[Présentation | libpcap ( Présentation , installation ) | Ethereal ( Installation d'Ethereal , Utilisation d'Ethereal) | Wireshark ( présentation , installation , utilisation ) | Snort ( Présentation, Installation , Syntaxe, Quelques exemples ) ]

Dernière modification 1 avril 2007

"Sniffer" son réseau avec Wireshark, Ethereal et Snort

Présentation

Ethereal est un analyseur de trafic réseau ou "sniffer". Il utilise une interface graphique basée sur GTK+, il est basé sur la bibliothèque libpcap, qui fournit des outils pour capturer les paquets réseau. La page d'accueil d'Ethereal est www.ethereal.com
Depuis peu le développemet d'Ethereal a été stoppé au profit de celui de wireshark qui a repris l'ensemble de ses fonctionnalités.

Contrairement à Ethereal et wireshark, snort permet de sniffer le réseau en temps réel alors que les deux premiers permettent l'analyse uniquement après une période de capture.

[Retour haut de la page]

Libpcap

Présentation

libpcap est une bibliothèque d'outils permettant de faire la capture des paquets qui circulent sur le réseau, on peut ainsi faire des stats, de la surveillance de réseau, du débugage et bien d'autres choses.

[Retour haut de la page]

Installation

Vous avez le choix entre installer le package fourni avec la Mandrake ou d'installer le tarball qu'on trouvera sur le site www.tcpdump.org. L'archive est le tarball libpcap-0.9.5.tar.gz qu'on décompressera en tapant :

tar xvfz libpcap-0.9.5.tar.gz

Cela va nous donner le répertoire libpcap-0.9.5, dans ce répertoire on tapera pour créer le Makefile:

./configure

A présent tapons :

make

NOTE : Les packages suivants sont nécessaires byacc et flex

Puis en tant que root

make install

Si vous avez choisi d'installer avec le package RPM, pour la suite des opérations il vous faudra aussi installer le package de développement libpcap0-devel

[Retour haut de la page]

Ethereal

Installation

ou alors utilisez l'archive ethereal-0.99.0.tar.gz qu'on trouvera à l'URL www.ethereal.com, qu'on décompressera en tapant :

tar xvfz ethereal-0.99.0.tar.gz

Cela va nous donner le répertoire ethereal-0.99.0. On installera préalablement les packages suivants libglib-devel et libgtk+2-devel. Dans le répertoire d'ethereal, on tapera :

./configure

A la fin de la commande, on a un résumé des principales options choisies

The Ethereal package has been configured with the following options.
                    Build ethereal : yes
                   Build tethereal : yes
                    Build capinfos : yes
                     Build editcap : yes
                     Build dumpcap : yes
                    Build mergecap : yes
                   Build text2pcap : yes
                     Build idl2eth : yes
                     Build randpkt : yes
                      Build dftest : yes

                    Install setuid : no
                       Use plugins : yes
                  Build lua plugin : no
               Use GTK+ v2 library : yes
                       Use threads : no
            Build profile binaries : no
                  Use pcap library : yes
                  Use zlib library : yes
                  Use pcre library : yes
              Use kerberos library : no
              Use GNU ADNS library : no
            Use SSL crypto library : no
          Use IPv6 name resolution : yes
     Use UCD SNMP/Net-SNMP library : no
                Use gnutls library : yes

Puis

make

En tant que root, tapez maintenant:

make install

Editer le fichier /etc/ld.so.conf et rajoutez la ligne

/usr/local/lib/ethereal/plugins/0.99.0

Pour que le fichier soit pris en compte tapez maintenant

ldconfig

Un répertoire contenant divers fichiers (plugins et autres) a été installé sous /usr/local/lib/ethereal, et les exécutables se trouvent sous /usr/local/bin.

[Retour haut de la page]

Utilisation d'Ethereal

Vous devez être root pour pouvoir utiliser ethereal. Au lancement la fenêtre principale apparaît, puis une autre fenêtre qui détecte automatiquement les interfaces actives

choisissez votre interface, en cliquant sur Prepare la fenêtre suivante apparaît :

Préparation de la capture

eth1 correspond à l'interface réseau à observer, appuyez sur Start. Une fenêtre comptant le nombre de paquets capturés avec le protocole utilisé va apparaître :

Sniff en action

Le trafic est maintenant capturé, par exemple ici on a 651 paquets de type TCP dans la fenêtre. Cliquez sur Arrêter pour cesser la capture, toutes les infos sur les paquets capturés apparaissent au niveau de la fenêtre principale.

