NetworkMiner : le complément de Wireshark

monitoring
network miner
paquet
réseau
Wireshark

Wireshark est très pratique pour monitorer un réseau et regarder ce qui s’y passe, ce qui y transite. Mais Du fait de son efficacité, il peut vite devenir fastidieux de trier l’ensemble des datas recueillies. NetworkMiner peut aider à faire ce tri.

Il partage avec Wireshark certaines possibilités comme la capture du flux sur un réseau et la lecture postérieure des captures. Initialement conçu pour les environnements Windows, il est possible de le faire démarrer sur des environnements Linux grâce à Mono ainsi que le montre ce tutoriel. Il est également possible de le faire tourner simplement sur des environnements Debian/Ubuntu ainsi que l’explique cet article.

Sachez qu’il existe une version professionnelle, payante, pour celles et ceux qui auraient des besoins spécifiques. La version « community » mise à disposition sur Sourceforge ne nécessite aucun enregistrement.

Son gros avantage réside dans le fait qu’il n’y a pas besoin de jouer avec les filtres comme avec Wireshark : il trie et classifie lui-même les informations recueillies.  Et voici quelques instructions de bases pour s’en servir. 

On commence par télécharger l’archive ici, on extrait les fichiers et on lance NetworkMiner.exe en mode administrateur. 

 

Lecture a posteriori des datas

On clique simplement sur File > Open et on sélectionne un fichier de datas.

networkminer_1.jpg

L’outil va alors charger les informations et les trier. Cela peut prendre quelques instants selon le volume des informations.

networkminer_2.jpg

Comme on le voit, la partie Host indique tous les sites visités ainsi que ceux qui se trouvent en cache, qui sont grisés. Les Hosts en noir sont ceux qui sont actuellement ouverts par la machine. Il repère également les autres machines connectées sur le même réseau, même si ces dernières sont inactives. Ce qui facilite la lecture est la présentation en arborescence même s’il n’existe pas de fonctions de recherche : le Ctrl+F étant inexistant.  

Lorsque l’on a repéré une connexion intéressante dans la catégorie Hosts, on va regarder non pas dans la catégorie Frame mais dans la catégorie File la dite connexion. En faisant un clic droit > Open File sur la ligne relative à l’Host intéressant, on obtient alors la copie conforme de la page visitée par la personne.

networkminer_4.jpg

La partie message est dédiée aux messageries et aux protocoles comme IRC.

networkminer_3.jpg

 

Capture en direct

Il suffit de cliquer sur le menu déroulant et de sélectionner l’interface désirée pour procéder à la capture et d’appuyer ensuite sur Start.

networkminer_5.jpg

La capture va être faite en direct mais va également être directement triée. Il est donc possible de le laisser tourner en fond et lire ensuite ce que va donner la capture. L’outil garde également les captures, que celles-ci aient été faites en direct ou chargées a posteriori. Elles sont archivées dans le dossier décompressé de NetworkMiner, dans le dossier Captures. On peut donc nettoyer la partie Case Panel située sur la droite de l’interface de l’outil sans les supprimer du dossier captures.

networkminer_6.jpg

Pour conclure, il s’agit d’un outil qui a l’avantage d’être simple d’utilisation, avec une interface graphique abordable pour les débutants, qui peut être utilisé en complément de Wireshark, qui reste l’outil de monitoring le plus fin et qui peut être utilisé comme passerelle d’apprentissage vers Wireshark. 

Commentaires

Il est pratique pour récupérer des fichiers qui transitent sur le réseaux et autres fichiers attachés envoyés par mail par exemple. Il m'a été très utile pour un challenge donc je te remercie pour la découverte, je suis parvenu à extraire mon fichier rtf sans le "casser".

Pour le challenge 9 ? Comment tu as fait ? Parce queNM n'en a pas voulu du Forensics 9 :-s 

Pour le forensic 9 tu dois donner le md5 de l'image qui se trouve dans le fichier rtf.

Donc:
1/ Extraire le fichier secret.rtf sans le casser => d'où networkMiner
2/ Copier/déplacer l'image sur le bureau (sous windows)
3/ md5sum de l'image (tu devrais voir une jolie petite voiture noir au formes très sexy)

Voila :)

C'est ici que vous donnez les réponses des challenges???? MDR
Je ne suis pas encore au 9, je fais étape par étape,

freekiss

Non, on ne donne pas les réponses (non mais oh ! :) ) 

Moi aussi par étapes, sauf le Basic 4 sur lequel je me casse les dents. En forensics, il me reste le 10 à buter.  

Tous cela pour dire et finir par ces mots, :" article très intéressant et utiles",

merci pour l'info,.......:)

Ajouter un commentaire