Vous êtes sur la page 1sur 4

IUT Département R&T

TRC9

G. Urvoy-Keller

Dans ce TP, vous allez utilisez Wireshark pour étudier différents scénarios d'analyse de trafic dans un contexte de supervision de réseau ou d'études d'attaques. Ce sera aussi l'occasion de manipuler les nombreuses fonctions avancées de Wireshark. Télécharger le fichier traces.tar.gz et dezipper/détarer le fichier pour obtenir les traces sur lesquelles nous allons travailler.

I – Analyse d'une trace vers un serveur Web.

Soit la trace http_espn.dmp. Ouvrez la avec Wireshark. Il s'agit de trafic lié au téléchargement de la page d'entrée d'un site Web.

  • 1. Quelle est la composition protocolaire de la trace en terme UDP/TCP et d'applications au dessus de ces 2 couches transports? Utilisez la fonction protocol hierarchy du menu statistics.

  • 2. Zoomez sur le trafic HTTP et donnez la décomposition en terme de type d'objets HTTP.

  • 3. Dézoomer un peu sur le trafic en filtrant le trafic TCP seulement. Pourquoi est-ce que la fraction de trafic HTTP descend tellement?

  • 4. Combien y a t-il de conversations au niveau IP, TCP et UDP dans cette trace? Utilisez la fonction conversations du menu statistics .

  • 5. Que vous fait comprendre le niveau Ethernet de la fonction conversations du menu statistics?

  • 6. Concentrons nous sur le trafic DNS. Créer un filtre pour ne récupérer que les demandes de résolutions. Pour cela, il faut se placer sur un paquet DNS où il y a une requête, placer vous sur le champ dans l'en-tête applicative où apparaît le code qui indique que c'est une requête puis faites un click droit et Prepare As filtered puis Selected. Combien en trouvez-vous?

  • 7. Passons aux requêtes HTTP. Pour les trouver, nous allons utiliser la fonction HTTP - Requests du menu Statistics.

    • 1. Interprétez les 2 premières colonnes du résultat?

    • 2. En quoi ce résultat est compatible avec l'analyse DNS faite précédemment?

    • 3. Créez un filtre pour calculer le nombre d'objets effectivement téléchargés. Combien y en a-t-il? Ce résultat est-il en adéquation avec le résultat de la sous-question 1 ci-dessus.

II Dépannage

Soit un utilisateur de votre réseau (vous avez été promu ingénieur réseau – félicitations!) n'arrive pas à accéder à Internet. Il arrive en revanche à accéder aux ressources internes (serveurs de données, mail, imprimantes, etc.). Vous capturez la trace nowebaccess1.pcap sur le commutateur d'attachement de la machine de l'utilisateur. Quelques informations : l'adresse IP de la machine de l'utilisateur est 172.16.0.8 et les serveurs DNS

configurés sur la machine sont 4.2.2.2 et 4.2.2.1.

Analysez la trace et donnez votre diagnostic. Il faut être précis et dire ce qui a priori fonctionne et ce qui ne fonctionne pas dans le réseau. Si par exemple, vous pensez qu'une machine est utilisée comme passerelle, vous devez dire quels éléments vous font penser cela. Notez qu'il y a plusieurs diagnostics possibles.

III Dépannage

Un autre utilisateur se plaint de ne pas pouvoir accéder certains sites Web (mais pas tous). Vous capturez à nouveau une trace de trafic qui s'appelle nowebaccess3.pcap.

Analysez la trace et montrez qu'elle permet de montrer que le problème se situe à l'extérieur du réseau de l'entreprise qui ne comprend que des machines dans la plage d'adresses 172.16/24.

V La fable du développeur et de l'ingénieur réseau

Soit une entreprise dans laquelle vous êtes ingénieur réseau. L'entreprise a de multiples branches. Un développeur a conçu une application simple qui va, sur le serveur de chacune des branches récupérés des fichiers des ventes de la journée, sous la forme de fichier csv (comma separated values). Le développeur se plaint que ses fichiers soient corrompus lors du transport sur le réseau. Vous convenez d'un test où vous allez récupérer un fichier transmis au niveau du serveur en capturant le trafic sur le switch de rattachement de ce dernier. La somme du contôle md5 du fichier est :

configurés sur la machine sont 4.2.2.2 et 4.2.2.1. Analysez la trace et donnez votre diagnostic. Il

La trace s'appelle tickedoffdevelopper.pcap. Chargez la dans wireshark.

  • 1. Combien y-a-t-il de conversations au niveau IP et TCP?

  • 2. Quels sont les protocoles de niveau applicatif présents?

  • 3. En vous appuyant sur votre connaissance du protocole, vous allez extraire la transmission du fichier en vous plaçant sur un paquet de niveau applicatif quelconque correspondant à ce transfert et en utilisant l'option 'Follow TCP stream' qui extrait les données au niveau applicatif.

  • 4. Est-ce que le réseau est à blâmer ou non?

VI Processus d'Attaque

Parmi les machine que vous gérez (vous êtes toujours dans le même rôle d'ingénieur réseau), vous en avez une pour laquelle votre système de détection d'intrusion couine très fort. Vous capturez du trafic sur le commutateur de rattachement de cette machine. La trace s'appelle attaque1.pcap.

2.

Quels sont les services présents sur la machine? (expliquez comment vous avez fait pour les trouver)

  • 3. Expliquez la différence entre le cas ou le serveur répond par un RST et le cas où il ne répond pas. Pour vous aidez, faites des telnet sur la machine physique sur des ports ouverts ou non et voyez la réaction de la machine au nivau TCP (Rappel (?) : on utilise netstat pour voir les ports ouverts ou non et la commande tcpdump pour voir le trafic)

VII OS fingerprinting

Des outils comme nmap (que l'on verra dans un autre TP) permettent de déterminer quel est l'OS implanté sur une machine et les services ouverts sur la machine. Nmap est un outil passif : il injecte du trafic dans le réseau. Nous allons nous intéresser ici aux empreintes digitales obtenues de manière passive, c'est-à-dire en analysant le trafic de l'utilisateur. Voici des tableaux donnant des valeurs de paramètres par défaut typiques de certains systèmes d'exploitation. En vous aidant de ces tableaux, relevez pour les 2 paquets les valeurs caractéristiques et donnez une prédiction sur le système d'exploitation implanté par les machines dont des paquets ont été capturés dans la trace passiveosfingerprinting.pcap, sachant qu'il n'y aura pas de correspondance exacte.

2. Quels sont les services présents sur la machine? (expliquez comment vous avez fait pour les

VIII Goulet d'étranglement

Soit un ensemble de traces latency1.pcap, latency2.pcap, latency3.pcap et latency4.pcap correspondant à un même échange au niveau applicatif. Elles sont capturées côté client. Le fichier latency1 correspond au cas nominal où tout va bien.

  • 1. Calculez les RTT pour chaque paquet de chaque trace.

  • 2. Déterminer pour chaque trace, où se situe le goulet d'étranglement qui peut être : le réseau qui induit des grandes latences, des temps d'attente côté client ou des temps d'attente côté serveur.