diagnostiquer avec tcpdump verifier erreur icmp
verifier taille mtu sur tunnel vpn
Archives pour la catégorie NETWORK
Network Monitoring
Tap vs SPAN
span port: Le SPAN permet à un switch de rediriger le trafic d’un port source vers un port de destination ceci afin d’analyser ce flux.
(local SPAN et Remote Rspan)
http://www.nemako.net/dc2/index.php?post/SPAN-%3A-sniffer-son-reseau-pour-mieux-le-comprendre
AVANTAGES Inconvénients du PORT MIRRORING
https://www.performancevision.com/fr/blog/comment-capturer-led-trafic-reseau-span-vs-tap/
voir aussi p.57 chapitre 3 -Applied Network Security Monitoring: Collection, Detection, and Analysis –De Chris Sanders, Jason Smith
https://books.google.fr/books?id=TTIDAQAAQBAJ&pg=PA56&lpg=PA56&dq=span+contre+tap&source=bl&ots=Uw1JQ1DL4Z&sig=4ujsibxZs4QhBD_uF588AqujS88&hl=fr&sa=X&ved=2ahUKEwie-7GV0_jcAhUSWhoKHQs2CQI4ChDoATADegQIBxAB#v=onepage&q=span%20contre%20tap&f=false
Avantages
- Faible coût (cette fonctionnalité est intégrée dans la plupart des commutateurs)
- Peut être configuré à distance via IP ou le port Console
- C’est la seule façon de capturer le trafic intra-switch
- Une bonne façon de capturer le trafic sur plusieurs ports à la fois
Inconvénients
- Pas adéquat pour des liens full-duplex entièrement utilisés (vous pouvez perdre des paquets)
- Elimination des erreurs physiques
- Impact sur la CPU du commutateur
- Peut modifier le timing de la trame (avec un impact sur l’analyse des temps de réponse)
- SPAN a une priorité moindre que le transfert des données port à port
TAP réseau
Le TAP réseau est un équipement matériel qui peut passivement capturer le trafic sur le réseau. Il est couramment utilisé pour surveiller le trafic réseau entre deux points du réseau. Si le réseau entre ces deux points se compose d’un câble physique, un TAP réseau peut être le meilleur moyen de capturer le trafic.
Le TAP réseau comporte au moins trois ports – un port A, un port B, et un port de monitoring. Pour placer un TAP entre les points A et B, le câble réseau entre le point A et le point B est remplacé par une paire de câbles, l’un va vers le port A du TAP, le second allant vers le port B du TAP. Le TAP transfert tout le trafic entre les deux points du réseau, de sorte qu’ils sont toujours connectés les uns aux autres. Le TAP copie également le trafic vers son port de monitoring, permettant ainsi l’écoute du trafic par l’équipement d’analyse.
Les TAPs réseau sont couramment utilisés pour des équipements de surveillance et de collecte tel que Performance Vision. Les TAPs peuvent également être utilisés dans des applications de sécurité car ils sont transparent, ne sont pas détectables sur le réseau, peuvent composer avec les réseaux full-duplex et non partagés, et laisseront généralement passer le trafic même si le tap cesse de fonctionner ou n’est plus alimenté.
Avantages & inconvénients des TAPs
Avantages
- Pas de risque de perte de paquets
- Monitoring de tous les paquets (y compris les erreurs physiques -MAC & media)
- Fournit une visibilité totale y compris en cas de congestions
Inconvénients
- Le dispositif peut nécessiter deux interfaces d’écoute sur l’équipement d’analyse
- Cela a un coût non négligeable
- Pas de visibilité sur le trafic intra-switch
- Ne convient pas pour l’observation d’un trafic ciblé
WOL
https://www.dell.com/support/article/fr/fr/frbsdt1/sln305365/configuration-de-wake-on-lan-wol-sur-votre-syst%C3%A8me-dell?lang=fr
parametres a verifier « allow low-power mode » which will shutdown the NIC when not in use.
https://gallery.technet.microsoft.com/scriptcenter/Send-WOL-packet-using-0638be7b
Powershell
.\Send-WOL.ps1 #load the Send-Wol function – this would be the full path to where you store the script
####script wakeup.ps1 ####
$MACAddresses = Get-Content « C:\MACAddresses.txt » #This would be the full path to your text or csv file.
