Vous êtes sur la page 1sur 87

Cours rseau

Vigneau FR1
dition 02/2005

1 Cours

de M.Lalitte

Table des matires


0.1 Historique . . . . . . . . . . . .
0.1.1 L'ide rvolutionnaire .
0.1.2 Le modle de Baran . .
0.1.3 L'ARPANET . . . . . .
0.1.4 Le ourrier le tronique
0.2 Dmar he des universitaires . .

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

1 La ou he 1
1.1 Le blage . . . . . . . . . . . . . . . . .
1.1.1 Les paires torsades . . . . . . .
1.1.2 Les paires torsades blindes . .
1.1.3 Le ble oaxial ave prise BNC
1.1.4 La bre optique . . . . . . . . . .
1.1.5 Les ondes hertziennes . . . . . .
1.1.6 Les lasers . . . . . . . . . . . . .
1.2 Organisation de la ommuni ation . . .
1.2.1 Le bus . . . . . . . . . . . . . . .
1.2.2 L'anneau . . . . . . . . . . . . .
1.2.3 L'toile . . . . . . . . . . . . . .
1.3 Les ollisions sur un bus . . . . . . . . .
1.4 Le bran hement de deux ma hines . . .

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

.
.
.
.
.
.

9
9
9
9
9
10

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

11
11
11
12
12
13
13
13
13
14
14
15
15
17

2 La ou he 2
2.1 Le proto ole Ethernet et l'adresse MAC . .
2.2 La trame Ethernet . . . . . . . . . . . . . .
2.2.1 Des ription de la trame . . . . . . .
2.2.2 Taille de la trame . . . . . . . . . . .
2.3 Les ollisions sur un HUB . . . . . . . . . .
2.4 Collisions sur un swit h . . . . . . . . . . .
2.4.1 Prsentation du problme . . . . . .
2.4.2 Con lusion . . . . . . . . . . . . . .
2.5 Les VLAN - Virtual Lo al Area Network -.
2.5.1 Intrt du VLAN . . . . . . . . . . .
2.5.2 Ports Trunk . . . . . . . . . . . . . .
2.5.3 Attaque possible . . . . . . . . . . .

.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.

19
19
19
19
20
20
22
22
22
23
23
23
23

3 La ou he 3
3.1 Adresses IP rseau et adresses IP ma hine . . . . . . . . . . . . . . . . . . . . . . . . .
3.1.1 L'adresse IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.1.2 Le masque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

25
25
25
25

.
.
.
.
.
.
.
.
.
.
.
.
.

TABLE DES MATIRES

3.2

3.3

3.4

3.5

3.6

3.7

Le datagramme ou paquet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

26

3.2.1

Le datagramme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

26

Le routage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

27

3.3.1

Table de routage

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

27

3.3.2

Exer i e . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

28

3.3.3

volution des tables de routage . . . . . . . . . . . . . . . . . . . . . . . . . . .

29

Adresses parti ulires . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

29

3.4.1

Adresses rserve

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

29

3.4.2

Exemple . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

29

Gestion des adresses IP

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

30

3.5.1

Problmatique

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

30

3.5.2

Passage IPv6

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

30

3.5.3

L'adressage CIDR

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

30

3.5.4

Regroupement gographique d'adresses . . . . . . . . . . . . . . . . . . . . . . .

30

3.5.5

NAT - Network Address Translation-.

30

3.5.6

Exer i e pratique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Exer i e

. . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

31
32

3.6.1

non

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

32

3.6.2

Corre tion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

32

3.6.3

Obtention des adresses MAC

. . . . . . . . . . . . . . . . . . . . . . . . . . . .

33

ICMP

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

33

3.7.1

Messages ICMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

34

3.7.2

Outils utilisant les messages ICMP

34

. . . . . . . . . . . . . . . . . . . . . . . . .

4 La ou he 4

35

4.1

Les proto oles de ou he 4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

35

4.2

Les adresses de ou he 4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

35

Le proto ole UDP

36

4.3

4.4

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

4.3.1

Retour sur la notion de datagramme

4.3.2

Datagramme UDP

4.3.3

tablissement et rupture de la ommuni ation . . . . . . . . . . . . . . . . . . .

Proto ole TCP

. . . . . . . . . . . . . . . . . . . . . . . .

36

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

36

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

36
36

4.4.1

tablissement et rupture de la ommuni ation . . . . . . . . . . . . . . . . . . .

36

4.4.2

Segment TCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

37

4.4.3

Remarque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

37

5 Le proto ole DNS

39

5.1

Qu'est e que le DNS ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

39

5.2

Historique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

39

5.3

Organisation du systme DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

39

5.4

Attaque ontre le systme DNS

41

5.5

Rsolution d'un nom

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

41

5.5.1

Requte DNS

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

41

5.5.2

Exemple . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

42

5.5.3

Exemple d'attaque

5.6

Types de requtes DNS

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

42

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

42

5.6.1

Requte r ursive ou requte itrative

. . . . . . . . . . . . . . . . . . . . . . .

42

5.6.2

Exemple . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

42

5.7

Types d'enregistrements

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

43

5.8

Types de serveurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

44

TABLE DES MATIRES


5.8.1 Deux types de serveurs DNS .
5.8.2 Questions . . . . . . . . . . .
5.9 Les outils DNS . . . . . . . . . . . .
5.9.1 Au niveau de la ma hine . . .
5.9.2 Les outils serveur . . . . . . .
6

5
.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

Retour sur le proto ole IP

6.1 L'en-tte IP . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.1.1 Des ription de l'en-tte . . . . . . . . . . . . . . . .
6.1.2 Remarques sur l'ID et le Fragment oset . . . . . . .
6.2 La fragmentation . . . . . . . . . . . . . . . . . . . . . . . .
6.2.1 Prsentation . . . . . . . . . . . . . . . . . . . . . . .
6.2.2 Champs de l'en-tte IP on ernant la fragmentation
6.2.3 Question . . . . . . . . . . . . . . . . . . . . . . . . .
6.3 Exer i e d'appli ation . . . . . . . . . . . . . . . . . . . . .
6.3.1 non . . . . . . . . . . . . . . . . . . . . . . . . .
6.3.2 Corrig . . . . . . . . . . . . . . . . . . . . . . . . .
6.4 Gestion du ag DF . . . . . . . . . . . . . . . . . . . . . . .
6.5 Exemple d'attaque utilisant la fragmentation . . . . . . . .
6.6 Inuen e de la MTU . . . . . . . . . . . . . . . . . . . . . .
Retour sur le proto ole TCP

7.1 Des ription de l'en-tte TCP . . . . . .


7.2 M anisme de ontrle d'a heminement
7.2.1 Exemple . . . . . . . . . . . . . .
7.2.2 Des ription . . . . . . . . . . . .
7.3 L'attaque de Nol . . . . . . . . . . . . .
7.3.1 Historique . . . . . . . . . . . . .
7.3.2 Stratgie . . . . . . . . . . . . . .
7.3.3 Droulement de l'attaque . . . .
7.3.4 Remarque . . . . . . . . . . . . .
7.3.5 La parade . . . . . . . . . . . . .
La tradu tion d'adresse : NAT

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.

8.1 Introdu tion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .


8.2 La NAT statique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8.2.1 Le prin ipe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8.2.2 Intrt de la NAT statique . . . . . . . . . . . . . . . . . . . . . . . . . . .
8.2.3 Le fon tionnement de la NAT statique. . . . . . . . . . . . . . . . . . . . .
8.2.4 Avantages et in onvnients de la NAT statique. . . . . . . . . . . . . . . .
8.2.5 Problmes de routage lis l'utilisation de la NAT statique -proxy ARP- .
8.3 La NAT dynamique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8.3.1 Le prin ipe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8.3.2 Le fon tionnement de la NAT dynamique . . . . . . . . . . . . . . . . . .
8.3.3 rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8.3.4 Problmes lis la NAT dynamique . . . . . . . . . . . . . . . . . . . . .
8.4 Rendre les ma hines du rseau lo al joignables malgr la NAT . . . . . . . . . . .
8.4.1 Le port forwarding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8.4.2 Le port mapping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8.4.3 Les limites du port forwarding . . . . . . . . . . . . . . . . . . . . . . . .

