Vous êtes sur la page 1sur 18

Rseaux

Sommaire
Introduction.............................................................................................3
Objectifs.........................................................................................................3 Contexte.........................................................................................................3 tcpdump.........................................................................................................3 Wireshark.......................................................................................................3

Installation...............................................................................................4 Priseenmain...........................................................................................5
Modesimpleutilisateur..................................................................................5 Filtrage...........................................................................................................6 Encapsulation.................................................................................................9 Outilsstatistiques.........................................................................................11

Analysedetrames.................................................................................12
AdressagedesprotocolesdanslemodleDod..............................................12 tudedesstatistiques...................................................................................14

Capturedetrames.................................................................................15
Modesuperutilisateur..................................................................................15 Manipulations...............................................................................................17

TPn0Analysedeprotocole

tpR4.0wireshark.odt 25/09/2010rev.26thierry.vaira@orange.fr

Copyright2010tv<thierry.vaira@orange.fr>

Permissionisgrantedtocopy,distributeand/ormodifythisdocumentundertheterms oftheGNUFreeDocumentationLicense, Version1.1oranylaterversionpublishedbytheFreeSoftwareFoundation;withno InvariantSections,withnoFrontCoverTexts,andwithnoBackCover. YoucanobtainacopyoftheGNUGeneralPublicLicense:writetotheFreeSoftware Foundation,Inc.,59TemplePlace,Suite330,Boston,MA021111307USA

Rseaux Introduction

Introduction
Objectifs
trecapabled'utiliserunanalyseurdeprotocoles. Dcouvrirlescaractristiquesgnralesetl'encapsulationdesprotocoles dumodle"TCP/IP"

Contexte
Unordinateurquipd'unecartedecommunicationEthernetfonctionnant sousWindowsouLinuxsurlequelestinstallunlogicield'analysedetrames. Onutiliseradanslesmanipulationstcp dump(sousLinux)etWireshark (sousWindowsouLinux).

tcpdump
tcpdumpestunpacketsnifferenlignedecommande.Ilpermet d'obtenirledtaildutraficvisibledepuisuneinterfacerseau.C'estunoutil demiseaupointapprcipoursapuissance. Siteofficiel:http://www.tcpdump.org/ [Source:http://fr.wikipedia.org/wiki/Tcpdump]

Wireshark
Wireshark(anciennementEthereal)estunlogiciellibred'analysede protocole,oupacketsniffer,utilisdansledpannageetl'analysede rseauxinformatiques,ledveloppementdeprotocoles,l'ducationetlartro ingnierie,maisaussilepiratage.Wiresharkestmultiplatesformes,il fonctionnesousWindows,MacOSX,Linux,Solaris,ainsiquesousFreeBSD. Wiresharkreconnait759protocoles. Siteofficiel:http://www.wireshark.org/ Documentation: http://www.wireshark.org/docs/wsug_html_chunked/index.html [Source:http://fr.wikipedia.org/wiki/Wireshark]

TPn0Analysedeprotocole

tpR4.0wireshark.odt 25/09/2010rev.26thierry.vaira@orange.fr

Installation
VrifiersilelogicielWiresharkestinstallsurvotreposte. SousLinux(Mandriva2010):

Ouenmodeconsole:

$wiresharkhelp Wireshark1.2.10 Interactivelydumpandanalyzenetworktraffic. Seehttp://www.wireshark.orgformoreinformation. ...


Sinoninstallation(souslecompteroot)partirdelaconsole:

#urpmiwireshark
Remarque:sousLinux,wiresharkproposedeuxmodesd'exploitation:lemodesimpleutilisateuret lemodesuperutilisateur(root).Ladiffrenceessentielleentrelesdeuxmodessesitueauniveaudela capturedetramespartirdesinterfacesrseauxpermisesseulementenmodesuperutilisateur.Lemode simpleutilisateurservirasurtoutpourl'analysedetramesdjcaptures.

