INTRODUCTION GÉNÉRALE

La surveillance du flux réseau est un type de solution qui analyse les flux de trafic réseau
pour que les entreprises puissent garantir le fonctionnement fluide et sécurisé du réseau.Les
équipements réseau modernes sont capables de traiter des milliards de paquets de données
chaque seconde, mais une grande partie de ces activités n’est pas visible. La surveillance
du flux réseau, aussi appelée échantillonnage de paquets, vise à donner aux ingénieurs
réseau de la visibilité sur les vastes volumes de trafic qui traversent nos connexions filaires
et sans fil tous les jours. Dans cet exposé, nous expliquons plus en détail ce qu’est la
surveillance du flux réseau et comment analyser le trafic afin qu'il reste fluide et sécurisé.
Nous verrons également deux technologies populaires de surveillance du flux réseau.

INTRODUCTION
La détection des anomalies dans les réseaux est un domaine cruciale pour maintenir la
sécurité et la performance des systèmes informatiques.Avec la propagation constante des
cybermenaces,il est essentiel de surveiller et d’analyser le trafic réseau pour détecter tout
comportement anormal.Deux outils populaires pour analyser le trafic réseau sont NetFlow et
Wireshark.

II-GÉNÉRALITÉS SUR LA SURVEILLANCE DU FLUX RÉSEAU

Qu’est-ce que la surveillance du flux réseau ?

La surveillance du flux réseau est la collecte, l’analyse et la surveillance du trafic qui

traverse un réseau ou un segment de réseau donné. Les objectifs de cette surveillance
varient : dépannage de problèmes de connectivité ou encore planification de l’affectation
future de bande passante. La surveillance du flux et l’échantillonnage de paquets peuvent
également servir à identifier et remédier aux problèmes de sécurité.

La surveillance du flux permet aux équipes réseau d’en savoir plus sur le fonctionnement du
réseau. Elle leur donne des informations clés sur l’utilisation globale du réseau, l’utilisation
des applications, les goulots d’étranglement potentiels et les anomalies qui peuvent signaler
la présence de menaces pour la sécurité, entre autres. Différentes normes et formats sont
utilisés pour surveiller le flux réseau, notamment NetFlow, sFlow et Internet Protocol Flow
Information Export (IPFIX). Chacun a sa propre manière de fonctionner, mais ils ne peuvent
pas être considérés comme la mise en miroir des ports et l’inspection des paquets en
profondeur, car ils ne capturent pas le contenu de tous les paquets qui transitent par un port
ou un commutateur. Toutefois, la surveillance du flux fournit plus d’informations que le
SNMP, qui se limite généralement à des statistiques globales comme l’utilisation globale des
paquets et de la bande passante.

III-LES AVANTAGES DE LA SURVEILLANCE DU FLUX

La surveillance du flux présente son lot d’avantages pour les entreprises qui la mettent en
place. Comprendre comment, quand et par qui un réseau est utilisé, entraîne une meilleure
résilience, une baisse du coût de fonctionnement et une résolution plus rapide lorsque les
choses ne se passent pas comme prévu. Voici une liste non exhaustive des avantages de la
surveillance du flux réseau :

Utilisation plus efficace des ressources

Imaginez que vous avez un maillon du réseau ou une interface WAN très surchargée. Si
vous vous basiez sur de vieilles technologies de surveillance comme le protocole SNMP,
vous pourriez penser qu’il suffit d’acheter de la bande passante supplémentaire. La
surveillance du flux permet à l’entreprise d’avoir une meilleure visibilité sur les appareils et
utilisateurs qui consomment la bande passante existante. Un employé a peut-être configuré
un serveur de fichiers sans autorisation ou une base de données est peut-être mal
configurée. Corriger ce genre de problèmes élimine le besoin de bande passante
supplémentaire et évite à l’entreprise de dépenser de l’argent inutilement.