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

44
44
44
44
44
47

47
47
47
49
49
49
50
50
50
50
51
52
52

53

53
53
54
54
55
55
55
55
56
56

57

57
57
57
57
57
58
58
59
59
60
60
61
61
62
62
62

TABLE DES MATIRES

8.5 Les proxys . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .


8.5.1 Prsentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
9 Les Firewalls
9.1 Introdu tion . . . . . . . . . . . . . .
9.2 Les dirents types de rewall . . . .
9.2.1 Le ltrage simple . . . . . . .
9.2.2 Le ltrage par tats . . . . .
9.2.3 Les proxys . . . . . . . . . . .
9.3 Le ltrage sous Linux . . . . . . . .
9.3.1 Fon tionnement de Netlter .
9.3.2 Le fon tionnement de iptables
9.3.3 La tradu tion d'adresses . . .
9.4 Liste des prin ipaux ports . . . . . .
9.5 Une onguration standard . . . . .

.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.

10 Introdu tion au proto ole SSH


10.1 Dnition . . . . . . . . . . . . . . . . . . . . . . .
10.2 Quelle est l'utilit de SSH ? . . . . . . . . . . . . .
10.3 Limite des rewalls . . . . . . . . . . . . . . . . . .
10.4 Les avantages du proto ole SSH . . . . . . . . . . .
10.4.1 Les avantages fon tionnels . . . . . . . . . .
10.4.2 Les avantages te hniques . . . . . . . . . . .
10.5 Fon tionnement d'une authenti ation par l RSA
10.6 Les  hiers importants . . . . . . . . . . . . . . . .
10.7 Ralisation pratique . . . . . . . . . . . . . . . . .
10.7.1 Les demandes de passphrases . . . . . . . .
10.7.2 Cration et opie des ls . . . . . . . . . .
10.7.3 Debugger le serveur . . . . . . . . . . . . .
10.7.4 Dur ir le  hier de onguration . . . . . .
A Exer i es
A.1 La ou he 3 . . .
A.1.1 Exer i e 1
A.1.2 Exer i e 2
A.1.3 Exer i e 3
A.1.4 Exer i e 4
A.1.5 Exer i e 5
A.1.6 Exer i e 6
A.1.7 Exer i e 7
A.2 La ou he 4 . . .
A.2.1 Exer i e 1
A.2.2 Exer i e 2
A.3 La NAT . . . . .
A.3.1 Exer i e 1

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.

62
62

.
.
.
.
.
.
.
.
.
.
.

63
63
63
63
63
63
63
64
65
65
66
66

.
.
.
.
.
.
.
.
.
.
.
.
.

67
67
67
68
68
68
68
68
69
69
69
69
69
70

.
.
.
.
.
.
.
.
.
.
.
.
.

71
71
71
71
71
72
72
73
73
73
73
74
76
76

TABLE DES MATIRES


B La transmission en bande de base
B.1 Introdu tion . . . . . . . . . . . .
B.2 Codage des signaux . . . . . . . .
B.3 Le odage NRZ . . . . . . . . . .
B.4 Le odagde NRZI . . . . . . . . .
B.5 Le odage Man hester . . . . . .
B.6 Le odage delay . . . . . . . . . .
B.7 Le odage bipolaire . . . . . . . .

7
.
.
.
.
.
.
.

77
77
77
77
78
78
79
79

C Fibres optiques
C.1 Prin ipe de fon tionnement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
C.2 Les trois types de bre optique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
C.3 Les onne tions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

81
81
82
84

.
.
.
.
.
.
.

.
.
.
.
.
.
.

.
.
.
.
.
.
.

.
.
.
.
.
.
.

.
.
.
.
.
.
.

.
.
.
.
.
.
.

.
.
.
.
.
.
.

.
.
.
.
.
.
.

.
.
.
.
.
.
.

.
.
.
.
.
.
.

.
.
.
.
.
.
.

.
.
.
.
.
.
.

.
.
.
.
.
.
.

.
.
.
.
.
.
.

.
.
.
.
.
.
.

.
.
.
.
.
.
.

.
.
.
.
.
.
.

.
.
.
.
.
.
.

.
.
.
.
.
.
.

.
.
.
.
.
.
.

.
.
.
.
.
.
.

.
.
.
.
.
.
.

.
.
.
.
.
.
.

.
.
.
.
.
.
.

.
.
.
.
.
.
.

.
.
.
.
.
.
.

.
.
.
.
.
.
.

.
.
.
.
.
.
.

.
.
.
.
.
.
.

TABLE DES MATIRES

Introdu tion
0.1
0.1.1

Historique
L'ide rvolutionnaire

En 1962, en pleine guerre froide, ons iente de la vulnrabilit de son organisation entralise, l'US
Air For e demande un petit groupe de her heurs de rer un rseau de ommuni ation militaire
apable de rsister une attaque nu laire. Le on ept de e rseau reposait sur un systme d entralis,
permettant au rseau de fon tionner malgr la destru tion de une ou plusieurs ma hines.
0.1.2

Le modle de Baran

Paul Baran est onsidr omme un des a teurs prin ipaux de la ration d'Internet. Il eu l'ide,
en 1964, de rer un rseau sous forme de grande toile. Il avait ralis qu'un systme entralis tait
vulnrable ar la destru tion de son noyau provoquait l'anantissement des ommuni ations. Il mit don
au point un rseau hybride d'ar hite tures toiles et mailles dans lequel les donnes se dpla eraient
de faon dynamique, en  her hant  le hemin le moins en ombr, et en  patientant  si toutes les
routes taient en ombres. Cette te hnologie fut appel  pa ket swit hing .
0.1.3

L'ARPANET

En 1969, le rseau exprimental ARPANET fut r par l'ARPA - Advan ed Resear h Proje ts
Agen y dpendant du DOD, Department of Defense - an de relier quatre instituts universitaires :
 le Stanford Institute,
 l'universit de Californie Los Angeles,
 l'universit de Californie Santa Barbara,
 l'universit d'Utah.
Le rseau ARPANET est aujourd'hui onsidr omme le rseau pr urseur d'Internet. Il omportait
dj l'poque ertaines ara tristiques fondamentales du rseau a tuel :
 Un ou plusieurs noeuds du rseau pouvait tre dtruits sans perturber son fon tionnement ;
 La ommuni ation entre ma hines se faisait sans ma hine entralise intermdiaire ;
 Les proto oles utiliss taient basiques.
0.1.4

Le ourrier le tronique

En 1972 Ray Tomlinson mit au point un nouveau mode de ommuni ation : le ourrier le tronique.
Le ontenu de e premier e-mail tait le suivant : QWERTYUIOP Par ailleurs, le ara tre    servait
dj sparer le nom de l'utilisateur du nom de la ma hine dans les adresses. En juillet 1972, Lawren e
G. Roberts amliora les possibilits ouvertes par Ray Tomlinson en dveloppant la premire appli ation
permettant de lister, de lire de manire sle tive, d'ar hiver, de rpondre ou de faire suivre un e-mail.
Ds lors, la messagerie le tronique n'aura de esse de rotre, pour devenir la prin ipale utilisation du
rseau des rseaux au dbut du XXIe si le. C'est galement en o tobre 1972 que le rseau ARPANET
9

TABLE DES MATIRES

10

fut prsent pour la premire fois au grand publi , lors de la onfren e ICCC - International Computer
Communi ation Conferen e -. A ette mme poque, l'ARPA devint le DARPA - Defense Advan ed
Resear h Proje ts Agen y - et le terme  internetting  est utilis pour dsigner l'ARPANET, devenant
alors un embryon d'Internet.
0.2

