Vous êtes sur la page 1sur 7

Travaux pratiques Utilisation de Wireshark pour examiner les trames Ethernet

Topologie

Objectifs
1re partie : Examiner les champs den-tte dans une trame Ethernet II 2e partie : Utiliser Wireshark pour capturer et analyser les trames Ethernet

Contexte/scnario
Lorsque des protocoles de couche suprieure communiquent entre eux, les donnes circulent dans les couches du modle OSI (Open Systems Interconnection) et sont encapsules dans une trame de couche 2. La composition des trames dpend du type daccs aux supports. Par exemple, si les protocoles de couche suprieure sont TCP et IP, et que laccs aux supports est Ethernet, lencapsulation des trames de couche 2 sera Ethernet II. Cest gnralement le cas pour un environnement de rseau local (LAN). Lorsque vous tudiez les concepts de couche 2, il est utile danalyser les informations den-tte des trames. Dans la premire partie de ces travaux pratiques, vous examinerez les champs figurant dans une trame Ethernet II. Dans la deuxime partie, vous utiliserez Wireshark pour capturer et analyser les champs den-tte de trame Ethernet II pour le trafic local et distant.

Ressources requises
1 ordinateur (Windows 7, Vista ou XP, dot dun accs Internet et sur lequel Wireshark est install)

1re partie : Examiner les champs den-tte dans une trame Ethernet II
Dans la premire partie, vous examinerez les champs den-tte et le contenu dune trame Ethernet II. Une capture Wireshark sera utilise pour examiner le contenu de ces champs.

tape 1 : Consultez les descriptions et les longueurs des champs den-tte Ethernet II.
Adresse de destination 6 octets Adresse source 6 octets Type de trame 2 octets

Prambule 8 octets

Donnes 46-1 500 octets

FCS 4 octets

tape 2 : Examinez la configuration rseau de lordinateur.


Ladresse IP de cet ordinateur hte est 10.20.164.22 et la passerelle par dfaut a ladresse IP 10.20.164.17.

2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco.

Page 1 sur 7

Travaux pratiques Utilisation de Wireshark pour examiner les trames Ethernet

tape 3 : Examinez les trames Ethernet dans une capture Wireshark.


La capture Wireshark ci-dessous illustre les paquets gnrs par une requte ping envoye depuis un ordinateur hte sa passerelle par dfaut. Un filtre a t appliqu Wireshark pour afficher les protocoles ARP et ICMP uniquement. La session commence par une requte ARP pour ladresse MAC du routeur de passerelle, suivi de quatre requtes ping et rponses.

tape 4 : Examinez le contenu den-tte Ethernet II dune requte ARP.


Le tableau suivant prend la premire trame dans la capture Wireshark et affiche les donnes dans les champs den-tte Ethernet II.

2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco.

Page 2 sur 7

Travaux pratiques Utilisation de Wireshark pour examiner les trames Ethernet

Champ Prambule Adresse de destination Adresse source

Valeur Non affiche dans la capture. Broadcast (ff:ff:ff:ff:ff:ff) Dell_24:2a:60 (5c:26:0a:24:2a:60)

Description Ce champ contient des bits de synchronisation traits par la carte rseau. Les adresses de couche 2 pour la trame. Chaque adresse fait 48 bits de long, ou 6 octets, exprims sous la forme de 12 chiffres hexadcimaux, 0-9,A-F. Un format courant est12:34:56:78:9A:BC.

Les six premiers chiffres hexadcimaux indiquent le fabricant de la carte rseau, les six derniers chiffres hexadcimaux correspondent au numro de srie de la carte rseau. Ladresse de destination peut tre une adresse de diffusion, qui ne contient que des 1, ou une adresse monodiffusion. Ladresse source est toujours monodiffusion. Pour les trames Ethernet II, ce champ contient une valeur hexadcimale qui permet dindiquer le protocole de couche suprieure dans le champ de donnes. De nombreux protocoles de couche suprieure sont pris en charge par Ethernet II. Deux types de trame standard sont : Valeur Description 0x0800 Protocole IPv4 0x0806 Protocole ARP (Address Resolution Protocol) Contient le protocole encapsul de niveau suprieur. Le champ de donnes comprend entre 46 et 1 500 octets. Squence de contrle de trame, que la carte rseau utilise pour identifier les erreurs au cours de la transmission. La valeur est calcule par lordinateur metteur, et englobe les adresses de trames, le type et le champ de donnes. Elle est vrifie par le rcepteur.

