaquant de connaître mes requêtes DNS et, par conséquent, de savoir sur quels sites Web je surfe.

S'ils sont proches, ils peuvent découvrir vos requêtes DNS.

1
Rory Alsop