Dmar he des universitaires

Pour on evoir e rseau ils sont partis de l'observation du monde et des moyens de ommuni ation de l'poque -tlphone, poste, parole ...- et ils ont fait, pour ha un d'eux, l'inventaire de e
qui tait n essaire leur mise en oeuvre. Ils ont ensuite fusionn es modles pour dterminer des
ara tristiques gnrales :
le mdia : l, air...
le proto ole : langage.
l'metteur
le r epteur

: enveloppe, fa teur, adresse...


le ontenu : l'information.
Les her heurs ont alors onsidr que, pour ommuniquer, il y avait autant de t hes a omplir
que d'lments gnriques dans ette liste. Ils ont alors imagin un modle en ou hes,o ha une
orrespond une t he. L'intrt majeur de ette appro he est le suivant : si une ou he t mal
implmente, ou n essite une modi ation en raison des volutions te hniques, il n'y a qu'elle
hanger. Ce i induit une ontrainte forte : les ou hes doivent tre indpendantes. Ce modle s'appelle
le modle OSI1 - Open System Inter onnexion -. Il omporte sept ou hes : quatre pour le rseau et
trois pour les appli ations.
le ontenant

7
6
5
4
3
2
1

APPLICATION
PRSENTATION
SESSION
TRANSPORT
RSEAU
LIAISON
PHYSIQUE

ore le mdia, le support de transmission.


ou he 2 permet de grer les onnexions en rseau lo al : elle dnit le langage n essaire pour
que deux ma hines inter- onne tes puissent ommuniquer.
ou he 3 permet le dialogue entre rseaux lo aux.
ou he 4 gre les onnexions appli atives, elle permet de faire ommuniquer deux appli ations
entre elles e qui est le but du rseau.

La ou he 1
La

La
La

En eet le rseau est au servi e des appli ations. l'heure a tuelle les ou hes inq et six sont intgres
la ou he appli ation. Pour garantir l'indpendan e des ou hes entre elles, une ou he ne peut
ommuniquer dire tement qu'ave une ou he ontigu.
1

En fait le modle OSI date de 1984. Le rseau s'est appuy sur le modle TCP/IP dont il est en ore aujourd'hui la

rfren e. Ce n'est que par la suite que le modle OSI est apparu, reprenant les ides du modle TCP/IP et largissant
les perspe tives possibles en terme de rseau

Chapitre 1

La ou he 1
Rle :

1.1
1.1.1

Elle est responsable du support de transmission.

Le blage
Les paires torsades

C'est un ble onstitu de quatre paires torsades. Il ne faut pas onfondre le ble et la prise qui
est au bout (prise RJ45).

Fig.

Fig.

1.1  Prise RJ45

1.2  blage prise RJ45

 une paire est utilise en mission (ls 1 et 2).


 une paire est utilise en r eption (ls 3 et 6).
 les ls 4,5,7 et 8 ne sont pas utiliss en standard.
11

12

CHAPITRE 1.

LA COUCHE 1

Les paires sont torsades deux deux pour diminuer l'inuen e des perturbations le tromagntiques.
1.1.2

Les paires torsades blindes

Ce sont des paires torsades dotes d'une gaine mtallique entourant le ble. Elles sont nommes :
 10 BT -lire 10 base T 100 BT
 100 BTx
 1000 BT
 1000 BF
Le hire reprsente le dbit maximum support en mgabits par se onde. La lettre B dsigne la bande
de base1 , 'est la manire dont sont odes les informations qui transitent sur le ble. La dernire
lettre dsigne le support :
 T : paire torsade.
 F : bre optique.
Dans les bles de type 1000 BT on peut utiliser ertains ls non relis la base.
1.1.3

Le ble oaxial ave prise BNC

Fig.

1.3  Prise T BNC

Fig.

1.4  ble oaxial

Il est nomm :
 10 B 2
 10 B 5
Le se ond est le plus an ien et utilise le phnomne d'onde stationnaire, il faut don se onne ter
ertains endroits, au niveau des  ventres  de l'onde, en utilisant des prises vampires. Le dernier
hire de la dnomination - 2 ou 5 - orrespond la longueur maximale de ble utilisable, exprime
en entaines de mtres - 2 pour 200m -. Le ble oaxial n'est presque plus utilis de nos jours.
1

voir B page 77

1.2.

ORGANISATION DE LA COMMUNICATION

13

1.1.4 La bre optique


Elle utilise la propagation de la lumire l'intrieur de la bre pour vhi uler l'information. Le
prin ipe repose sur la rfra tion pour garder le rayon lumineux l'intrieur de la bre. Il existe deux
mthodes pour y parvenir 2 :
1. Le hangement de milieux,
2. la variation ontinue d'indi e.
On distingue deux atgories de Fibre :
1. La bre monomode : adapte une seule longueur d'onde, elle ne peut vhi uler qu'une seule
longueur d'onde.
2. La bre multimode : adapte la lumire blan he, qui peut vhi uler des ondes de direntes
longueurs d'onde.
L'attnuation est plus faible en monomode ar elle est inversement proportionnelle au arr de la
longueur d'onde - c2 -. D'autre part l'indi e dpend de la longueur d'onde, don le trajet au sein de
la bre galement, on assiste don un d alage du signal en fon tion de la longueur d'onde sur les
bres multimode.
C'est pourquoi des fais eaux en monomode peuvent tre utiliss sur des distan es de l'ordre de
60 km alors qu'en multimode la limite se situe environ 2 km. De plus, le dbit peut tre augment
en monomode. En eet, l'attnuation tant plus faible, il est possible de diminuer la longueur du
train d'onde - don l'nergie mise - en gardant un rapport signal sur bruit susant en sortie pour
ontinuer le dte ter. Ce i permet de faire passer, un instant t, plus de trains d'onde dans une mme
longueur de bre. Enn on peut raliser du multiplexage de longueur d'onde en faisant passer sur une
onde monomode plusieurs ondes de ouleur dirente - il faut juste vrier que pour haque longueur
onsidre l'indi e permet d'obtenir la rexion totale dans l'paisseur de la bre-. La ombinaison de
es mthodes permet d'obtenir des dbits de l'ordre de 60 Gigabits par se onde.

1.1.5 Les ondes hertziennes


1.1.6 Les lasers
On utilise un fais eau laser pour propager, en air libre et en porte optique, un train d'onde. Ce
ve teur est rserv aux ourtes distan es ar il est trs sensible aux onditions atmosphriques.

1.2

Organisation de la ommuni ation

La ou he 1 assure le support de la ommuni ation,mais aussi organise ette ommuni ation entre
les ma hines sur le rseau - la topologie rseau ou omment onne ter les ma hines-.
On a trois topologies direntes : le bus, l'anneau et l'toile.
2

voir annexe C page 81

14

CHAPITRE 1.

1.2.1

LA COUCHE 1

Le bus

Fig.

1.6  Topologie bus

C'est un ble sur lequel toutes les ma hines sont onne tes. On pla e haque extrmit du bus
un bou hon destin prvenir les rexions en bout de ble. Si deux personnes parlent la fois sur
le rseau il y a interfren e entre les deux messages, qui sont don perdus. Ce phnomne est appel
ollision. Pour l'viter une seule personne doit parler la fois sur le bus. Don plus il y a de ma hines,
plus les ommuni ations sont di iles.

Limitations
1. Nombre de ma hines : li l'en ombrement du rseau,
2. longueur de bus : ette limitation est lie l'attnuation le long du bus et la dte tion des
ollisions - f ou he 2-.
1.2.2

L'anneau

Fig.

1.7  Topologie anneau

Les ma hines sont relies un ble ir ulaire -d'o l'appellation d'anneau-. Pour prvenir les
ollisions un  jeton  ir ule sur l'anneau. Quand une ma hine veut parler, elle prend le jeton, le
remplit ave les donnes, et l'envoi sur le rseau. Il est d harg par la ma hine destinataire puis remis
disposition du rseau.