Type de trame

0x0806

Donnes FCS

ARP Non affiche dans la capture.

Quel lment est-il important en ce qui concerne le contenu du champ dadresse de destination ? _______________________________________________________________________________________ _______________________________________________________________________________________ Pourquoi lordinateur envoie-t-il une diffusion ARP avant denvoyer la premire requte ping ? _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ Quelle est ladresse MAC de la source dans la premire trame ? ________________________ Quel est lID du fournisseur (OUI) de la carte rseau source ? __________________________ quelle partie de ladresse MAC correspond lidentifiant OUI ? _______________________________________________________________________________________ Quel est le numro de srie de la carte rseau source ? _________________________________

2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco.

Page 3 sur 7

Travaux pratiques Utilisation de Wireshark pour examiner les trames Ethernet

2e partie : Utiliser Wireshark pour capturer et analyser les trames Ethernet


Dans la deuxime partie, vous utiliserez Wireshark pour capturer les trames Ethernet locales et distantes. Vous examinerez ensuite les informations contenues dans les champs den-tte de trame.

tape 1 : Dterminez ladresse IP de la passerelle par dfaut sur votre ordinateur.


Ouvrez une fentre dinvite de commandes et entrez la commande ipconfig. Quelle est ladresse IP de la passerelle par dfaut de lordinateur ? ________________________

tape 2 : Commencez par capturer le trafic sur la carte rseau de votre ordinateur.
a. Ouvrez Wireshark. b. Dans la barre doutils de loutil danalyse de rseaux Wireshark, cliquez sur licne Interface List (Liste dinterfaces).

c.

Dans la fentre Wireshark: Capture Interfaces (Wireshark : interfaces de capture), slectionnez linterface pour commencer la capture du trafic en activant la case cocher approprie, puis cliquez sur Dmarrer. Si vous ntes pas sr de linterface vrifier, cliquez sur Details pour plus dinformations sur chaque interface rpertorie.

d. Observez le trafic qui apparat dans la fentre Packet List (Liste de paquets).

tape 3 : Filtrez Wireshark pour afficher uniquement le trafic ICMP.


Vous pouvez utiliser le filtre dans Wireshark pour bloquer la visibilit du trafic indsirable. Le filtre ne bloque pas la capture des donnes indsirables ; il filtre uniquement ce qui doit safficher lcran. Pour le moment, seul le trafic ICMP doit tre affich.

2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco.

Page 4 sur 7

Travaux pratiques Utilisation de Wireshark pour examiner les trames Ethernet Dans la zone Filter (Filtre) de Wireshark, saisissez icmp. La case devient verte si vous avez tap le filtre correctement. Si la case est verte, cliquez sur Appliquer (Apply) pour appliquer le filtre.

tape 4 : partir de la fentre dinvite de commandes, envoyez une requte ping la passerelle par dfaut de votre ordinateur.
partir de la fentre de commandes, envoyez une requte ping la passerelle par dfaut avec ladresse IP que vous avez enregistre ltape 1.

tape 5 : Arrtez la capture du trafic sur la carte rseau.


Cliquez sur licne Stop Capture (Arrter la capture) pour arrter la capture du trafic.

tape 6 : Examinez la premire requte Echo (ping) dans Wireshark.