SousUbuntu:

Installation(souslecompteroot)partirdelaconsole:

#aptgetinstallwireshark SousWindows:l'installationsefaitpartird'uneversionadaptesonsystme
tlchargepartirdusitehttp://www.wireshark.org/download.html

Rseaux Priseenmain

Priseenmain
Modesimpleutilisateur
Lelogiciels'ouvresurcettepagedemenu:

Onpeutvrifierqu'encliquantsurInterfaceListquel'onpossde aucundroitd'accssurlesinterfacesrseauxdisponiblespourunecapture:

Remarque:ilfaudradoncpasserenmodesuperutilisateur(root)pourraliserdescapturessurses interfacesrseaux.

TPn0Analysedeprotocole

tpR4.0wireshark.odt 25/09/2010rev.26thierry.vaira@orange.fr

Donc,onutiliseraessentiellementlemenuOp enquipermettrade chargerunfichierdecapturepouranalyse. Ouvrirlefichierhttp.capdisponiblesurleserveurousurlesite http://wiki.wireshark.org/SampleCaptures(HTTP). L'affichagesedcomposeentroiscadres:

Filtrage
Ilestpossible(indispensable!)decrerdesfiltresd'affichagequine montrentquelestramesconformeslargledefiltrage.Celapermettra d'isolerunchangeenparticulieroul'analysed'unprotocolespcifique. OnrenseigneraalorslecadreFilterdanslabarreduhautducadre1:

Rseaux Priseenmain

LeboutonExpressionpermetd'accderunassistantpourcrerune rgledefiltrage.Unergledefiltrages'appuiesurleschampsdesenttes (header)desprotocolesconnusdulogicielWireshark:

EncliquantsurValiderpuissurApply,onobtientalors:

TPn0Analysedeprotocole

tpR4.0wireshark.odt 25/09/2010rev.26thierry.vaira@orange.fr

Onpeutcrerdesrglesdefiltrageencombinantplusieursexpressions avecdesoprateurs&&(ET),||(OU)et!(INVERSEUR),parexemple:
Touteslestramesdontl'adresseipdestinationestgale145.254.160.237 etdontleportsourceoudestinationn'estpas80:

ip.dst==145.254.160.237&&!tcp.port==80
Remarque:entapantdirectementdanslazonedesaisieFilter,Wiresharkproposeune compltionbienpratique.

Onslectionnelatramen4danslecadre1.Cettetrameencapsuleles protocolesvisiblesdanslecadre2:

Wiresharkestcapablededcoderleschampsdesdiffrentsenttede protocolesprsentsdanslatramecapture.
Remarque:maissansconnaissancesthoriques,l'utilisationdewiresharks'avretrsvitelimite! C'estunoutildespcialiste.Eneffet,qu'estcequ'uneaddressunicast?Seq?etc
8

Rseaux Priseenmain

Encapsulation
Lecadre2illustreleprincipedel'encapsulationdesprotocolesutilises dansl'changed'unetrame.Onfaitsouventrfrenceunmodlepour reprsentercettecommunication.Ici,lemodleestceluiquiimplmenteles protocolesdelafamilleTCP/IPappeleaussiDoD(Departmentof Defense):

Ensachantqu'unecouchesedcomposeraendeuxpartiescomprenantun entte(header)appelaussiPCI(ProtocolControlInformation)etunchamp DATA(ausensnetworkdata).Enfait,celareprsentelesprotocoles prsentsdanslatramedelamaniresuivante:

OncomprendalorsquelechampDATAd'unecouchecontientleblocdela couchesuprieure(Header+DATA).C'estleprincipedel'encapsulation.

TPn0Analysedeprotocole

tpR4.0wireshark.odt 25/09/2010rev.26thierry.vaira@orange.fr

UnefoislerapprochementfaitaveclemodleTCP/IP,onobtientla visionsuivante:

Remarques:certainescouchesoucertainschampsDATApeuventtrevides.Parexemple,latrame n1n'encapsulequelesprotocolesEthernet_II,IPetTCP.Lacoucheapplicationestdoncvide. D'autrepartlescouchesdumodleDoDoffrel'utilisationd'autresprotocoles.Parexemple,les tramesn13et17encapsulentlesprotocolesEthernet_II,IP,UDPetDNS:

10

Rseaux Priseenmain

Outilsstatistiques
Wiresharkfournitdesoutilspourlanalyseet lesstatistiquesdutraficcaptur. Summary:statistiquesgnralessurla captureactuelle ProtocolHierarchy:statistiquessurla piledeprotocolesutilisdansl'change Conversations:statistiquesdes conversationssaisies.Uneconversation estletraficentredeuxpointsde terminaisonspcifique.Parexemple,une conversationIPesttoutletraficentre deuxadressesIP. Endpoints:statistiquesdespointsde terminaison.Unpointdeterminaison rseauestlaterminaisonlogiqued'un protocoled'unecouchespcifique.

Ilyadeuxaspectsprendreencomptedansunchange: letransfertphysiquedetramescontenantdesprotocolesencapsuls (fabricationl'missionetdcodagelarception:parcoursvertical dumodle) undialoguelogiqueentreprotocoledecouchespcifique(dialogue virtuelhorizontalentredeuxmodles)

11

TPn0Analysedeprotocole

tpR4.0wireshark.odt 25/09/2010rev.26thierry.vaira@orange.fr

Analysedetrames
Ouvrirlefichierhttp.capdisponiblesurleserveurousurlesite http://wiki.wireshark.org/SampleCaptures(HTTP).

AdressagedesprotocolesdanslemodleDod
Unprotocoleutilisedesnumros(lesassignednumbers)identifiantles protocolesdeniveausuprieurquiltransporte.
Slectionnezunetrametransportantdesdonneshttp.

LechampdelentteEthernetidentifiantleprotocoledeniveaurseauest Typ e. 1) QuelleestlavaleurdecechamppourleprotocoleIP?

DanslentteIP,leprotocoledeniveautransportestidentifiparle champProto col. 2) QuelleestlavaleurduchampProtocolpourleprotocoleTCP?

SousLinuxseulement,vrifierlenumrodeprotocoleassignTCPen consultantlefichier/etc/protocols

$grep'tcp'/etc/protocols Danslenttedeniveautransport,lenombreidentifiantleprocessus applicatifestappelp ort.Lesprocessusclientetserveurutilisentunnumro deportchacun:lenumrodeportduclientestgnralementchoisiparla machine,tandisquelenumrodeportdesapplicationsexcutessurle serveurestnormalis. 3) 4) QuelestlenumrodeportutilisparleserviceHTTP? Quelestlenumrodeportchoisiparvotreclient?

5) SurcombiendoctetssontcodslesnumrosdeportsenTCP? Combiendeprocessussimultanspeuventthoriquementcommuniqusvia TCPsurunemachine?


SousLinuxseulement,vrifierlenumrodeportutilisparleservice HTTPenconsultantlefichier/etc/services

$grep'http'/etc/services
12

Rseaux Analysedetrames

6) LesenttesdesprotocolesEthernet_II,IPetTCPsontils encodesenASCII? 7) L'entteduHTTPestilencodenASCII?

Slectionnezunetrametransportantdesdonnesdns.

8)

QuelleestlavaleurduchampProtocolpourleprotocoleUDP?

SousLinuxseulement,vrifierlenumrodeprotocoleassignUDPen consultantlefichier/etc/protocols

$grep'udp'/etc/protocols 9) QuelestlenumrodeportutilisparleserviceDNS?

SousLinuxseulement,vrifierleserviceassocipardfautaunumrode port53enconsultantlefichier/etc/services

$grep'53'/etc/services 10) SurcombiendoctetssontcodslesnumrosdeportsenUDP? Combiendeprocessussimultanspeuventthoriquementcommuniqusvia UDPsurunemachine?

13

TPn0Analysedeprotocole

tpR4.0wireshark.odt 25/09/2010rev.26thierry.vaira@orange.fr

tudedesstatistiques
SlectionnerlemenuSummary.

11)

QuelestledbitmoyenmesurparWireshark?

Slectionnerl'outilProtocolHierarchyquipermetdevisualiserlapilede protocoles,lepourcentagedebandepassanteconsommparchaque protocole,ledbit,chaqueniveauetc.