Limitations
1. Nombre de ma hines : li l'en ombrement du rseau -une ma hine parle la fois-,
2. longueur de bus : ette limitation est lie l'attnuation le long de l'anneau et au temps de
ir ulation du jeton.

1.3.

15

LES COLLISIONS SUR UN BUS

on lusion
Bien qu'une seule ma hine soit apable de parler en mme temps sur le rseau le dbit obtenu est
suprieur elui du bus.
1.2.3

L'toile

Les ma hines sont relies un noeud entral. En fon tion de l'quipement ralisant e noeud on
peut faire ommuniquer les ma hines deux deux sans interfren e.

Fig.

1.8  Topologie toile

Limitations
1. Nombre de ma hines : lie au type d'quipement ralisant la onnexion entrale,
2. longueur de bus : ette limitation est lie l'attnuation le long du ble reliant la ma hine au
noeud entral - de l'ordre de 100 m -.

on lusion
Aujourd'hui la topologie en toile est la plus dveloppe ar elle est la plus souple d'emploi. Il est
galement possible de raliser des topologies hybrides.

Fig.

1.3

1.9  Topologie hybride

Les ollisions sur un bus

Une ollision est l'interfren e entre deux paquets mis par deux ma hines direntes. Il en rsulte
la perte des informations transmises, il faut don les traiter. Pour grer les ollisions on utilise la
mthode CSMA/CD - Carrier Sens Multiple A ess / Collision Dete tion -. Celle- i onsiste outer
en permanen e le bus - pour dte ter les ollisions et l'o upation du rseau - pour parler quand le bus

16

CHAPITRE 1.

LA COUCHE 1

est libre. Aprs l'mission on oute les ventuelles ollisions. Si une ollision est dte te le paquet est
r-mis aprs un temps alatoire - e qui permet de sparer les r-missions des direntes ma hines -.

Ecoute

Media
occupe

OUI

Attente
aleatoire
dt

NON

Parle

OK

NON

Fig.

Detection
de collision

OUI

1.10  Proto ole CSMA / CD

Plus il y a de ma hines, plus le temps d'attente risque d'tre long, et plus il y a de


han es qu'il y ait deux ma hines qui parlent en mme temps aprs une ollision -don qui aient des
t avant rmission pro hes -, gnrant ainsi une nouvelle ollision. partir d'un ertains nombre de
ma hines, 60, il y a plus de temps pass grer les ollisions qu' transmettre des informations
utiles !
Problme :

1.4.

17

LE BRANCHEMENT DE DEUX MACHINES

Nb de machines

60

Temps de convergence

Fig.

1.4

1.11  Collisions sur un bus

Le bran hement de deux ma hines

Le bran hement est ralis l'aide d'un ble de paires torsades. Mais si les deux ma hines sont
bran hes dire tement, onsidrant qu'une paire est utilise en mission et une paire en r eption, il
ne faut pas oublier de roiser les paires. Ainsi la ma hine A met sur la paire 1 qui est bran he en
r eption sur la ma hine B et inversement.

Fig.

1.12  Cble rois

En revan he si on est bran h n un hub on utilise un ble droit, 'est le hub qui est bl rois
en interne pour assurer la liaison entre les ma hines. Il est plus simple d'utiliser un ble droit et il y a
plus de onnexions entre matriels de types dirents qu'entre matriels de mme type, 'est pourquoi
ette onvention a t retenue.

18

CHAPITRE 1.

Fig.

1.13  Utilisation des bles droits


Cable croise

Cable droit

Fig.

1.14  Utilisation des bles roiss

Don j'utilise un ble rois entre deux matriels de mme type :


 pour onne ter un hub et un swit h,
 une ma hine un routeur,
 ...
et un ble droit entre deux matriels de type dirent :
 pour onne ter une ma hine un swit h,
 un routeur un swit h,
 deux swit hs,
 ...

LA COUCHE 1

Chapitre 2

La ou he 2
Rle : Elle est harge de grer les onnexions sur un rseau lo al, et de dte ter les erreurs
de transmission. Il faut dnir un proto ole, une norme, qui xe les rgles de ommuni ation. Les
proto oles les plus rpandus sont : Ethernet, Token-ring et FDDI.
2.1

Le proto ole Ethernet et l'adresse MAC

Il existe un identiant de haque matriel ou ma hine : l'adresse MAC -Medium a ess ontrol. Elle se ompose de six o tets, et s' rit en hexad imal, les o tets tant spars par le ara tre
 : . Exemple : 12 :B4 :C8 :EF :22 :C6 Les trois premiers o tets orrespondent au onstru teur,
et les trois derniers au matriel. L'adresse MAC de haque matriel est unique dans le monde. Pour
garantir ette uni it les trois premiers o tets identient le onstru teur et elui i gre les trois derniers
qui identie un matriel donn - haque ma hine possde don un identiant unique-. Lorsque le
onstru teur a puis toutes les adresses qui lui taient dvolues un nouveau triplet onstru teur lui
est attribu. 268 = 248 adresses MAC sont ainsi disponibles. En fait il y en a :une de moins, l'adresse
nulle tant ex lue. Une adresse joue est rserve et joue un rle parti ulier : l'adresse de broad ast,
FF :FF :FF :FF :FF :FF, qui permet d'adresser toutes les ma hines d'un rseau lo al.
2.2
2.2.1

La trame Ethernet
Des ription de la trame

MAC dest

MAC sr
Tab.

Proto ole 3

DATA

CRC

2.1  Trame Ethernet

Les hamps MAC dest, MAC sr , Proto ole 3 et CRC onstituent l'en tte Ethernet, elle mesure
18 o tets. Des ription des hamps :
MAC dest : est l'adresse MAC de la ma hine destinataire - 6 o tets -,
MAC sr : est l'adresse MAC de la ma hine mettri e - 6 o tets -,
Proto ole 3 : indique le proto ole utilis par la ou he suprieure pour oder les informations. Cette
information est n essaire pour que la trame DATA soit bien d ode la r eption - 2 o tets -,
? : il y a eu plusieurs normes Ethernet, et dans ertaines il y avait des informations et empla ement.
Ave la norme a tuelle - norme RFC 802 - e n'est plus le as. En fait il y a plusieurs normes
dsignes RFC 802.xx, o xx dsigne la norme parti ulire adapte un type de rseau lo al
donn - wi  par exemple -.
19

20

CRC

CHAPITRE 2.

LA COUCHE 2

: 'est un ode de ontrle d'erreur dont le al ul s'ee tue au fur et mesure que la trame est
envoye. Il n'est don disponible qu'une fois la trame entirement ralise, 'est pourquoi il est
pla en queue de trame, aprs le DATA. la r eption le al ul s'ee tue de la mme faon
au ours de la r eption puis le rsultat est ompar la valeur sto ke dans le ode CRC de la
trame. Ce al ul se faisant bit bit il est n essaire que le rsultat soit la n. Ce ode permet
de dte ter les erreurs mais pas de les orriger. Ce hamps o upe 4 o tets.

2.2.2

Taille de la trame

Nous avons dj vu que l'en tte faisait dix huit o tets. La norme dnit une taille maximale et
une taille minimale. La limite suprieure, dnie pour ne pas monopoliser le rseau, est xe 1518
o tets - 1500 o tets de donnes et 18 o tets d'en tte -. Cette taille maximale peut tre modie. La
taille minimale - 64 o tets,46 o tets de donnes et 18 o tets d'en tte - a t xe pour que, sur un
bus, le premier o tet mis ait atteint la destination la plus lointaine du rseau avant que la trame ne
soit entirement mise. Cette restri tion permet de dte ter les ollisions.
2.3

Les ollisions sur un HUB

Fig.