La fentre principale de Wireshark est divise en trois sections : le volet Packet List (Liste des paquets) (en haut), le volet Packet Details (Dtails des paquets) (au milieu) et le volet Packet Bytes (Octets des paquets) (en bas). Si vous avez slectionn linterface approprie pour la capture des paquets ltape 3, Wireshark doit afficher les informations ICMP dans le volet Packet List (Liste des paquets) de Wireshark, comme dans lexemple suivant.

a. Dans le volet Packet List (Liste des paquets) (section suprieure), cliquez sur la premire trame rpertorie. Echo (ping) request devrait safficher en dessous de len-tte Info. La ligne devrait galement tre mise en surbrillance en bleu.

2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco.

Page 5 sur 7

Travaux pratiques Utilisation de Wireshark pour examiner les trames Ethernet b. Examinez la premire ligne du volet Packet Details (Dtails des paquets) (section centrale). Cette ligne indique la longueur de la trame : 74 octets dans cet exemple. c. La deuxime ligne dans le volet Packet Details (Dtails des paquets) indique quil sagit dune trame Ethernet II. Les adresses MAC source et de destination sont galement indiques. Quelle est ladresse MAC de la carte rseau de lordinateur ? ________________________ Quelle est ladresse MAC de la passerelle par dfaut ? _____________________________ d. Vous pouvez cliquer sur le signe plus (+) au dbut de la seconde ligne dobtenir des informations supplmentaires sur la trame Ethernet II. Notez que le signe plus devient un signe moins (-). Quel type de trame est affiche ? ______________________________ e. Les deux dernires lignes figurant dans la section centrale fournissent des informations sur le champ de donnes de la trame. Notez que les donnes contiennent les informations dadresse IPv4 de la source et de la destination. Quelle est ladresse IP source ? ________________________________ Quelle est ladresse IP de destination ? __________________________ f. Vous pouvez cliquer sur nimporte quelle ligne dans la section centrale pour mettre en surbrillance cette partie de la trame (hex et ASCII) dans le volet Packet Bytes (Octets des paquets) (section infrieure). Cliquez sur la ligne Internet Control Message Protocol dans la section centrale et examinez ce qui est mis en surbrillance dans le volet Packet Bytes (Octets des paquets).

Quelles sont les deux dernires lettres des octets mis en surbrillance ? ______ g. Cliquez sur la trame suivante dans la section suprieure et examinez une trame de rponse Echo. Notez que les adresses MAC source et de destination ont t inverses, car cette trame a t envoye depuis le routeur de passerelle par dfaut comme rponse au premier ping. Quel priphrique et quelle adresse MAC saffichent-ils comme adresse de destination ? __________________________________________

2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco.

Page 6 sur 7

Travaux pratiques Utilisation de Wireshark pour examiner les trames Ethernet

tape 7 : Redmarrez la capture de paquets dans Wireshark.


Cliquez sur licne Start Capture (Dmarrer la capture) pour dmarrer une nouvelle capture Wireshark. Une fentre contextuelle vous invite enregistrer les prcdents paquets captursdans un fichier avant de dmarrer une nouvelle capture. Cliquez sur Continue without Saving (Continuer sans enregistrer).

tape 8 : Dans la fentre dinvite de commandes, envoyez une requte ping www.cisco.com. tape 9 : Arrtez la capture des paquets.

tape 10 : Examinez les nouvelles donnes dans le volet de la liste des paquets de Wireshark.
Dans la premire trame de demande Echo (ping), quelles sont les adresses MAC source et de destination ? Source : _________________________________ Destination : _____________________________ Quelles sont les adresses IP source et de destination figurant dans le champ de donnes de la trame ? Source : _________________________________ Destination : _____________________________ Comparez ces adresses aux adresses que vous avez reues ltape 7. La seule adresse qui a chang est ladresse IP de destination. Pourquoi ladresse IP de destination a-t-elle chang, alors que ladresse MAC de destination est rest la mme ? _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________ _______________________________________________________________________________________

Remarques gnrales
Wireshark naffiche pas le champ de prambule dun en-tte de trame. Que contient le champ de prambule ? _______________________________________________________________________________________ _______________________________________________________________________________________

2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco.

Page 7 sur 7