Résultat de la capture

On observe ici une session pop3 de récupération de mail. Dans la partie centrale, on a des informations complémentaires (protocole utilisé, numéro du port...), dans la partie du bas on a le contenu du paquet qui a été sélectionné dans la partie du haut.

Dans Analyze -> Follow TCP Stream, on pourra reconstituer à partir des paquets capturés une session. Pour la session pop cela donne

Session pop

Voilà un exemple avec une session telnet :

On y voit le mot de passe en clair !! (depuis j'ai changé le mot de passe ;-) )

Vous voyez ici toute la puissance d'ethereal, je vous laisse découvrir les autres fonctionnalités du logiciel et découvrir toutes les faiblesses de votre réseau (telnet, pop, ...).

[Retour haut de la page]

Wireshark

Présentation

wireshark a été développé par les développeurs d'Ethereal, d'ailleurs il en est issu (c'est un fork), il n'y a que le nom qui a changé. Tout laisse penser qu'ethereal a été abandonné au profit de wireshark.

[Retour haut de la page]

Installation

Le site officiel est http://www.wireshark.org/ on y récupère l'archive qu'on décompresse en tapant

tar xvfz wireshark-0.99.5.tar.gz

cela donne le répertoire wireshark-0.99.5 dans lequel on tape

./configure

voilà le résultat

The Wireshark package has been configured with the following options.
                    Build wireshark : yes
                       Build tshark : yes
                     Build capinfos : yes
                      Build editcap : yes
                      Build dumpcap : yes
                     Build mergecap : yes
                    Build text2pcap : yes
                      Build idl2wrs : yes
                      Build randpkt : yes
                       Build dftest : yes

                     Install setuid : no
                        Use plugins : yes
                   Build lua plugin : no
                   Build rtp_player : no
                Use GTK+ v2 library : yes
                        Use threads : no
             Build profile binaries : no
                   Use pcap library : yes
                   Use zlib library : yes
                   Use pcre library : yes
               Use kerberos library : yes (MIT)
               Use GNU ADNS library : no
             Use GNU crypto library : yes
             Use SSL crypto library : no
           Use IPv6 name resolution : yes
               Use Net-SNMP library : no
                 Use gnutls library : yes

puis on tape

make

et en tant que root

make install
ldconfig

[Retour haut de la page]

Utilisation

Il suffit de taper wireshark en tant que root, dans la barre de menu on choisit Capture puis Interfaces on voit les interfaces réseau présentes, pour ce qui me concerne ppp0 connexion avec le PDA et eth2 connexion wifi vers Freebox.

On choisit son interface et on clique sur Options

J'ai laissé les options par défaut, puis on commence la capture en cliquant sur Start, pour stopper la capture il faut ensuite cliquez sur l'icône correspondante (4 eme à partir de la gauche).

On peut voir une session de récupération de mail (pop), on sélectionne la ligne correspondante et avec le bouton droit de la souris on sélectionne dans le menu déroulant Follow TCP Stream et voilà le résultat de la session POP.

[Retour haut de la page]

snort

Présentation

Snort est aussi un sniffer de réseau, à la différence d'Ethereal, il agit en temps réel. Le site officiel de snort est http://www.snort.org.

Installation

On doit préalablement installer pcre qui est une bibliothèque fournissant des outils gérant des expressions régulières compatibles avec Perl. L'URL officiel http://www.pcre.org/ on y récupère l'archive qu'on décompresse en tapant:

tar xvfz pcre-7.0.tar.gz

Cela donne le répertoire pcre-7.0 dans lequel on tape successivement

./configure
make

Puis en tant que root

make install
ldconfig

Ensuite on décompresse l'archive de snort en tapant

tar xvfz snort-2.6.1.3.tar.gz

Cela va nous créer un répertoire snort-2.6.1.3. Avant d'aller plus loin, vous devez vous assurer que la bibliothèque libpcap est bien installée. On tape d'abord :

./configure

On tape maintenant

make

NOTE Les logs peuvent être archivés dans une base de données, par défaut si MySQL est installé sur votre système et que vous ne voulez pas bénéficier de cette option rajoutez l'option --without-mysql à configure