2.1  ollision sur un bus

Quand la ma hine A met une trame, elle- i est re-dirige au niveau du hub vers tous les ordinateurs. Ceux- i la dte tent, regardent si elle les on erne - gr e l'adresse MAC de destination -, et
seule la ma hine on erne poursuit le d odage.
Une amlioration possible est d'utiliser, pour le oeur du rseau, un matriel apable de lire le
proto ole de ou he deux - le proto ole Ethernet - ,don l'adresse MAC de destination. Il est alors
apable de distribuer la trame lui mme vers le bon destinataire plutt que de l'envoyer toutes les
ma hines. Un tel quipement s'appelle un SWITCH - ou ommutateur -. C'est un matriel de ou he
2 - ar il lit le proto ole de ou he 2 -. Le hub - ou on entrateur - est lui un quipement de ou he
1 - 'est un ble qui est in apable de lire le proto ole de ou he 2 et travaille au niveau le trique
uniquement -.
Pour re-diriger la trame, le swit h dispose en mmoire d'une table, dite table CAM, qui met en
orrespondan e une adresse MAC et un numro de port du swit h. Pour tablir ette table il lit l'adresse
sour e des paquets qui lui proviennent et les asso ient ave le numro du port sur lequel le paquet est
arriv. C'est pourquoi l'adresse MAC de destination est pla e en dbut de trame, ainsi les quipements
de ou he 2 ne perdent pas de temps lire des informations inutiles pour la ommutation.

2.3.

21

LES COLLISIONS SUR UN HUB

Don , si un pirate P met une trame qui omporte en adresse sour e l'adresse MAC d'une autre
ma hine V, le pro essus de remplissage de la table CAM tant par dfaut dynamique, le swit h va mettre
jour ette table en asso iant MAC de V ave port du swit h de P. Il est don possible de leurrer un
swit h. Cependant ette modi ation ne perdurera que jusqu' e que V mette une trame, entranant
nouveau la mise jour de la table. Toutefois, en mettant susamment souvent ave l'adresse MAC
de V en adresse sour e P peut rafra hir rgulirement la table et rendre sa modi ation prenne. De
ette faon le pirate reoit toutes les trames destines V, sa pla e. Si la table CAM omporte trop
d'entres elle nit par saturer et le swit h se omporte alors omme un hub, e qui peut tre intressant
pour espionner le rseau. Amener la table CAM du swit h saturation en envoyant plein de trame
ave des adresses MAC direntes s'appelle ooder le swit h. Si le swit h ne trouve pas l'adresse MAC
du destinataire dans sa table CAM il transmet la trame tous les ports - broad ast -. Il est possible
d'avoir plusieurs adresses MAC orrespondant un mme port. Exemple : Si je relie deux swit h entre
eux.
2 1

S2

S1

X
Y
Z

Fig.

2.2  swit h

Dans e as la table CAM de S1 omportera :


MAC X

Port 1

MAC Y
MAC Z

Tab.

2.2  Table CAM

Le swit h S1 ne sait pas qu'il est onne t un autre swit h, il sait juste qu'il y a plusieurs
adresses MAC derrire le port 1. Pour envoyer un message de broad ast il faut utiliser l'adresse de
broad ast : FF :FF :FF :FF :FF :FF. An d'augmenter la disponibilit du rseau, une ide pourrait
tre de relier deux swit h par deux bles. Ainsi en as de dfaut sur un ble le se ond ontinu
d'assurer la onnexion.
1

S1

1
A

S2

Z
Fig.

2.3  Bou le de ommutation

22

CHAPITRE 2.

LA COUCHE 2

Cette solution prsente un in onvnient majeur :


Dans le as d'un broad ast de A sur le swit h, le message est envoy via le port 8 du swit h1 et
le port 1 du swit h 2 tous les ports du swit h 2. Celui i rper ute le broad ast tous ses ports.
Don le port 2 du swit h 2 transmet un message de broad ast au swit h1 via son port 9. Le swit h 1
retransmet alors e broad ast tous ses ports. Don le port 8 le retransmet au swit h 2 via son port
1 et ainsi de suite. Le mme omportement peut tre observ pour le message arrivant sur le port 9
de S1 transmis via le port 2 de S2 tous les ports de S2 don au port 1 qui transmet au port 8 de
S1 qui broad ast tous ses ports don au port 9 et . Ce phnomne s'appelle le broad ast storm tempte de broad ast - et rsulte d'une bou le de ommutation. La onsquen e de e phnomne est
un eondrement du rseau.
2.4
2.4.1

Collisions sur un swit h


Prsentation du problme

Le swit h rpond la te hnologie store and forward, ar il joue le rle de tampon et les paquets
sont traits les uns aprs les autres et mis en relation dire tement ave le destinataire. Cependant la
mmoire n'est pas innie et doit tre alibre en fon tion de la taille du swit h et du dbit maximal
du rseau. Par exemple, pour un swit h de ports 100 Mbits il faut 100 n Mo de mmoire. Celle i
est appele le fond de panier.
D'autre part ave des paires torsades, il y a une paire en mission et une paire en r eption, il n'y
a don pas de ollision possible.
2.4.2

Con lusion

En alliant les paires torsades et la te hnologie store and forward, il n'y a plus de ollisions possibles.
Il n'est don plus n essaire de les traiter - plus de CSMA/CD -. C'est le full duplex. Le taux de transfert
est don amlior. Ave une arte 100Mbits le taux de transfert total peut atteindre jusqu' 200Mbits :
100 en mission et 100 en r eption. Le CSMA/CD est lui quali de half duplex.
1

Full duplex

Half duplex

Switch1
Full duplex
1
A

HUB1
Half duplex

Half duplex

B
Fig.

2.4  Half duplex et full duplex

Les ports du swit h doivent tre ongurs un par un, en full ou half duplex, en fon tion de
l'quipement onne t. Tous les ports d'un hub sont en half duplex, 'est une ontrainte matrielle.
Pour le swit h, seul le port reli au hub voit les ollisions, les autres, tant ongurs en full duplex,
ne les voient pas. Si le dbit est faible sur le rseau, 'est souvent un problme de onguration d'un
port du swit h - mauvaise option entre full et half duplex -. Cette onguration se fait sur le swit h
lui-mme, il est alors quali de  swit h administrable .

2.5. LES VLAN - VIRTUAL LOCAL AREA NETWORK -.

2.5
2.5.1

23

Les VLAN - Virtual Lo al Area Network -.


Intrt du VLAN

Aujourd'hui il y a des swit hs qui omportent 500 ou 1000 ports. onomiquement un gros swit h
est moins onreux que plusieurs petits. Une te hnologie a don t dveloppe permettant de sparer
de faon logique les ports entre eux. Certains ports sont regroups au sein d'un VLAN et deux VLAN,
bien qu'appartenant au mme swit h, ne peuvent ommuniquer entre eux.

VLAN1

VLAN2

B
Fig.

2.5  Les VLAN

Dans e as si A veut ommuniquer ave B 'est impossible. Tout se passe omme si VLAN1 et
VLAN2 taient deux swit hs dirents. De mme un broad ast reste onn sur son VLAN.
2.5.2

Ports Trunk

Si, disons une universit, dispose d'un ot de deux rseaux nomms Prof1 et lves1, et dans une
autre partie du btiment de deux autres rseaux nomms Prof2 et lves2, il serait intressant de
pouvoir mettre les deux rseaux Prof en ommuni ation, ainsi que les rseaux lves. Il faut don deux
bles - un par VLAN -, e qui suppose de tirer es deux bles peut tre sur de grandes distan es. Or
nous disposons d'un seul swit h de haque t il serait don pratique de pouvoir faire la onnexion
en utilisant un seul ble reliant les deux swit hs. Il a don t r les ports Trunk, il y en a un par
swit h et tous les VLAN du swit h peuvent y a der, du moins eux que l'administrateur autorise.
Pour garder la ondentialit du VLAN le swit h de dpart ajoute en tte de trame le numro du
VLAN d'origine : 'est le TAG.
TAG

TRAME ETHERNET

Tab.

