Analyseurs de paquets

Définition

Un analyseur de paquets peut aussi être appelé en anglais : packet analyzer, network analyzer, protocol analyzer ou encore packet sniffer.

Wireshark est certainement le plus connu mais il en existe bien d'autres.

On citera en logiciels Open Source : tcpdump, ngrep, WinDump ,tshark, dumpcap, capinfos, rawshark, editcap, mergecap, text2cap, reordercap, ...

Par ailleurs, on remarquera le logiciel et le service en ligne CloudShark qui permet de présenter des captures en version Web (partages, commentaires, wireshark-like). Celui-ci ne remplit pas la fonction de capture qui est laissée à des logiciels de bas niveau.

Utilité

Analyser des paquets permet :

  • de comprendre et d'apprendre les protocoles
  • de reproduire leur comportement et de valider ces comportements
  • de réaliser un audit de performance du réseau, d'identifier des problèmes dans une phase de diagnostic, d'implémenter du QoS dans le cadre de la gestion de la bande passante
  • en cybersécurité, dans une phase de reconnaissance passive ou active, le sniffing permet d'interpréter les résultats d'une prise d'empreinte par le réseau
  • dans un cadre plus défensif, les pots de miel (honeypots) et les systèmes de détection/prévention d'intrusions (IDS/IPS) utilisent la capture de trafic à des fins de journalisation ou de prise de décision
  • En téléphonie, la capture de paquets aide à surveiller et à recomposer les conversations (dans un cadre légal strict : salles de marchés, services de centre d'appels, enquête légale, ...)

Compétences à developper

Les compétences à développer sont :

  • L'identification des précise des hôtes et des utilisateurs d'une conversation au sein plongée au sein d'un trafic dense.
  • Faire inter-agir les conversations accessoires pour comprendre une conversation utile.
  • Etre capable d'identifier la charge d'un conversation voire la restituer.

Commentaires