Foreach ($MACAddress in $MACAddresses) {
Send-Wol -mac $MacAddress
}
######end#######
Schedule tasks
PowerShell.exe -ExecutionPolicy UnRestricted -File « C:\scripts\wakeup.ps1″
Verifier policy restriction
Get-ExecutionPolicy
Get-ExecutionPolicy -List | Format-Table -AutoSize
bypass restriction
PowerShell.exe -ExecutionPolicy UnRestricted -File .runme.ps1
ou
Powershell -noprofile -executionpolicy bypass -file « C:\scripts\script.ps1″
DOS
http://www.nirsoft.net/utils/wake_on_lan.html
#####script######
@ECHO OFF
CD « \ »C:\program files\wol\ » »
CLS
%Le commutateur /F permet d’effectuer une boucle sur le contenu de fichiers. %
for /f %%a in (c:\program files\wol\MAC_ADDRESSES.CSV) do start « » WakeMeOnLan.exe /wakeup %%a
sleep 2
EXIT
###############
Found on Spiceworks: https://community.spiceworks.com/scripts/show/360-wake-on-lan?utm_source=copy_paste&utm_campaign=growth
WOL and subnet
- Enable WoL in the BIOS of the client computers
- Create firewall port exceptions for the WoL packets (usually UDP ports 7 and 9)
- Enable WoL on the NIC via Device Manager (« Allow the computer to turn off this device to save
power »; « Allow this device to wake the computer ») - Install Wireshark and/or WoL Packet Sniffer on the computers
- Configure routers for IP directed broadcasts (with access lists for security)
http://www.na-businesspress.com/JABE/NyandoroA_Web16_1_.pdf
—————————————————————————–
probleme wol sur windows 8
- Open the Power Options in Control Panel (From the Style UI start screen type Power Options, then click the Power Options icon)
- Select “Choose what the power buttons do«
- Uncheck “Turn on fast startup (recommended)«
- save and exit.
———————————————————————-
UNTICKING only allow a magic packet to wake up the computer. (depend du client wol utilisé)
LanGuardian
doc installation
PROTOCOLES
Links Network Monitoring and Analysis Tools
a tester
Osssim
https://www.alienvault.com/products/ossim
http://lea-linux.org/documentations/Logith%C3%A8que:Superviseurs_sniffeurs_sondes_IDS
shinken
https://www.howtoforge.com/tutorial/server-monitoring-with-shinken-on-ubuntu-16-04/
OMD et check_mk
https://www.digitalocean.com/community/tutorials/how-to-use-open-monitoring-distribution-with-check_mk-on-ubuntu-14-04
https://techtalk.gfi.com/the-top-20-free-network-monitoring-and-analysis-tools-for-sys-admins/
Tools Networks
https://sites.google.com/site/diytechtools/oem/nisoft
Portqry
https://www.microsoft.com/en-us/download/details.aspx?id=17148
Alternative a telnet, netstat -na / prise en charge UDP
utilise le fichier services situé %systemroot%\system32\drivers\etc
Controler la connectivité ldap sur un poste
C:\WINDOWS\SYSTEM32>PortQry -n 10.1.1.2 -p udp -e 389 Querying target system called: 10.1.1.2 Attempting to resolve IP address to a name... IP address resolved to DC2 querying... UDP port 389 (unknown service): LISTENING or FILTEREDUsing ephemeral source port Sending LDAP query to UDP port 389... LDAP query response: currentdate: 11/1/2004 16:20:13 (unadjusted GMT) subschemaSubentry: CN=Aggregate,CN=Schema,CN=Configuration,DC=1,DC=com dsServiceName: CN=NTDS Settings,CN= DC2,CN=Servers,CN=Default-First-Site-Name,CN=com ............ ======== End of LDAP query response ======== UDP port 389 is LISTENING
Controler le fonctionnement du serveur de messagerie (smtp 25)
nslookup Serveur par défaut : UnKnown Address: 192.168.0.254 > set q=mx > free.fr Serveur : UnKnown Address: 192.168.0.254 Réponse ne faisant pas autorité : free.fr MX preference = 20, mail exchanger = mx2.free.fr free.fr MX preference = 10, mail exchanger = mx1.free.fr mx2.free.fr internet address = 212.27.42.58 mx2.free.fr internet address = 212.27.42.59 mx1.free.fr internet address = 212.27.48.7 mx1.free.fr internet address = 212.27.48.6 > quit
C:\WINDOWS\system32>PortQry -n mx2.free.fr -p tcp -e 25 Querying target system called: mx2.free.fr Attempting to resolve name to IP address... Name resolved to 212.27.42.59 querying... TCP port 25 (smtp service): LISTENING Data returned from port: 220 mx1-g20.free.fr
TCPDUMP
$ tcpdump -n host <nom hote> port 53 -w yourfilenamehere.pcap
-n pas conversion nom
fichier pcap pour wireshark
analyse traffic entre 2 hotes
tcpdump host hote1 and \( hote2 or hote3 \)
Pour afficher les paquets SYN et le paquets FIN de chaque session TCP d’un hôte qui n’est pas sur notre réseau :
tcpdump 'tcp[tcpflags] & (tcp-syn|tcp-fin) != 0 and not src and dst net ladresse_du_reseau_local'
Pour afficher tous les paquets HTTP sur IPv4 qui viennent ou arrivent sur le port 80 et qui ne contiennent que des données (pas de SYN, pas de FIN, pas de paquet ne contenant qu’un ACK):
tcpdump 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'