2.3  VLAN TAG

Intrt : il n'y a plus qu'un seul ble. Le proto ole s'appelle 802.1Q.
Certains onstru teurs ont leur propre norme : -CISCO : ISL-, se pose alors le problme de l'inter onnexion entre deux swit hs de marque direntes, si au moins un d'entre eux ne respe te pas la
norme 802.1Q.
2.5.3

Attaque possible

Si je rajoute ma trame Ethernet, le TAG de l'autre VLAN, le swit h dpart rajoute mon TAG
la trame, que le swit h arriv d ode, mais omme il ne dte te pas de trame Ethernet il d ode le

24

CHAPITRE 2.

LA COUCHE 2

se ond TAG - elui que j'ai rajout -, don je peux a der l'autre VLAN. C'est e qu'on appelle le
saut de VLAN. Cette faille est, l'heure a tuelle, omble.
Le VLAN peut tre ongur soit par les ports qui lui sont ratta hs, soit par les adresses MAC,
soit en ore par une identi ation - login et password -. Un proto ole asso i l'administration des
VLAN est le proto ole 802.1x. Il permet, suite une authenti ation, de pla er un port dans un des
VLANs du swit h, de faon dynamique.

Chapitre 3

La ou he 3
Rle :

Cette ou he est responsable de l'inter onnexion de rseaux lo aux ainsi que de la fragmentation des datagrammes.
Pour raliser es t hes il sera n essaire de :
 dnir un proto ole,
 dnir une adresse, appele adresse IP (IP). Il n'est pas possible d'utiliser l'adresse MAC sinon
les ou hes 2 et 3 seraient lies, e qu'il faut viter -pour respe ter le modle OSI-.

3.1
3.1.1

Adresses IP rseau et adresses IP ma hine


L'adresse IP

Il serait souhaitable de dnir des adresses IP pour les ma hines -ordinateurs,...- mais aussi pour les
rseaux. Ces dernires sont obtenues gr e au masque rseau. Une adresse IP est une suite de quatre
o tets, rits en hexad imal, et spars par des points -exemple : 127.24.17.255 -. Il y a don 232 ,
soit environ quatre milliards, adresses disponibles. Aujourd'hui, pour Internet e nombre est tout juste
susant. Dans l'adresse IP une partie est ddie au rseau et l'autre aux ma hines le omposant. C'est le
masque qui permet de diren ier es deux parties. Une adresse IP n'est don valable qu'a ompagne
de son masque, sinon il n'y a au un moyen de sparer le rseau des ma hines dans l'adresse.

3.1.2

Le masque

Dnition
Dans le masque les bits odant le rseau sont tous positionns 1, eux odant les ma hines 0.
Par onvention, les bits odant le rseau sont toujours les bits de poids fort et les bits rseau et les bits
ma hine ne sont pas mlangs - pour simplier la gestion du rseau -. Ce nombre de bits est variable
d'o la n essit de onnatre le masque ave l'adresse.

Exemple : si l'adresse est 192.68.0.42 et que le rseau est od par les trois premiers o tets et les
ma hines par le dernier. Le masque vaut alors 255.255.255.0 Cette adresse dnit don la ma hine 42
du rseau 192.68.0
Une autre notation, plus synthtique est 192.68.0.42/24 - le 24 reprsente le nombre de bits un
dans le masque -. Dans le rseau de l'exemple pr dent il y a don 28 = 256 adresses ma hines
disponibles.
De nombreux exemples de dnition de rseau sont donns en exer i e orrig en annexe.
25

26

CHAPITRE 3.

LA COUCHE 3

Exemple
non tant donns l'adresse 192.168.4.26 ave le masque 255.255.240.0, trouvez la premire et
la dernire adresse d'une ma hine sur e rseau.
Corre tion

1. Il faut tout d'abord d omposer le masque : Les deux premiers o tets tant gaux 255 ils ne
sont omposs que de 1. La d omposition binaire de 240 vaut 11110000, le masque omporte
don 20 bits 1.
2. Ces bits sont xs pour toutes les ma hines de e rseau. Don pour toutes les ma hines l'adresse
ommen era par 192.168. ? . Il faut don dterminer partir de l'adresse donne la valeur des
bits xs du troisime o tet. La d omposition de 4 en binaire donne 00000100 don pour toutes
les adresses her hes les quatre premiers bits du troisime o tet vaudront 0.
3. L'adressage des ma hines se fait don sur douze bits - soit 212 adresses possibles-. La premire
adresse possible verra don es douze bits 0 et la dernire tous es bits 1.
Compte tenu de la valeur des bits rseau dtermine on obtient :
 premire adresse possible : 192.168.0.0
 dernire adresse possible : 192.168.15.255

Remarque
La dnition du masque impose, par onvention, d'avoir tous les 1 d'un t et les 0 de l'autre, e
qui permet :
 d'avoir la ontigut des bits
 d'avoir des masques ave 0,128,192,224,240,248,252,254 ou 255

3.2

Le datagramme ou paquet

Aprs avoir dni les adresses intressons nous la manire dont la ou he 3 ode les informations.
La  trame  de niveau 3 est appele datagramme ou paquet -le mot trame est rserv la ou he 2-.

3.2.1

Le datagramme

8 o tets

Long. Tot
2 o tets

Proto ole ou he 4
2 o tets
Tab.

IP sr
4 o tets

3.1  Datagramme IP

IP dest
4 o tets

DATA

3.3.

27

LE ROUTAGE

Bonjour

Couche 7
Couche 6
Couche 5

Bonjour

Bonjour

Bonjour

Couche 4
Couche 3
Couche 2
Encapsulation

Fig.

CRC

Couche 1

3.1  En apsulation des trames et paquets.

La taille de l'en-tte est don de 20 o tets. La taille minimale du datagramme est de 0 o tets de
donnes et 20 o tets d'en-tte. La taille maximale est de 65535 o tets. Si il y a moins de 44 o tets de
donnes, 'est la ou he 2 qui fait du bourrage pour atteindre les 64 o tets minimum de ou he 2. Dans
l'en-tte la longueur totale du datagramme est od sur deux o tets, sa valeur maximale vaut don
216 1 = 65535 o tets. Si le datagramme a une longueur suprieure 1500 o tets, qui est la limite
pour les datas des trames de ou he 2, la ou he 3 fragmente le datagramme. Le datagramme est elui
d'origine - de 65535 o tets de taille maximale-, le rsultat de la fragmentation est appel paquet - taille
maximale 1518 o tets -. C'est lui qui ir ule sur le rseau. Le datagramme est ensuite re onstitu sur
la ma hine de destination.

3.3
3.3.1

Le routage
Table de routage

Pour joindre un rseau donn, les routeurs utilisent une table de routage qui ontient les hemins
pour joindre un rseau donn. Il faut identier le rseau - adresse et masque -, et indiquer omment le
rejoindre gr e une passerelle judi ieusement hoisie. En fait on dnit une passerelle par dfaut,il
est don inutile de d rire toutes les possibilits. Il ne faut d rire que les rseaux qui ne sont pas
a essibles par ette passerelle.
Reseau 10.0.0.0 /24
R2
5

INTERNET
R6

R1

A
1

R3
R4

2
R5

4
Reseau 10.0.1.0 /24

La table de routage sera alors :

28

CHAPITRE 3.


1
2
3
4
0.0.0.0

MASQUE
/24
/24
/24
/24
0.0.0.0

Tab.

