Creation d'une machine transparente d'analyse réseau
Par pepin le vendredi, octobre 22 2010, 15:53 - Sécurité - Lien permanent
Ce que j'entends par machine transparente est une UC, munie de deux cartes réseaux, que nous mettrons entre deux points pour faire office d'intercepteur et d'analyseur.
Schéma d'application
Avant :
Machine Cliente <---> Prise Réseau
Après :
Machine Cliente <
> Intercepteur <---> Prise Réseau
Le but est que l'intercepteur soit totalement invisible. On parle en informatique de Bridge Ethernet.
Installation
apt-get install bridge-utils
Supprimer les interfaces réseaux ethX dans /etc/network/interfaces.
Ajouter la création du bridge et le forwarding ip entre interfaces dans /etc/rc.local :
echo "1" /proc/sys/net/ipv4/ip_forward
brctl addbr br0
brctl addif br0 eth0
brctl addif br0 eth1
ifconfig br0 0.0.0.0 up
ifconfig eth0 0.0.0.0 up
ifconfig eth1 0.0.0.0 up
Rebooter, puis brancher
Vous pouvez écouter le traffic comme suit :
tcpdump -i eth0 -n
ou contrôler les erreurs sur chaque interface comme suit :
cat /proc/net/dev | grep eth0 | awk '{print "Received : " $3 "\n" "Rx Errors : " $4 "\n" "Transmit : " $11 "\n" "Tx Errors : " $12}'
cat /proc/net/dev | grep eth1 | awk '{print "Received : " $3 "\n" "Rx Errors : " $4 "\n" "Transmit : " $11 "\n" "Tx Errors : " $12}'