Sniffing — Capture passive de trafic
★★★★★
Qu'est-ce que le sniffing ?
Le sniffing consiste à capturer et analyser le trafic réseau circulant sur un segment. Sur un réseau filaire moderne (switch), le sniffing passif est limité au trafic broadcast/multicast et à son propre trafic — il faut généralement combiner avec ARP Spoofing pour intercepter le trafic d'autres machines.
Outils et techniques
# Capture basique
tcpdump -i eth0 -w capture.pcap
wireshark
# Mode promiscuous (voir tout le trafic du segment, hub/wifi)
ip link set eth0 promisc on
# Sniffing Wi-Fi (mode monitor)
airmon-ng start wlan0
airodump-ng wlan0mon
# Combiné avec ARP Spoofing pour réseau switché
bettercap -iface eth0
> arp.spoof on
> net.sniff on Détection
Les cartes en mode promiscuous peuvent parfois être détectées par des techniques de timing ARP · Surveillance des changements anormaux de table ARP (arpwatch) · 802.1X et chiffrement de bout en bout (TLS) limitent fortement l'impact du sniffing même réussi