12) Desdeuxprotocolesdeniveautransportutiliss,lequelest prpondrant? 13) PourleprotocoleTCPlesvaleursindiquesdanscolonnesPacketset Endpacketsdiffrent.PourquoilacolonneEndpacketscontientellemoins depaquets?EstceaussilecaspourleprotocoleUDP? 14) quoiserventlespaquetsquinesontpascomptabilissdansla colonneEndpackets? 15) Pourquoiledbitaffichpourlescoucheshautesestilinfrieur celuidescouchesbasses?

14

Rseaux Capturedetrames

Capturedetrames
Modesuperutilisateur
Lelogiciels'ouvrealorssurcettepagedemenu:

Onpeutvrifierqu'encliquantsurInterfaceListquel'onpossdeles droitsd'accssurlesinterfacesrseauxdisponiblespourunecapture:

15

TPn0Analysedeprotocole

tpR4.0wireshark.odt 25/09/2010rev.26thierry.vaira@orange.fr

Ilexistedesoptionsintressantesavantdedmarrerunecapture:

Updatelistofpacketsinrealtime:afficheentempsrellcranles tramescaptures. EnableMACnameresolution:affichelenomdelamachineouson adresseIPlaplacedeladresseMAC. Enablenetworknameresolution:affichelenomdhtedelamachine laplacedeladresseIP. Enabletransportnameresolution:remplacelesnumrosdeport TCPetUDPparlenomduprotocoleapplicatifassoci.

Ilestvidemmentpossibledecrerdesfiltresdecapture(qui nenregistrentquelestramesconformeslargle)etd'enregistrerune capturedansunfichier.Ilyaaussidesoptionspourafficherunecaptureen tempsrel.


Remarque:onlaisseragnralementl'activationdumodepromiscuousquipermetunecarte rseaud'acceptertouslespaquetsqu'ellereoit,mmesiceuxcineluisontpasadresss.Cemodeest unefonctionnalitutilisepourcoutertoutletraficrseau.
16

Rseaux Capturedetrames

Manipulations
Capturerletraficd'unecommunicationversunsiteInternetquevous navezpasconsultdepuisledmarragedevotremachine. Proposerunergledefiltragepourisolerdanslacapturelacommunication aveccesiteInternet. VousdevezvisualiserdespaquetsDNSdetypequeryetresponse. ObservezlecontenudecespaquetsDNS.

16)

Dduisezenleurrle.

17) QuelleestladresseIPduserveurauquelvotremachineaenvoyla requteDNS? 18) votreavis,quiappartientceserveur?

19) votreavis,l'adressephysiquedestinationdelatrameEthernet_II contenantlarequteDNSestellecelleduserveurDNS?Sinon,qui appartientelle?


SlectionnezunetramecontenantlindicationHTTPdanslacolonneInfo. Avecleboutondroitdelasouris,choisissezloptionFollowTCPstream. Ledialogueentrevotrenavigateuretleserveurwebapparat.

17

TPn0Analysedeprotocole

tpR4.0wireshark.odt 25/09/2010rev.26thierry.vaira@orange.fr

20) 21)

ParquelleprimitivecommencelarequteHTTP? QuelleversionduprotocoleHTTPestutiliseparvotrenavigateur?

22) LarequteHTTPmiseparlenavigateurcontientelledes donnes? 23) QuelleestlaversionduprotocoleHTTPutiliseparleserveurdans sarponse? 24) Quelleestletypededonnesrenvoyesparleserveur?

25) Avotreavis,quelcoderponseauraitrenvoyleserveursile documentdemanddanslarequtetaitintrouvable?Testeravecun documentinexistant.


Remarque:lorsquevousfermezlafentreouverteparcetteoption,ilresteunfiltredaffichage:il fautl'effacerencliquantsurclear.

26) Enregistrerlacaptureralisedansunfichiercapture_votreNomau formatWireshark/tcpdump.

Vousm'enverraitvotrecompterendu(rponsesauxquestionsen prcisantleurnumro)auformattxtourtf (aucunautreformataccept) ainsiquelefichierdecapturecetteadresse:tvaira@free.fr.

18

Vous aimerez peut-être aussi