Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 12-02-2014 18:53:42

df871
Membre
Lieu : Limousin
Distrib. : Debian Wheezy 7.1 32b
Noyau : Linux 3.2.0-4-486
(G)UI : Xfce 4.8
Inscription : 17-09-2013
Site Web

Wireshark - comment interpréter les résultats

smile

J'ai lu depuis le début, et souhaitais vérifier avec wireshark, si j'étais ou pas "pollué"...

Or, il se lance bien, mais je ne peux rien faire d'autre...  en version "graphique" !

J'ai lu qu'il ne pouvait se lancer en console et en user ou root, cela ne fonctionnerait pas...
alors je teste.. (pas chante... tongue )  et çà fonctionne !

je sélectionne eth0, et çà défile...  défile...

je vois une ligne qui indique dans la colonne info :

[TCP ACKed unseen segment] http > 51626... etc...



et d'autres...

dois-je m'inquiéter ou ces lignes ont une signification "d'attirer mon attention" et non "d'attaque" ?

Merci pour vos retours !


Cordialement
Bernard
Crées, Consolides... puis, Continues à Créer smile
Asus P4P800, P4C 2,6Ghz, Seagate laptop SSHD 500Go, Nvidia GF 6200 512 Mo avec Debian 7.0, Xfce 4.08

Hors ligne

#2 12-02-2014 19:07:52

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian Stretch/Sid/Rc-Buggy
Noyau : Linux (≥ 4.3)
(G)UI : i3-wm (≥ 4.11)
Inscription : 07-07-2008
Site Web

Re : Wireshark - comment interpréter les résultats

Wireshark ne liste pas seulement les paquets envoyés par des personnes mal intentionnées. Wireshark liste tous les paquets.

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#3 12-02-2014 19:17:04

df871
Membre
Lieu : Limousin
Distrib. : Debian Wheezy 7.1 32b
Noyau : Linux 3.2.0-4-486
(G)UI : Xfce 4.8
Inscription : 17-09-2013
Site Web

Re : Wireshark - comment interpréter les résultats

Comment reconnaître un intrus, y a-t-il une couleur déterminée ?

un fichier est-il dispo quelque part, de ce qui est trouvé avec une différentiation entre "l'anormal" et le normal ?

Cordialement
Bernard
Crées, Consolides... puis, Continues à Créer smile
Asus P4P800, P4C 2,6Ghz, Seagate laptop SSHD 500Go, Nvidia GF 6200 512 Mo avec Debian 7.0, Xfce 4.08

Hors ligne

#4 12-02-2014 19:59:20

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian Stretch/Sid/Rc-Buggy
Noyau : Linux (≥ 4.3)
(G)UI : i3-wm (≥ 4.11)
Inscription : 07-07-2008
Site Web

Re : Wireshark - comment interpréter les résultats

non, wireshark n'identifie pas les intrus comme tels, il montre juste tout ce qui passe.
les couleurs servent à identifier les types de trames, les éventuels problèmes de transmission, mais c'est tout.
on reconnaît un intru à ce qu'il est là alors que d'habitude non smile (en tout cas, wireshark ne donne pas plus d'outils que cela)

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#5 13-02-2014 00:19:24

sogal
Black Metal Modo
Distrib. : Debian Testing
Noyau : 4.7
(G)UI : Gnome
Inscription : 09-05-2013
Site Web

Re : Wireshark - comment interpréter les résultats

C'est effectivement à toi de faire l'analyse, Wireshark ne fait qu'une collecte de façon assez détaillée.
En fonction des ports et IP sources / destinations et des autres éléments, tu vas pouvoir déterminer si les connections établies sont celles que tu désires uniquement ou pas.

Dans ton exemple, ACKed signifie "acknowledged". Il semblerait qu'un segment soit manquant/n'ai pas été reçu lors de l'établissement d'une connexion.

Machine perso : Thinkpad x230 Debian Stretch | Machine pro : Thinpad T450 openSUSE Leap 42.2

Hors ligne

#6 13-02-2014 10:10:01

df871
Membre
Lieu : Limousin
Distrib. : Debian Wheezy 7.1 32b
Noyau : Linux 3.2.0-4-486
(G)UI : Xfce 4.8
Inscription : 17-09-2013
Site Web

Re : Wireshark - comment interpréter les résultats

Merci pour le complément d'info smile

N'y aurait-il pas un site qui recense les anomalies, tout en indiquant celles qui nous faut faire attention ?

Merci d'avance smile

Cordialement
Bernard
Crées, Consolides... puis, Continues à Créer smile
Asus P4P800, P4C 2,6Ghz, Seagate laptop SSHD 500Go, Nvidia GF 6200 512 Mo avec Debian 7.0, Xfce 4.08

Hors ligne

#7 13-02-2014 12:24:04

captnfab
Admin-Girafe
Lieu : /dev/random
Distrib. : Debian Stretch/Sid/Rc-Buggy
Noyau : Linux (≥ 4.3)
(G)UI : i3-wm (≥ 4.11)
Inscription : 07-07-2008
Site Web

Re : Wireshark - comment interpréter les résultats

J'en doute fort. Ce qui est une anomalie quelque part ne l'est pas forcément ailleurs.
L'idée est plutôt :
- si tu sais exactement ce qu'il est censé se passer sur ton réseau tel que tu l'as configuré
- alors tu doir pouvoir détecter ce qui ne rentre pas dans ce cadre smile

captnfab,
Association Debian-Facile, bépo.
TheDoctor: Your wish is my command… But be careful what you wish for.

Hors ligne

#8 13-02-2014 13:02:02

df871
Membre
Lieu : Limousin
Distrib. : Debian Wheezy 7.1 32b
Noyau : Linux 3.2.0-4-486
(G)UI : Xfce 4.8
Inscription : 17-09-2013
Site Web

Re : Wireshark - comment interpréter les résultats

captnfab a écrit :

J'en doute fort. Ce qui est une anomalie quelque part ne l'est pas forcément ailleurs.
L'idée est plutôt :
- si tu sais exactement ce qu'il est censé se passer sur ton réseau tel que tu l'as configuré
- alors tu doir pouvoir détecter ce qui ne rentre pas dans ce cadre smile



Voilà, tu as tout dit...

Parce que je n'ai rien configuré... tout est "par défaut" !

Ceci dit, s'il y avait eu une "vacherie", depuis tout le temps que je suis en linux, cela se serait vu !


Cordialement
Bernard
Crées, Consolides... puis, Continues à Créer smile
Asus P4P800, P4C 2,6Ghz, Seagate laptop SSHD 500Go, Nvidia GF 6200 512 Mo avec Debian 7.0, Xfce 4.08

Hors ligne

Pied de page des forums