Diagnostic réseau et analyse des paquets  | NPMD | NETWALKER

Détecter un scan réseau Omnipeek versus Wireshark

Détecter un scan réseau Omnipeek versus Wireshark

Détecter rapidement un scan réseau

Comparaison Omnipeek et Wireshark – chap. 2

 

Une fois installé sur un ordinateur, les virus ou autres codes malicieux présents sur votre réseau vont essayer de trouver d’autres postes vulnérables.

Pour ce faire, ils vont scanner les adresses IP du réseau et pour celles qui répondent, tester les ports ouverts.

Connues sous le nom de IP Scan et Ports Scan, ces techniques permettent à Omnipeek de détecter rapidement un virus ou autre code malicieux et d’identifier la station fautive.

Voyons comment Wireshark puis Omnipeek présentent les informations d’un même fichier contenant un scan réseau composé d’un balayage des adresses IP et d’un scan de ports.

 

Détecter un scan réseau avec Wireshark

Après avoir ouvert le fichier de capture, le menu Statistiques permet de sélectionner EndPoints

Depuis l’onglet IPv4 on peut voir la liste des adresses IP en séquence et des échanges avec très peu de paquets qui transitent dans une seule direction.


Présentation du scan des adresses IP dans WiresharkUne fois trié par adresse IP, on visualise que chaque IP a été testée
 

La détection d’un port scan est un peu moins évidente : en cliquant sur l’onglet Ports on visualise les séquences répétitives de ports avec toujours peu de paquets.


Présentation du scan de port dans Wireshark
La répétition des paquets émis sur les 4 ports permet d’imaginer un port scan

Détecter un scan réseau avec Omnipeek

Détection depuis la PeerMap

Après avoir ouvert le même fichier, rendez-vous dans la PeerMap.


L'outil PeerMap d'Omnipeek est idéal pour détecter les scan réseau et identifier la sourceLe scan réseau est immédiatement identifiable avec Omnipeek !
La PeerMap affiche de manière visuelle intuitive les échanges entre les postes du réseau.

Ici, le scan réseau est évident : la station du centre de la PeerMap communique avec l’ensemble des autres postes du réseau. (rectangle orange N°1)

Qui plus est, l’adresse IP de nombreux postes est affichée en gris ce qui indique que ces postes ont bien reçu des paquets mais n’ont pas répondu : c’est une communication à sens unique. (rectangle orange N°2)

 

Détection du scan des adresses IP

Cette présentation permet d’identifier immédiatement un scan des adresses IP – ou IP Scan – par la station placée au centre du graphe.

En déplaçant la souris sur une des adresses IP grisée, on visualise la réception de 6 paquets et aucune réponse.


scan réseau : le poste n'a pas répondu aux trames reçuesConfirmation d’un communication unilatérale et identification des ports utilisés pour le scan réseau

Les postes dont l’adresse IP est affichée dans une autre couleur ont échangé des paquets avec la station infectée. Il faudra donc les vérifier.

 

Détection du scan des ports

La PeerMap d’Omnipeek nous livre ici une information complémentaire : le port scan de l’IP 192.168.1.252. (rectangle orange N°3)

Les pointillés représentent les différents ports utilisés pour la communication entre les postes.

Quand la ligne est représentée par des points, c’est que de nombreux ports/protocoles ont été utilisés/testés.

Là encore, le survol de la souris pourra confirmer le scan réseau.


La station 192.168.1.252 est victime d'un port scanIdentification de la station attaquée et visualisation des protocoles du port scan

Si la PeerMap est l’outil le plus immédiat pour détecter un port scan, Omnipeek permet aussi d’utiliser la présentation par Node dans laquelle on va retrouver la trace de l’IP Scan.


Le scan des adresses IP du réseau est également visible depuis la liste des nœuds -liste des IP-Présentation du scan IP depuis la liste des stations du réseau.
 

Omnipeek permet une détection intuitive et immédiate
d’un scan réseau

 

Au premier coup d’oeil il vous désigne :

  • la station source
  • les stations potentiellement infectées (échange de paquets)
  • les stations attaquées (port scan)

C’est aujourd’hui l’outil le plus efficace pour permettre aux ingénieurs réseau et sécurité d’analyser rapidement toute menace pour l’entreprise.

 

comme toujours …
La réponse est dans les paquets !

Omnipeek est un puissant outil de diagnostic réseau
Omnipeek l'outil des experts pour éliminer les problèmes réseau et réduire les coûts !

Une courte vidéo en Anglais reprend cette comparaison. Elle compare en outre la rapidité de chargement du fichier trace entre les 2 logiciels et la présentation des graphiques.


 

 

Utilisés par plus de 6.000 entreprises de toutes tailles en France et dans le monde, Omnipeek et les solutions de diagnostic réseau Savvius sont distribuées en France par NetWalker et vendues en ligne sur NetWalkerStore.

Une question ? un devis ? Contactez-nous depuis le formulaire de contact disponible ici.
Les marques citées sont déposées par leurs propriétaires respectifs.

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

%d blogueurs aiment cette page :