LA COUCHE 3

PASSERELLE
0.0.0.0
 IP de R3
 IP de R3
 IP de R3
 IP de R1

3.2  Table de routage

La ligne 0.0.0.0 dsigne la passerelle par dfaut. Aujourd'hui un gros routeur Internet a de l'ordre
de mille routes dans sa table de routage. Le routage dynamique -proto oles BGP, OSPF ...- permet
d'auto- ongurer les routeurs. Il gre aussi les sur harges du rseau. Pour viter les aller-retour entre
deux routeurs, dans le as o les tables de routages ne sont pas ohrentes, un TTL - Time to Live est pla dans l'en-tte du paquet, il est od sur un o tet. Il reprsente la dure de vie d'un paquet.
Initialement il reprsentait un temps mais de nos jours il reprsente le nombre de routeurs par lequel
le paquet peut passer - il est d rment de 1 haque routeur -. Quand le TTL atteint 0 le paquet est
jet et on envoie un message la ma hine mettri e pour lui indiquer que le paquet a t jet. Il y a un
petit risque que le message d'erreur fasse galement du ping-pong entre les deux routeurs, ependant
il ne peut pas gnrer de message d'erreur. Un tel phnomne est appel bou le de routage.

3.3.2

Exer i e

non

10.0.0.0 /24

R1

.1

.254
11.0.0.0 /24
.253
R2
.253
.252

12.0.0.0 /24
.254

R3
.254

13.0.0.0 /24

 Donner la table de routage de la ma hine A,


 Donner la table de routage du routeur R2.

INTERNET

3.4.

29

ADRESSES PARTICULIRES

Corrig


10.0.0.0
11.0.0.0
0.0.0.0
Tab.

PASSERELLE
11.0.0.254
0.0.0.0
11.0.0.253

3.3  Table de routage de la ma hine A



10.0.0.0
13.0.0.0
11.0.0.0
12.0.0.0
0.0.0.0

Tab.

3.3.3

MASK
/24
/24
0.0.0.0

MASK
/24
/24
/24
/24
0.0.0.0

PASSERELLE
11.0.0.254
12.0.0.252
0.0.0.0
0.0.0.0
12.0.0.254

3.4  Table de routage du routeur R2

volution des tables de routage

Dans les systmes modernes -XP et Linux-, il y a deux informations supplmentaires dans les tables
de routage.


MASK
Tab.

PASSERELLE

Interfa e

Mtrique

3.5  Table de routage moderne

si il y a plusieurs interfa es sur la ma hine - plusieurs artes rseau-, e hamps indique


laquelle utiliser.

Interfa e :

'est l'indi e de priorit, od par un hire de 1 20. Plus le hire est petit, plus
la route est prioritaire. Ces priorits sont dnies soit la main par l'administrateur, soit par
des proto oles de gestion dynamique type BGP.

se :Mtrique :

3.4
3.4.1

Adresses parti ulires


Adresses rserve

Des adresses ne peuvent tre ae tes des ma hines :


 l'adresse o tous les bits ma hine sont 0 : 'est l'adresse du rseau, elle est rserve.
 l'adresse o tous les bits ma hine sont 1 : adresse de broad ast du rseau.
 127.0.0.1/8 : 'est l'interfa e de ommuni ation lo ale. Elle est utilise lorsque la arte rseau sert
faire ommuniquer deux systmes internes une ma hine. Les paquets transitent par l'interfa e
rseau mais au un d'eux n'est mis sur le rseau. C'est e qui s'appelle l'interfa e de loopba k.
3.4.2

Exemple

Pour le rseau 10.0.0.0/16 la premire adresse, 10.0.0.0, et la dernire adresse 10.0.255.255, ne sont
pas utilises pour les ma hines. Elles reprsentent respe tivement l'adresse du rseau et l'adresse de
broad ast du rseau.

30

CHAPITRE 3.

3.5
3.5.1

LA COUCHE 3

Gestion des adresses IP


Problmatique

Le nombre d'adresses IP disponible n'est pas inni et se limite 232 , soit environ quatre milliards
d'adresses. Si je veux dnir un rseau de 130 ma hines, ompte tenu du masque il me faut oder
les ma hines sur huit bits 27 130 28 . Je bloque don 28 = 256 adresses IP. Il faut g her un
minimum d'adresses d'autant que,aujourd'hui,les limites de ette plage d'adresse ont t atteintes ave
le dveloppement d'Internet. Diverses solutions ont t envisages pour rsoudre e problme.
3.5.2

Passage IPv6

La solution simple, d'un point de vue thorique, onsiste augmenter le nombre de bits disponibles
pour oder les adresses IP. C'est la logique qui prvaut pour le nouveau proto ole IP -IP version 6-,
qui ode une adresse sur 16 o tets, au lieu de 4. Il pose nanmoins des problmes de mises en pla e,
au premier rang desquels son ot d'implmentation. En eet modier la taille de l'adresse suppose le
hangement de tous les matriels e qui reprsente un investissement prohibitif, d'autant que d'autres
solutions ont t trouves, qui repoussent la limite du nombre d'adresse IP disponible et rendent ainsi
le hangement moins ritique. Le passage IPv6 n'est don pas l'ordre du jour. Certains pays,
notamment en Chine, devant mettre en pla e une stru ture pour Internet ont fait le hoix de s'quiper
dire tement en matriel IPv6.
3.5.3

L'adressage CIDR

L'adressage CIDR -Classless Internet Domain Routing- permet d'appliquer n'importe quel masque
n'importe quelle adresse. Ce hangement remonte une dizaine d'anne. l'poque, il y avait des
lasses d'adresses A, B ou C.
 Class A : rassemblait les gros rseaux dont le masque tait 255.0.0.0 et dont les adresses allaient
de 0.0.0.0 126.0.0.0. Ils pouvaient omporter 224 1 soit environ 16 millions d'adresses ha un.
 Class B : rassemblait les rseaux dont le masque tait 255.255.0.0 et dont les adresses allaient de
128.0.0.0 191.255.0.0. Ils pouvaient omporter ha un 216 1, soit 65535 adresses.
 Class C : rassemblait les rseaux dont le masque tait 255.255.255.0 et dont les adresses ommenaient 192.0.0.0 .
Ces lasses, ave leurs masques xs, faisaient perdre beau oup d'adresses inutilement. Elles ont
t abandonnes la n des annes 1990, et ne sont ites que pour la ulture personnelle du le teur,
ertains ouvrages y faisant en ore rfren e bien qu'elles soient obsoltes. A l'heure a tuelle le masque
peut omporter n'importe quel nombre de bits 1.
3.5.4

Regroupement gographique d'adresses

Les plages d'adresses qui se suivent ont t regroupes gographiquement. Ce pro essus est toujours
en ours. Par exemple les plages d'adresses 11.0.0.0/8, 12.0.0.0/8, 13.0.0.0/8, et 14.0.0.0/8 ont t
regroupes aux USA. Du point de vue des adresses 'est don omme si on avait un seul rseau en
8.0.0.0/5. Il y a don moins de perte d'adresses. Cependant es solutions ne font que repousser le
problme de la famine en adresses IP. Le pro d qui permet de s'aran hir de la limite des quatre
milliards d'adresses est la NAT.
3.5.5

NAT - Network Address Translation-.

La NAT est un m anisme qui permet de a her un rseau omplet derrire une seule adresse IP.

3.5.

31

GESTION DES ADRESSES IP

INTERNET

Fig.

3.2  Prin ipe de la NAT

Toutes les adresses des ma hines du rseau prennent pour adresse d'expdition l'adresse du routeur.
Toutes les adresses du rseau sont don masques derrire elle du routeur. Le problme pos est que les
adresses que je donne mes ma hines dans le rseau ne doivent pas tre utilises ailleurs sur Internet
sinon des problmes de routage vont apparatre. La re ommandation
dnit des plages
d'adresses disponibles pour des rseaux lo aux :
 10.0.0.0/8
 192.168.0.0/16
 172.16.0.0/12
Ces adresses rseaux sont rserves un usage priv. Il est don n essaire d'utiliser la NAT pour que
les paquets reviennent au routeur qui, lui, onnat le rseau lo al. Le routage par le routeur vers le
rseau lo al est expli it dans le hapitre on ernant la NAT 1 .