Puis en tant que root

make install

Les exécutables seront placés sous /usr/local/bin

[Retour haut de la page]

Syntaxe

La syntaxe de la commande est la suivante :

snort -options expression

Parmi les nombreuses options disponibles (accessible par snort --help) on trouve :

-b les paquets sont logués dans un fichier au format tcpdump appelé snort.log. C'est l'option qu'il faut prendre si on ne veut pas que snort perdre du temps à faire la conversion binaire->ASCII pour ne rater aucun paquets, l'option-r permet de relire ces fichiers en temps différé.

-c <cf> on utilise le fichier de règles <cf>, ce fichier indique ce que le système doit loguer.

-h <hn> on définit ici l'adresse du réseau local, cela sert uniquement pour le formattage du texte pour mettre la flèche qui va bien en fonction du sens du trafic par rapport au réseau (entrant ou sortant)

-i <if> on utilise l'interface <if>, par défaut eth0

-s Les alertes sont archivées au travers de syslog dans /var/log/secure.

-l log-dir pour définir le répertoire d'archivage pour les logs. Par défaut le répertoire est /var/log/snort

-d Pour extraire uniquement la couche transport (layer) du paquet

-v mode verbeux, les paquets apparaissent dans la console ou le shell à partir duquel a été lancée la commande, contrairement à l'option -b ça ralentit considéralement le fonctionnement de snort du coup on peut perdre des paquets, à déconseiller donc, si vous ne voulez pas perdre une miette des échanges de paquets

L'expression fixe les critères pour les paquets qui seront logués. Si aucune expression n'est donnée, tous les paquets seront logués. Une expression consiste en un ou plusieurs primitives, une primitive consiste en une identité (nom ou adresse) précédée par un ou plusieurs qualificateurs, dont il existe trois types:
- type: pour définir le type précis de l'identité, on a le choix entre host pour une machine, net pour un réseau et port pour un port, par défaut on utilise le type host.
Exemple: host www.breizland.bz pour l'hôte du même nom, ou encore net 192.168.13 pour un réseau du type 192.168.13.X
- dir: pour définir la direction à partir ou vers l'identité, les directions possibles sont src, pour en provenance de, et dst, pour à destination de. Par défaut on prend les paquets dans les deux sens (src et dst).
Exemple: src www.breizland.bz les paquets provenant de l'hôte www.breizland.bz, ou encore dst port 20 les paquets à destination du ports 20 (ftp).
- proto: pour restreindre les paquets utilisant un protocole particulier, les protocoles possibles sont : ether, fddi, ip, arp, rarp,decnet,lat,sca,moprc,mopdl, tcpet udp. Si aucun protocole n'est spécifié on capture les paquets quel que soit le protocole utilisé.
Exemple: ether src www.breizland.bz les paquets utilisant ethernet provenant de www.breizand.bz, ou encore tcp port 21, les paquets allant ou venant du port 21 et utilisant TCP.

[Retour haut de la page]

Utilisation

Commençons par la base, on va afficher à la console tous les entêtes de paquets :

snort -v

voilà le résultat

En faisant un CTRL-C pour stopper la commande, on obtient le bilan suivant sur eth2 (mon interface wifi connectée à internet via routeur)

*** Caught Int-Signal

======================================================
Snort received 181 packets
    Analyzed: 179(98.895%)
    Dropped: 0(0.000%)
    Outstanding: 2(1.105%)
======================================================
Breakdown by protocol:
    TCP: 161        (89.944%)
    UDP: 14         (7.821%)
   ICMP: 4          (2.235%)
    ARP: 0          (0.000%)
EAPOL: 0          (0.000%)
   IPv6: 0          (0.000%)
ETHLOOP: 0          (0.000%)
    IPX: 0          (0.000%)
   FRAG: 0          (0.000%)
OTHER: 0          (0.000%)
DISCARD: 0          (0.000%)
=======================================================
ALERTS: 0
LOGGED: 0
PASSED: 0
=======================================================
Snort exiting

