IT Explained:

Le reniflage de paquets




Qu’est-ce que le reniflage de paquets ?

 

Le reniflage de paquets est la pratique qui consiste à rassembler, collecter et consigner tout ou partie des paquets qui transitent par le réseau d’un ordinateur, quelle que soit l’adresse à laquelle ce ou ces paquets sont destinés. En y recourant, on peut recueillir à des fins d’analyse chaque paquet ou chaque sous-ensemble défini de paquets. Un administrateur réseau peut alors utiliser les données collectées pour toutes sortes de finalités, comme pour superviser la bande passante ou le trafic de son réseau.

Un renifleur de paquets, ou analyseur de paquets, se compose de deux grandes parties. D’une part, un adaptateur réseau qui connecte le renifleur au réseau. De l’autre, un logiciel qui permet de consigner, de consulter ou d’analyser les données collectées par l’appareil.

Sur quels principes repose le reniflage de paquets ?


Un réseau est un ensemble de nœuds – PC, serveurs, périphériques réseau – interconnectés. La connexion réseau permet de transférer des données d’un terminal à l’autre. Elle peut prendre une forme physique, c’est-à-dire utiliser des câbles, ou être sans fil, auquel cas elle se sert de signaux radio. Les réseaux peuvent aussi combiner les deux types de connexions.

Lorsque les nœuds acheminent des données sur le réseau, chaque transmission est décomposée en petites unités qualifiées de paquets. Leur longueur et leur forme sont précisément définies, ce qui permet de vérifier que chacun est complet et utilisable. Étant donné que l’infrastructure d’un réseau est commune à une multitude de nœuds, les paquets adressés à des nœuds distincts vont transiter par de nombreux autres nœuds avant d’atteindre leur destination. Pour s’assurer qu’ils ne soient pas mélangés, chacun d’entre eux se voit assigner une adresse qui représente la destination qu’il est supposé rallier.

L’adresse d’un paquet est examinée par chaque adaptateur réseau et chaque appareil connecté afin de déterminer le nœud auquel il est supposé parvenir. La norme veut qu’un nœud qui voit un paquet qui ne lui est pas destiné l’ignore, de même que les données qu’il contient.

Le reniflage de paquets ne tient pas compte de cette norme, et collecte tout ou partie des paquets, quelle que soit leur adresse de destination.

Il existe deux grands types de renifleurs de paquets :

  • Les renifleurs de paquets physiques
    Un renifleur de paquets physique est conçu pour être branché à un réseau afin de l’examiner. C’est un outil particulièrement utile pour qui veut analyser le trafic d’un segment précis d’un réseau. Une fois branché directement au bon emplacement du réseau physique, le renifleur physique peut vérifier qu’aucun paquet ne se perd en route à cause du filtrage, du routage ou pour tout autre motif délibéré ou fortuit. Un renifleur de paquets physique peut conserver les paquets qu’il recueille, ou alors les transférer à une interface de collecte qui va les consigner pour analyse ultérieure.
  • Les renifleurs de paquets logiciels
    De nos jours, la plupart des renifleurs de paquets appartiennent à la catégorie des logiciels. En effet, s’il est vrai que toute interface réseau rattachée à un réseau peut recevoir toutes sortes de données relatives au trafic qu’il accueille, le fait est que la plupart d’entre eux ne sont pas configurés pour ce faire. Un renifleur de paquets logiciel modifie la configuration de manière à ce que l’interface réseau fasse remonter l’ensemble du trafic vers la couche logicielle. Sur la plupart des adaptateurs réseau, cette configuration est qualifiée de promiscuous mode, c’est-à-dire « mode de proximité ». Une fois ce mode activé, le renifleur va servir à séparer, à reconstituer et à consigner tous les paquets logiciels transitant par l’interface, ce quelle que soit leur adresse de destination. Le renifleur de paquets logiciel collecte toutes les données concernant le trafic passant par l’interface réseau physique. Ce trafic est alors sauvegardé et utilisé en fonction des contraintes du logiciel en matière de reniflage de paquets.


Pour capturer des données sur tout un réseau, il faut parfois mobiliser plusieurs renifleurs à la fois. En effet, comme chaque collecteur peut uniquement collecter le trafic réseau qui est reçu par l’adaptateur réseau, il peut passer à côté du trafic qui existe de l’autre côté des routeurs ou des switches. Sur les réseaux sans fil, les adaptateurs sont rarement capables de se connecter à plusieurs canaux en même temps. Pour recueillir des données sur plusieurs segments du réseau, ou plusieurs canaux sans fil, il faut utiliser un renifleur de paquets par segment. Sur la plupart des solutions de supervision réseau, le reniflage de paquets est intégré aux fonctions des agents de supervision.