Quand vient le moment d’augmenter la capacité du réseau, la surveillance du flux peut

fournir une base très précise à partir de laquelle établir des prévisions. Étudier l’historique de
données peut vous permettre d’établir une mesure de l’accélération du trafic. Les
décisionnaires dans l’entreprise peuvent ainsi déterminer quand les mises à niveau seront
nécessaires

Détecter le trafic anormal et autres menaces à la sécurité réseau

La capacité de détecter le trafic réseau anormal peut être une motivation majeure à
implémenter une solution de surveillance du flux. Surveiller le trafic au sein d’un réseau,
plutôt qu’à la frontière ou sur le périmètre, peut vous aider à identifier les menaces qui
auraient réussi à passer entre les mailles des autres types de défense. Les gros pics de
trafic « est-ouest » entre des machines sur le réseau pourraient indiquer la présence d’un
ver ou d’un virus qui se propage. Un pic de trafic sortant pourrait signaler une exfiltration de
données ou des messages Command & Control. Un gros volume de trafic entrant pourrait
être le signe de la première phase d’une attaque DDoS.

La surveillance du flux complète parfaitement bien les technologies de sécurité basées sur
la signature comme les systèmes de détection des intrusions et les antivirus. Les nouvelles
menaces pourraient ne pas correspondre aux signatures existantes, mais grâce à la
surveillance du flux, un comportement anormal sur le réseau peut quand même déclencher
des alertes. Ces types de solutions peuvent aussi servir à resserrer les mailles du filet d’une
campagne de détection des menaces, en fournissant aux analystes en sécurité un bon point
de départ pour effectuer une capture de paquets en profondeur avec un outil comme
Wireshark.

Vérifier la performance des applications et la qualité de service

La surveillance du flux pouvant être activée pour un protocole en particulier, elle peut être
très utile pour vérifier ou dépanner les problèmes de performances d’applications critiques
comme le VoIP ou la visioconférence. Les administrateurs réseau peuvent suivre le(s)
chemin(s) que prennent ces types de paquets importants sur le réseau et peuvent aussi
s’assurer que la bonne classe de service est appliquée au trafic.
La surveillance du flux sert également à mesurer l’impact d’une nouvelle application, de la
configuration du réseau ou du changement dans le nombre d’utilisateurs qui accèdent au
réseau.

Les trois meilleurs outils de surveillance du flux réseau

De nombreuses solutions de surveillance du flux sont disponibles sur le marché, mais les
trois plus populaires sont NetFlow,Sflow et IPFIX,Nagios,Tcpdump,zabbix etc... Mais celles
qui requièrent notre attention d’entre chacune d’elles sont: Netflow et wireshark.

IV- GÉNÉRALITÉS SUR LES OUTILS

A-1.)c’est quoi Wireshark ?

Wireshark un logiciel Open source d’analyse des protocoles réseau créé par Gerald
Combs en 1998. Un groupe international d’experts réseau et de développeurs gère
aujourd’hui cet outil et le met à jour pour assurer sa compatibilité avec les nouvelles
technologies réseau et méthodes de chiffrement. Wireshark ne pose absolument aucun
risque de sécurité. Il est notamment utilisé par des agences gouvernementales, de grandes
entreprises, des organisations à but non lucratif et des établissements pédagogiques pour
résoudre des problèmes réseau et assurer des formations. Il n’y a pas de meilleur moyen
pour apprendre le fonctionnement des réseaux que d’analyser du trafic sous le microscope
de Wireshark. La question de la légalité de Wireshark est souvent posée, car il s’agit
d’un puissant outil de capture de paquets. Pour rester du côté lumineux de la Force,
nous ne devons utiliser Wireshark que sur les réseaux dont nous avons l’autorisation
d’inspecter les paquets. Utiliser Wireshark pour observer des paquets sans autorisation vous
ferait basculer du côté obscur de la Force.

2-)Comment Fonctionne Wireshark ?

