Détecter rapidement un scan réseau
Comparaison Omnipeek et Wireshark – chap. 2
Une fois installé sur un ordinateur, les virus ou autres codes malicieux présents sur votre réseau vont essayer de trouver d’autres postes vulnérables.
Pour ce faire, ils vont scanner les adresses IP du réseau et pour celles qui répondent, tester les ports ouverts.
Connues sous le nom de IP Scan et Ports Scan, ces techniques permettent à Omnipeek de détecter rapidement un virus ou autre code malicieux et d’identifier la station fautive.
Voyons comment Wireshark puis Omnipeek présentent les informations d’un même fichier contenant un scan réseau composé d’un balayage des adresses IP et d’un scan de ports.
Détecter un scan réseau avec Wireshark
Après avoir ouvert le fichier de capture, le menu Statistiques permet de sélectionner EndPoints
Depuis l’onglet IPv4 on peut voir la liste des adresses IP en séquence et des échanges avec très peu de paquets qui transitent dans une seule direction.
Une fois trié par adresse IP, on visualise que chaque IP a été testéeLa détection d’un port scan est un peu moins évidente : en cliquant sur l’onglet Ports on visualise les séquences répétitives de ports avec toujours peu de paquets.
La répétition des paquets émis sur les 4 ports permet d’imaginer un port scan
Détecter un scan réseau avec Omnipeek
Détection depuis la PeerMap
Après avoir ouvert le même fichier, rendez-vous dans la PeerMap.
Le scan réseau est immédiatement identifiable avec Omnipeek !Ici, le scan réseau est évident : la station du centre de la PeerMap communique avec l’ensemble des autres postes du réseau. (rectangle orange N°1)
Qui plus est, l’adresse IP de nombreux postes est affichée en gris ce qui indique que ces postes ont bien reçu des paquets mais n’ont pas répondu : c’est une communication à sens unique. (rectangle orange N°2)
Détection du scan des adresses IP
Cette présentation permet d’identifier immédiatement un scan des adresses IP – ou IP Scan – par la station placée au centre du graphe.
En déplaçant la souris sur une des adresses IP grisée, on visualise la réception de 6 paquets et aucune réponse.
Confirmation d’un communication unilatérale et identification des ports utilisés pour le scan réseauLes postes dont l’adresse IP est affichée dans une autre couleur ont échangé des paquets avec la station infectée. Il faudra donc les vérifier.
Détection du scan des ports
La PeerMap d’Omnipeek nous livre ici une information complémentaire : le port scan de l’IP 192.168.1.252. (rectangle orange N°3)
Les pointillés représentent les différents ports utilisés pour la communication entre les postes.
Quand la ligne est représentée par des points, c’est que de nombreux ports/protocoles ont été utilisés/testés.
Là encore, le survol de la souris pourra confirmer le scan réseau.
Identification de la station attaquée et visualisation des protocoles du port scanSi la PeerMap est l’outil le plus immédiat pour détecter un port scan, Omnipeek permet aussi d’utiliser la présentation par Node dans laquelle on va retrouver la trace de l’IP Scan.
Présentation du scan IP depuis la liste des stations du réseau.Omnipeek permet une détection intuitive et immédiate
d’un scan réseau
Au premier coup d’oeil il vous désigne :
- la station source
- les stations potentiellement infectées (échange de paquets)
- les stations attaquées (port scan)
C’est aujourd’hui l’outil le plus efficace pour permettre aux ingénieurs réseau et sécurité d’analyser rapidement toute menace pour l’entreprise.
comme toujours …
La réponse est dans les paquets !
Une courte vidéo en Anglais reprend cette comparaison. Elle compare en outre la rapidité de chargement du fichier trace entre les 2 logiciels et la présentation des graphiques.
Utilisés par plus de 6.000 entreprises de toutes tailles en France et dans le monde, Omnipeek et les solutions de diagnostic réseau Savvius sont distribuées en France par NetWalker et vendues en ligne sur NetWalkerStore.
Une question ? un devis ? Contactez-nous depuis le formulaire de contact disponible ici.
Les marques citées sont déposées par leurs propriétaires respectifs.