WInfoNet

Note: ceci est une copie de ma page WINFONET publiée le 14/10/2006 sur http://volvox.wordpress.com (maintenant accès privé).

Apercu du logicielVoilà la suite du Mini Pare-Feu présentée il y a quelques jours. WInfoNet est un logiciel qui dévoile les connexions réseaux, en particulier tout ce qui se rapporte à la connexion internet TCP/IP. Par exemple, on pourra voir toutes les connexions établies, celles en attente ou complétées. Aussi beaucoup d’autres données et statistiques sur les protocoles associés: UDP, ARP et ICMP. Avec le mini pare-feu on pourra éventuellement bloquer les connexions internet entrantes ou sortantes.

L’intérêt de WInfoNet est qu’on peut voir qui de l’extérieur est connecté sur notre ordinateur: on reconnaitra l’adresse internet (IP) utilisée par la machine connectée ainsi que le port d’entrée sur notre ordinateur. De la même manière on peut voir les connexions de notre ordinateur vers internet ou d’autres ordinateurs sur le réseau local, adresses IP et ports. Dans le menu [Afficher] c’est l’option [Table de Connexions]. On a aussi la possibilité de mettre fin aux connexions actives et de voir combien de données sont transités par le réseau. Bref, très utile pour identifier les connexions pirates et les fermer sur le champ.

Ceux qui s’y connaissent en protocoles y trouveront d’autres données et statistiques intéressantes. Il y a un menu interactif accessible avec le bouton droit de la souris. Fait intéressant: les connexions peuvent être toutes sauvegardées à la chaîne dans un fichier texte – on saura ainsi qui se connecte et à quelle heure, même pendant notre absence puisqu’il suffit de rabattre le logiciel sur la barre de notification pour qu’il y demeure actif et à l’abri. Les connexions sont ainsi transcrites dans un fichier lorsque le logiciel est en mode rafraichir automatique [Rafraichir auto.] et c’est l’interval de mesure (1, 2, 3 , 500, xxxx sec) accessible dans les [Options] qui détermine la fréquence d’écriture sur le fichier.

[Télécharger] C’est un logiciel à programmation complexe mais constitué que d’un seul fichier sans installation, il est donc portable, par exemple on pourra le faire fonctionner à partir d’une clé USB pour surveiller un ordinateur qui n’est pas le nôtre. On le prend **ICI** en format compressé rar.

[Complément] Je vais me contenter ici de donner quelques explications sur l’affichage des connexions internet. La table des connxions montre 5 colonnes affichant le protocole (TCP, UDP), l’adresse IP locale (sortante) et le port, l’adresse IP externe (entrante) et le port, l’état de la connexion et le processus. Les connexions sont surveillées dans un interval spécifié dans les Options.

Au menu on peut choisir d’afficher toutes les connexions du réseau ou seulement celles actives (celles dont le statut = ÉTABLI). Il faut savoir aussi que les connexions IP identifiées à notre machine ou celle d’un réseau local portent généralement une adresse commençant par 192.168.xxx.xxx (ou une autre qu’on aura spécifiquement nommé dans les propriétés réseau ou dans le routeur). Les adresse 0.0.0.0 et 127.0.0.1 identifient aussi notre ordinateur – au menu on pourra décider de faire afficher le ‘vrai’ nom de notre ordi plutôt que ses adresses. Vous apprendrez vite à reconnaitre les adresses IP externes – celles qui se connectent sur votre machine par l’entremise d’un port.

Par exemple sur l’image du bas, l’adresse 194.102.130.87 est une connexion externe établie sur le port 411 de mon ordinateur. Le même processus, en l’occurence DCplusplus.exe, a ouvert une connexion locale sur mon ordi (192.168.0.100) mais celle-ci nous intéresse peu. La connexion ‘ÉTABLI’ signifie que des données sont actuellement en transit ou pourraient l’être par le port identifié. Une connexion ‘EN ÉCOUTE’ identifie un port ouvert prêt à recevoir une demande de connexion – il est à l’écoute. Ainsi, toutes les connexions ou port dont le statut est ‘ÉTABLI’ ou ‘EN ÉCOUTE’ sont des portes d’entrées ouvertes vers notre ordinateur. Une connexion en écoute se ferme après un certains temps (défini par le serveur d’une machine externe ou la nôtre), ce sont les états ‘TIME_WAIT ‘ et ‘CLOSE_WAIT’ (je ne vais pas entrer dans les détails mais on pourra trouver ces informations sur internet).

Identification de l’adresse externe:

D’abord je signale qu’on peut obtenir le nom générique de l’adresse IP affichée au tableau. Pour ce faire il suffit de cocher l’option NOMS au menu du logiciel. À partir de ce nom ou tout simplement avec l’adresse IP il nous est souvent possible de localiser l’adresse administrative du serveur, ainsi que d’obtenir plusieurs autres renseignements sur son administration. Pour ce faire, il suffit d’utiliser un service WHOIS (identification de nom de domaine) disponible en quelques endroits sur internet ou comme logiciel à part. Pour internet ma préférence va pour DomainTools (Name Intelligence Inc.) ou avec un peu de chance on pourra localiser précisément le serveur connecté, l’adresse postale, un numéro de téléphone et les responsables.

Exemple d’interrogation en ligne avec l’outil DomainTools – Recherche de laposte.net, nom apparu en tant que connexion active dans WinInfoNet – sel un court extrait est affiché ici:

winfonet3.jpg

<[NOTE]: Le fichier log des connexions internet de WInfoNet peut devenir très volumineux si elles sont inscrites automatiquement et à la suite à chaque seconde. Dans le cas d’une surveillance du réseau en utilisant un log voir à ce que l’interval de lecture soit assez grand, par exemple au 10 ou 30 minutes ou plus (600 ou 1800 sec. ou plus) .

Exprimez vous!

*