Le reniflage de paquets vous permet de superviser votre trafic réseau et vous fournit des informations précieuses au sujet de votre infrastructure et de ses performances.


Quelle est l’ampleur du trafic qui transite par votre réseau ? Quelles sont les applications qui consomment le plus de bande passante ? Autant de questions auxquelles vous pourrez répondre grâce à PRTG, l’outil professionnel de supervision réseau !

  • Version illimitée de PRTG pour 30 jours
  • Après 30 jours, PRTG revient à la version gratuite
  • Ou, vous pouvez évoluer vers une licence payante

Quel type d’informations les technologies de reniflage de paquets collectent-elles ?


Les renifleurs de paquets collectent l’intégralité du paquet de chaque transmission réseau. Les paquets qui ne sont pas chiffrés peuvent être reconstitués et lus en intégralité. À titre d’exemple, les paquets interceptés d’un utilisateur qui parcourt un site web vont inclure le code HTML et CSS des pages web consultées. Plus important encore, les utilisateurs qui se connectent à des ressources réseau via des transmissions non chiffrées fragilisent la sécurité de leur identifiant et de leur mot de passe, puisque le texte non chiffré peut être consulté dans des paquets interceptés.

 

Dans quelles circonstances a-t-on intérêt à recourir au reniflage de paquets ?


Le reniflage de paquets a plusieurs utilités, à commencer par la résolution des problèmes réseau. Si l’on détecte des paquets sur un réseau où ils n’ont rien à faire, cela est vraisemblablement dû à une mauvaise configuration des routeurs ou des switches. De même, si l’on constate que des paquets sont assignés à des ports qui ne correspondent à leur protocole, il est probable qu’un ou plusieurs nœuds aient été mal paramétrés. Le reniflage de paquets permet aussi d’analyser le trafic et les réponses données à chaque requête. Le nœud interroge-t-il le bon serveur DHCP ? La bonne requête DNS est-elle routée au bon endroit ? Le trafic est-il chiffré en SSL ou HTTPS selon les circonstances, ou arrive-t-il que des réponses non cryptées soient envoyées ? Le paquet emprunte-t-il le chemin de routage le plus direct vers sa destination finale ?

On peut également analyser les paquets pour voir si une application spécifique utilise une trop grande quantité de bande passante ou si l’authentification nécessite l’échange d’une multitude d’instructions d’un sens à l’autre. À l’aune des données collectées, on peut améliorer ses communications ou régler les problèmes qui affectent les applications, et ainsi améliorer les performances des logiciels.

On peut aussi se servir du reniflage de paquets pour contrôler des tendances de consommation sur un réseau. L’analyse des paquets collectés peut en effet révéler qu’une grande quantité de trafic est mobilisée par certaines applications internes, ou encore par des transmissions vidéo. De même, une baisse du trafic peut être le signe que certaines ressources sont moins utilisées.

Le reniflage de paquets peut aussi contribuer à la sécurité d’un réseau. En supervisant le trafic en quête d’identifiants et de mots de passe non chiffrés, par exemple, on peut s’apercevoir de l’existence de failles de sécurité avant que des hackers n’en profitent. En outre, la surveillance du trafic distant permet de s’assurer que l’ensemble du trafic est chiffré comme il se doit, et non propulsé sans protection aucune dans les méandres dans l’internet.

Sécurité


Sous MQTT, les messages sont publiés en tant que topics (sujets). Ces topics sont des structures hiérarchisées qui utilisent le caractère slash (/) comme délimiteur. Ces structures ressemblent à l’arborescence de l’explorateur Windows. Une structure de type capteurs/OilandGas/Pressure/ permet ainsi à un abonné de préciser qu’il souhaite ne recevoir que les données émanant des clients publiant dans le sujet Pressure, ou peut-être, s’il souhaite élargir ses horizons, toutes les données du topic capteurs/OilandGas. Les topics ne sont pas vraiment créés sous MQTT : si un broker reçoit des données publiées sur un topic qui n’existe pas à ce moment-là, celui-ci sera automatiquement créé, après quoi les clients pourront s’y abonner.