Wireshark est un outil de capture et d’analyse de paquets. Il capture le trafic du réseau local
et stocke les données ainsi obtenues pour permettre leur analyse hors ligne. Wireshark est
capable de capturer le trafic Ethernet, Bluetooth, sans fil (IEEE.802.11), Token Ring, Frame
Relay et plus encore.
Remarque: un « paquet » est un message d’un protocole réseau (par ex., TCP, DNS, etc.).
Le trafic du réseau local est basé sur le concept de “diffusion”, cela signifie qu’un
seul ordinateur disposant de Wireshark peut visualiser le trafic reliant deux autres
ordinateurs. Pour visualiser le trafic émis vers un site externe, nous devons capturer les
paquets sur l’ordinateur local. Wireshark nous permet de filtrer le journal avant le début de
la capture ou pendant l’analyse. Il nous est ainsi possible d’éliminer le bruit pour trouver
exactement ce que nous recherchons dans la trace réseau. Par exemple, nous pouvons
définir un filtre qui n’affiche que le trafic TCP entre deux adresses IP. Nous pouvons
également choisir de n’afficher que les paquets envoyés depuis un ordinateur précis. Si
Wireshark est devenu une référence de l’analyse de paquets, c’est en grande partie grâce à
ses filtres.

3-) Avantages de Wireshark

La surveillance du flux présente son lot d’avantages pour les entreprises qui la mettent en
place. Comprendre comment, quand et par qui un réseau est utilisé, entraîne une meilleure
résilience, une baisse du coût de fonctionnement et une résolution plus rapide lorsque les
choses ne se passent pas comme prévu. Voici une liste non exhaustive des avantages de la
surveillance du flux réseau :

-Utilisation plus efficace des ressources: la surveillance du flux permet à l’entreprise

d’avoir une meilleure visibilité sur les appareils et utilisateurs qui consomment la bande
passante existante. Un employé a peut-être configuré un serveur de fichiers sans
autorisation ou une base de données est peut-être mal configurée. Corriger ce genre de
problèmes élimine le besoin de bande passante supplémentaire et évite à l’entreprise de
dépenser de l’argent inutilement.
Quand vient le moment d’augmenter la capacité du réseau, la surveillance du flux peut
fournir une base très précise à partir de laquelle établir des prévisions. Étudier l’historique de
données peut vous permettre d’établir une mesure de l’accélération du trafic. Les
décisionnaires dans l’entreprise peuvent ainsi déterminer quand les mises à niveau seront
nécessaires

-Détecter le trafic anormal et autres menaces à la sécurité réseau:

La capacité de détecter le trafic réseau anormal peut être une motivation majeure à
implémenter une solution de surveillance du flux. Surveiller le trafic au sein d’un réseau,
plutôt qu’à la frontière ou sur le périmètre, peut vous aider à identifier les menaces qui
auraient réussi à passer entre les mailles des autres types de défense. Les gros pics de
trafic « est-ouest » entre des machines sur le réseau pourraient indiquer la présence d’un
ver ou d’un virus qui se propage. Un pic de trafic sortant pourrait signaler une exfiltration de
données ou des messages Command & Control. Un gros volume de trafic entrant pourrait
être le signe de la première phase d’une attaque DDoS.Wireshark est un outil de capture et
d'analyse de paquets réseau très puissant.

-Analyse détaillée des paquets : Wireshark permet de voir tous les paquets qui transitent
sur le réseau, offrant une vue exhaustive des données échangées.

-Interface utilisateur intuitive : Son interface graphique facilite la navigation et l'analyse

des données capturées.

-Support de nombreux protocoles : Wireshark prend en charge des milliers de protocoles

réseau, ce qui en fait un outil polyvalent pour divers environnements.

-Filtrage puissant : Les utilisateurs peuvent appliquer des filtres pour se concentrer sur des
paquets spécifiques, facilitant ainsi l'analyse.

-Débogage réseau : Il aide à identifier les problèmes de réseau, tels que les latences, les
pertes de paquets et les erreurs de communication.

-Documentation et communauté active : Wireshark est soutenu par une vaste

documentation et une communauté active, ce qui facilite l'apprentissage et la résolution de
problèmes.
-Exportation de données : Les utilisateurs peuvent exporter les données capturées dans
divers formats pour une analyse ultérieure ou pour partager avec d'autres.

-Outil open source : Wireshark est gratuit et open source, ce qui le rend accessible à un
large public.

Ces avantages font de Wireshark un choix privilégié pour les administrateurs réseau, les
ingénieurs en sécurité et les spécialistes des performances réseau.

B-1.) c'est quoi Netflow ?