Si vous voulez voir le contenu du paquet en plus de l'entête, vous pouvez taper:

snort -vd

voilà le résultat

Running in packet dump mode

        --== Initializing Snort ==--
Initializing Output Plugins!
Var 'any_ADDRESS' defined, value len = 15 chars, value = 0.0.0.0/0.0.0.0
Var 'lo_ADDRESS' defined, value len = 19 chars, value = 127.0.0.0/255.0.0.0
Verifying Preprocessor Configurations!
***
*** interface device lookup found: eth2
***

Initializing Network Interface eth2
Decoding Ethernet on interface eth2

        --== Initialization Complete ==--

   ,,_     -*> Snort! <*-
o" )~   Version 2.6.1.3 (Build 36)
   ''''    By Martin Roesch & The Snort Team: http://www.snort.org/team.html
           (C) Copyright 1998-2006 Sourcefire Inc., et al.

Not Using PCAP_FRAMES

03/19-10:19:24.566553 192.168.26.100:43631 -> 192.168.26.50:23
TCP TTL:64 TOS:0x10 ID:15513 IpLen:20 DgmLen:133 DF
***AP*** Seq: 0xA6CF7331 Ack: 0xDB1B136 Win: 0x5B4 TcpLen: 32
TCP Options (3) => NOP NOP TS: 144002676 5915219
FF FA 20 00 33 38 34 30 30 2C 33 38 34 30 30 FF .. .38400,38400.
F0 FF FA 23 00 6D 61 6E 61 2E 6B 65 72 76 61 6F ...#.mana.kervao
2E 66 72 3A 30 FF F0 FF FA 27 00 00 44 49 53 50 .fr:0....'..DISP
4C 41 59 01 6D 61 6E 61 2E 6B 65 72 76 61 6F 2E LAY.mana.kervao.
66 72 3A 30 FF F0 FF FA 18 00 58 54 45 52 4D FF fr:0......XTERM.
F0                                               .

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

03/19-10:19:24.572556 192.168.26.50:23 -> 192.168.26.100:43631
TCP TTL:64 TOS:0x0 ID:62121 IpLen:20 DgmLen:55 DF
***AP*** Seq: 0xDB1B136 Ack: 0xA6CF7382 Win: 0x16A0 TcpLen: 32
TCP Options (3) => NOP NOP TS: 5915226 144002676
FF FD 01                                         ...

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=
03/19-10:19:24.580523 192.168.26.100:43631 -> 192.168.26.50:23
TCP TTL:64 TOS:0x10 ID:15514 IpLen:20 DgmLen:55 DF
***AP*** Seq: 0xA6CF7382 Ack: 0xDB1B139 Win: 0x5B4 TcpLen: 32
TCP Options (3) => NOP NOP TS: 144002690 5915226
FF FC 01                                         ...

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=

03/19-10:19:24.580797 192.168.26.50:23 -> 192.168.26.100:43631
TCP TTL:64 TOS:0x0 ID:62122 IpLen:20 DgmLen:70 DF
***AP*** Seq: 0xDB1B139 Ack: 0xA6CF7385 Win: 0x16A0 TcpLen: 32
TCP Options (3) => NOP NOP TS: 5915235 144002690
FF FB 01 54 65 6C 6E 65 74 20 53 65 72 76 65 72 ...Telnet Server
0D 0A                                            ..

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=

03/19-10:19:24.580936 192.168.26.100:43631 -> 192.168.26.50:23
TCP TTL:64 TOS:0x10 ID:15515 IpLen:20 DgmLen:55 DF
***AP*** Seq: 0xA6CF7385 Ack: 0xDB1B14B Win: 0x5B4 TcpLen: 32
TCP Options (3) => NOP NOP TS: 144002690 5915235
FF FD 01                                         ...

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=

03/19-10:19:24.581011 192.168.26.50:23 -> 192.168.26.100:43631
TCP TTL:64 TOS:0x0 ID:62123 IpLen:20 DgmLen:59 DF
***AP*** Seq: 0xDB1B14B Ack: 0xA6CF7388 Win: 0x16A0 TcpLen: 32
TCP Options (3) => NOP NOP TS: 5915235 144002690
6C 6F 67 69 6E 3A 20                             login:

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=

03/19-10:19:24.620312 192.168.26.100:43631 -> 192.168.26.50:23
TCP TTL:64 TOS:0x10 ID:15516 IpLen:20 DgmLen:52 DF
***A**** Seq: 0xA6CF7388 Ack: 0xDB1B152 Win: 0x5B4 TcpLen: 32
TCP Options (3) => NOP NOP TS: 144002730 5915235