VI- FONCTIONNALITÉS DE CES OUTILS D’ANALYSE

A-)Wireshark

- Décodage de nombreux protocoles : Wireshark supporte une large gamme de

protocoles, permettant l’analyse de différents types de trafic (HTTP, FTP, DNS, etc.).
- Détection de problèmes de performance: En analysant les délais entre les paquets,
Wireshark peut aider à identifier des goulets d’étranglement et des problèmes de latence.
- Exportation de données : Les résultats d'analyse peuvent être exportés dans divers
formats pour une documentation ou une analyse ultérieure.

Au-delà de la capture et du filtrage, Wireshark propose plusieurs autres fonctionnalités qui

vous faciliteront la vie.Mode Promiscuous de Wireshark
Par défaut, Wireshark ne capture que les paquets envoyés et reçus par l’ordinateur sur
lequel il est exécuté. En cochant la case Promiscuous Mode dans les paramètres de
capture, vous pouvez capturer la plupart du trafic intervenant sur le réseau local.

Ligne de commande de Wireshark

Wireshark propose une interface en ligne de commande bien utile si votre système ne
dispose d’aucune interface graphique. Il est recommandé d’utiliser la ligne de commande
pour capturer les paquets et d’enregistrer un journal de sorte à pouvoir l’analyser avec
l’interface graphique.

1-Commandes de Wireshark

Wireshark est principalement une application graphique, mais il existe aussi des
commandes pour l'utiliser en mode ligne de commande via "tshark", qui est la version en
ligne de commande de Wireshark. Voici quelques-unes des commandes courantes avec
“tshark”:

#Commandes de base

-Démarrer une capture :

 tshark -i <interface>

Remplacez <interface> par le nom de l'interface réseau (par exemple, `eth0`).

-Sauvegarder une capture dans un fichier :

tshark -i <interface> -w <fichier.pcap>

- Lire un fichier de capture** :

tshark -r <fichier.pcap>

## Filtres

-Appliquer un filtre de capture :

tshark -i <interface> -f "<filtre>"

Par exemple, pour capturer uniquement le trafic HTTP :

tshark -i <interface> -f "tcp port 80"

-Appliquer un filtre d'affichage lors de la lecture d'un fichier :

tshark -r <fichier.pcap> -Y "<filtre>"

Par exemple, pour afficher uniquement les paquets ICMP :

tshark -r <fichier.pcap> -Y "icmp"

### Options avancées

Afficher des informations spécifiques:

tshark -r <fichier.pcap> -T fields -e <champ>

Par exemple, pour extraire les adresses IP source :

tshark -r <fichier.pcap> -T fields -e ip.src

Compter le nombre de paquets par protocole :

tshark -r <fichier.pcap> -q -z proto,colinfo

#### Aide et documentation

-Afficher l'aide :
 tshark -h

Ces commandes vous permettent de tirer parti de Wireshark et de `tshark` pour la capture et
l'analyse de paquets de manière efficace.

*wireshark : exécute Wireshark avec l’interface graphique

*wireshark –h : affiche les paramètres de ligne de commande disponibles pour Wireshark
*wireshark –a duration:300 –i eth1 –w wireshark. : capture le trafic passant par l’interface
Ethernet 1 pendant 5 minutes. –a permet d’arrêter automatiquement la capture et -i spécifie
l’interface de capture
Indicateurs et statistiques
Nous trouverons sous l’option de menu Statistics de nombreuses options permettant
d’afficher des détails sur votre capture.

Options de colorisation de Wireshark

Nous pouvons configurer Wireshark de sorte qu’il colorise les paquets de la liste de paquets
en fonction du filtre d’affichage appliqué. Nous pouvons ainsi mettre en évidence les
paquets qui nous intéressent.

IV-COMPLÉMENTARITÉ ENTRE CES DEUX OUTILS

L'utilisation conjointe de NetFlow et Wireshark offre une approche complète pour la

détection et l'analyse des anomalies réseau. En combinant la puissance de l'analyse des
flux avec la granularité de l'analyse des paquets, les organisations peuvent mieux protéger
leurs infrastructures contre les menaces potentielles et optimiser les performances réseau.