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

03/19-10:19:24.650669 192.168.26.50:33167 -> 213.157.170.39:8400
TCP TTL:64 TOS:0x0 ID:61232 IpLen:20 DgmLen:52 DF
***A**** Seq: 0xE32D07B4 Ack: 0xF80538C9 Win: 0xB50 TcpLen: 32
TCP Options (3) => NOP NOP TS: 5915305 821134246

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+

03/19-10:19:24.743261 213.157.170.39:8400 -> 192.168.26.50:33167
TCP TTL:48 TOS:0x0 ID:29714 IpLen:20 DgmLen:1500 DF
***AP*** Seq: 0xF8053321 Ack: 0xE32D07B4 Win: 0x16A0 TcpLen: 32
TCP Options (3) => NOP NOP TS: 821134371 5913865
06 70 EA 5C 27 08 7F 01 C1 10 FE 2E AF E2 DE 2F .p.\'........../
D0 C6 70 28 08 3A 2A 4F 97 5E 2C 31 5F A2 9F FF ..p(.:*O.^,1_...
67 55 66 32 07 10 19 20 73 79 43 0F 88 CC 9F 2D gUf2... syC....-
5D 59 C0 0B 8C ED 14 EE 55 65 26 0B D6 28 19 5B ]Y......Ue&..(.[

(...)

84 2F A2 EE 23 AB 49 FE 9A 64 E3 60 9B E0 9F 77 ./..#.I..d.`...w
C6 92 ED F4 86 DD 28 7A C5 FB B4 F3 36 48 80 22 ......(z....6H."
07 EA 0F 28 B1 E0 2B 4C 4B 22 59 77 F5 1D 3D 54 ...(..+LK"Yw..=T
FF D0 FF F3 30 C4 ED 11 D9 8A AC 00 C3 0A 94 B5 ....0...........
69 43 CA AF F0 CB 66 59 05 64 4F F9 C1 42 EF 4D iC....fY.dO..B.M

Snort received 270 packets
    Analyzed: 270(100.000%)
    Dropped: 0(0.000%)
================================================
    TCP: 143        (52.963%)
    UDP: 88         (32.593%)
   ICMP: 0          (0.000%)
    ARP: 0          (0.000%)
EAPOL: 0          (0.000%)
   IPv6: 0          (0.000%)
    IPX: 0          (0.000%)
OTHER: 0          (0.000%)
DISCARD: 0          (0.000%)
================================================
Action Stats:
ALERTS: 0
LOGGED: 0
PASSED: 0
=================================================
Fragmentation Stats:
Fragmented IP Packets: 39         (14.444%)
    Fragment Trackers: 0
   Rebuilt IP Packets: 0
   Frag elements used: 0
Discarded(incomplete): 0
   Discarded(timeout): 0
Frag2 memory faults: 0
==================================================

Vous avez ici un extrait d'une session telnet. Si vous voulez afficher les aussi l'entête des paquets ethernet, vous pouvez taper :

snort -vde

Maintenant on va loguer les paquets en tapant

snort -vde -l /var/log/snort

Attention le répertoire /var/log/snort doit être créé préalablement. Ainsi en tapant cette commande pour la machine d'adresse 192.168.13.15 après avoir fait un ping et un telnet sur la machine 192.168.13.11, on trouvera dans le répertoire/var/log/snort, les répertoires suivants 192.168.13.11 et 192.168.13.15, le premier contenant le fichier ICMP_ECHO_REPLY et le deuxième ICMP_ECHO, TCP:1025-23. Ces fichiers contenant les paquets résultants du ping et du telnet.
Pour spécifier un fichier de règles vous taperez :

snort -vde -l /var/log/snort -c snort-lib

Vous trouverez un exemple de fichier de règles sous le répertoire de snort, et un certain nombre sur le site même de snort.
Maintenant si vous voulez exploiter en temps différé un fichier binaire du format tcpdump, vous taperez:

snort -vde -l /var/log/snort -r tcpdump_file

Pour afficher les alertes dans /var/log/secure au moyen de syslog en utilisant un fichier de règles on tapera:

snort -vde -l /var/log/snort -c snort-lib -s

Pour regarder maintenant un peu les paquets qui circulent lors d'une connexion PPP, on peut taper (l'adresse devant host correspond à l'adresse IP attribuée par le FAI) :

snort -h 192.168.13.0/24 -d -v host 213.228.15.14 -i ppp0

Voilà un extrait d'une session POP

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
10/16-21:31:09.048632 194.158.97.244:110 -> 213.36.44.26:1292
TCP TTL:59 TOS:0x0 ID:62404 DF
*****PA* Seq: 0xDCC4E1BD Ack: 0xF1084599 Win: 0x8218
TCP Options => NOP NOP TS: 240412927 876595
2B 4F 4B 20 50 4F 50 33 20 73 65 72 76 65 72 20 +OK POP3 server
4D 65 64 69 61 6E 65 74 2F 31 2E 31 33 20 3C 32 Medianet/1.13 <2
32 37 38 34 2E 39 37 31 37 32 34 36 36 37 40 6D 2784.971724667@m
65 64 69 61 6E 65 74 2D 31 76 2E 67 72 6F 6C 69 edianet-1v.groli
65 72 2E 66 72 3E 0D 0A er.fr>..

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
10/16-21:31:09.058729 213.36.44.26:1292 -> 194.158.97.244:110
TCP TTL:64 TOS:0x0 ID:4594 DF
******A* Seq: 0xF1084599 Ack: 0xDCC4E205 Win: 0x7F40
TCP Options => NOP NOP TS: 876617 240412927

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
10/16-21:31:09.058988 213.36.44.26:1292 -> 194.158.97.244:110
TCP TTL:64 TOS:0x0 ID:4595 DF
*****PA* Seq: 0xF1084599 Ack: 0xDCC4E205 Win: 0x7F88
TCP Options => NOP NOP TS: 876617 240412927
55 53 45 52 20 6F 6C 69 76 69 65 72 2E 68 6F 61 USER mon-login

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
10/16-21:31:09.208661 194.158.97.244:110 -> 213.36.44.26:1292
TCP TTL:59 TOS:0x0 ID:62405 DF
******A* Seq: 0xDCC4E205 Ack: 0xF10845AE Win: 0x8218
TCP Options => NOP NOP TS: 240412944 876617

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
10/16-21:31:09.218671 194.158.97.244:110 -> 213.36.44.26:1292
TCP TTL:59 TOS:0x0 ID:62406 DF
*****PA* Seq: 0xDCC4E205   Ack: 0xF10845AE   Win: 0x8218
TCP Options => NOP NOP TS: 240412944 876617
2B 4F 4B 20 6F 6C 69 76 69 65 72 2E 68 6F 61 72   +OK mon-login
61 75 20 70 6C 65 61 73 65 20 65 6E 74 65 72 20      please enter
70 61 73 73 77 6F 72 64 0D 0A                                    password..

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
10/16-21:31:09.218898 213.36.44.26:1292 -> 194.158.97.244:110
TCP TTL:64 TOS:0x0 ID:4596 DF
*****PA* Seq: 0xF10845AE Ack: 0xDCC4E22F Win: 0x7F88
TCP Options => NOP NOP TS: 876633 240412944
50 41 53 53 20 73 61 78 6F 32 37 30 0D 0A PASS mot-de-passe-en-clair..

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
10/16-21:31:09.428660 194.158.97.244:110 -> 213.36.44.26:1292
TCP TTL:59 TOS:0x0 ID:62407 DF
******A* Seq: 0xDCC4E22F Ack: 0xF10845BC Win: 0x8218
TCP Options => NOP NOP TS: 240412969 876633

=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+
10/16-21:31:09.638641 194.158.97.244:110 -> 213.36.44.26:1292
TCP TTL:59 TOS:0x0 ID:62408 DF
*****PA* Seq: 0xDCC4E22F Ack: 0xF10845BC Win: 0x8218
TCP Options => NOP NOP TS: 240412987 876633
2B 4F 4B 20 6F 6C 69 76 69 65 72 2E 68 6F 61 72 +OK mon-login
61 75 20 68 61 73 20 30 20 6D 65 73 73 61 67 65 has 0 message
73 20 28 30 20 6F 63 74 65 74 73 29 0D 0A s (0 octets)..

[Retour page d'accueil FUNIX] [Retour haut de la page]