RFC1918

3.5.6

non

Exer i e pratique

Le but est de ongurer un rseau 172.16.0.0/24 et un rseau 172.16.1.0/24. Puis ongurer une
ma hine pour qu'elle joue le rle de bas ule entre les deux rseaux.
A

1.48

172.16.1.0/24

0.48

172.16.0.0/24

Quelques ommandes Linux utiles


Changer une adresse IP sur une ma hine : if ong Interfa e IP mask
if ong eth0 172.16.0.11 255.255.255.0

A her la table de routage : netstat. -nr ou en ore route -n


1

voir 8 page 57

32

CHAPITRE 3.

LA COUCHE 3

route add -net reseau


netmask mask gw passerelle - gw : get away passerelle - route add -net 172.16.1.0 netmask

Ajouter une entre la table de routage pour atteindre un rseau :

255.255.255.0 gw 172.16.0.48

For er une route entre un rseau et une ma hine :

route add ma hine ma hine_dest gw ma-

hine_sr , permet de ommuniquer entre deux ma hines du mme rseau - ajout dans le  hier
host route add -host 172.16.1.X gw 172.16.0.45
route add default gw IPpasserelle

Ajouter l'entre default de la table :

Ralisation

Il faut tout d'abord ongurer haque ma hine du rseau en :


 lui donnant son adresse IP pour le rseau
 remplissant sa table de routage la main en indiquant une entre pour le rseau lo al et une
entre -default- pour l'autre rseau.
Pour pouvoir d larer deux interfa es, as de la ma hine assurant la bas ule, il faut d larer une
interfa e virtuelle eth0 :0 gr e la ommande if ong eth0 :0 IP netmask mask Cependant la ma hine
A n'est pas ongure en routeur,don , e stade, elle jette les paquets qui ne lui sont pas destins
mais sont pour l'autre rseau. Pour transformer une ma hine en routeur il sut d' rire un 1 dans le
 hier /pro /sys/net/ipv4/ip_forward. Si e  hier ontient un 1 le routage est a tiv, si il ontient
un 0 il ne l'est pas.

e ho 1>/pro /sys/net/ipv4/ip_forward
3.6

Exer i e

3.6.1

non

rire la trame d'un ping de la ma hine B par la ma hine A.


3.6.2

Corre tion

trames

MAC R1

MAC A

Proto 3
Tab.

Long

Proto 4

IP A

3.6  Trame quittant A

IP B

DATA

CRC

3.7.

33

ICMP

Passant R1 seules les adresses MAC hangent, e qui est normal vu que es adresses sont propres
aux rseaux lo aux.
3.6.3

Obtention des adresses MAC

Proto ole ARP


Pour obtenir l'adresse MAC de R1, onnaissant son adresse IP gr e la table de routage, il est
fait appel au proto ole ARP -Adress Resolution Proto ol-. Dans haque ma hine il y a une table ARP
mettant en orrespondan e des adresses IP et des adresses MAC. Chaque entre de ette table a une
dure de validit limite - un Time to Live -, pour pallier aux hangements de matriels, d'adresse IP,
et . Celui- i est de l'ordre de deux minutes. Si l'information n'est pas disponible dans la table ARP,
la ma hine lan e un broad ast demandant l'adresse MAC orrespondant l'adresse IP donne - soit
elle de R1 -. C'est la requte ARP.

Commandes sous Linux


 Pour voir la table ARP : arp - a
 Pour ajouter une adresse la table : arp -s
 Pour supprimer une adresse : arp -d

ARP poisoning
Si il y a une ma hine sur le rseau, P, qui rpond la requte ARP de A, aprs R1, elle modie la
table ARP de A, liant l'adresse IP de B ave sa propre adresse MAC. Pour e faire elle envoie la trame
suivante :
MAC A

MAC P

Proto 3

Long

Proto 4

IP B

IP A

CRC

Tous les paquets de A passeront don par P avant d'tre redirig, gr e la table de routage, et
la table ARP, de P vers le routeur R1. P voit don passer tout le tra . C'est e qui s'appelle le ARP
a he poisoning. Ce type d'attaque est di ilement parable. En fait il n'y a mme pas n essairement
besoin d'un broad ast ar haque ma hine, mme si elle n'a rien demand, re evant une rponse un
broad ast ARP met sa table ARP jour. La seule manire de se prmunir ontre une telle mena e
est d'ins rire  en dur  la table arp et d'interdire toute modi ation dynamique. La gestion du rseau
s'en trouve passablement alourdie.

Con lusion
Le proto ole ARP est mi hemin entre la ou he 2 -adresse MAC- et la ou he 3 -adresse IP-. Une
attaque arp est une attaque lo ale sur le rseau. Elle ne mar he pas ds que l'on sort de son propre
rseau, don pas sur Internet.
3.7

ICMP

Si il y un problme sur le rseau il n'y a pas moyen de le dbugger. Il a don t r l'ICMP -Internet
Control Message Proto ol-. Ce proto ole dispose d'un ertains nombre de messages qui permettent de
rsoudre les problmes lis notamment la ou he 3 et au proto ole IP.

34

CHAPITRE 3.

3.7.1

LA COUCHE 3

Messages ICMP

Il y a dirents messages.
e ho request
e ho reply
redire t

: une ma hine routeur indique qu'il y a un hemin plus ourt pour joindre la ible.

host unrea hable


network unrea hable
port unrea hable
TTL ex eeded

Redire t modie la table de routage de la ma hine qui le reoit. Il y a don moyen d'envoyer des
redire t pour dtourner le tra normal. C'est pourquoi, l'heure a tuelle, les ma hines n'a eptent
pas les redire t. Tous es paquets ne sont pas transmis par la ma hine l'utilisateur, il faut don
 snier  le rseau pour les voir.
3.7.2

Outils utilisant les messages ICMP

Ping

Cette instru tion orrespond deux messages ICMP : un e ho request et un e ho reply. Elle permet
de voir si une ma hine est visible sur le rseau.
Tra eroute

Cette instru tion permet de visualiser les routeurs par lesquels on passe pour aller sur une ertaine
ma hine.
Exemple : Tra eroute 82.230.89.213 Si la rponse est
1/R1 2/R2 3/R3 4/R2 5/R3 6/R2 ela
indique lairement l'existen e d'une bou le de routage. Don R2 ou R3 est mal ongur -ou les deux-.
Fon tionnement de ette instru tion Elle utilise un des messages ICMP et envoie une suite
de messages ave des TTL roissants - en ommenant par un -. Quand la ma hine ne reoit plus de
la part du rseau un message  TTL ex eeded  'est que la ible a t atteinte. Cependant le routage
tant dynamique, rien ne garantit que le message numro quatre suivra le mme hemin que le numro
inq. En pratique, il apparat que le hemin utilis varie peu. N'importe lequel des messages ICMP peut
permettre d'atteindre le but x. Sous linux 'est un message  udp , qui renvoie  port unrea hable 
destination. Windows, en revan he utilise un message  e ho request  qui se traduit par un message
 e ho reply  destination.

Chapitre 4

La ou he 4
Rle : ette ou he est harge de grer les onnexions appli atives. Comme pour les autres ou hes
il va nous falloir dnir des proto oles et des adresses.
4.1

Les proto oles de ou he 4

Il existe prin ipalement deux proto oles :


 TCP en mode onne t,
 UDP en mode non onne t.
Envoyer en mode non onne t 'est envoyer un paquet sans garantie qu'il arrive destination rappro her du ourrier standard-. En revan he si l'envoi a lieu en mode onne t, la ma hine de
destination a quitte la r eption des paquets - rappro her du tlphone ou du re ommand ave
a us de r eption-. En proto ole UDP, 'est l'appli ation qui gre la rexpdition. En tlvision et
en radio on utilise UDP, si la perte d'un paquet n'est pas prjudi iable, en revan he, le renvoi d'un
paquet n'a pas d'intrt vu que l'on a he ou met en temps rel. Il y a en ore quelques annes UDP
ne servait qu'au proto ole de rsolution de nom DNS1 , mais l'avnement de la radio et de la tlvision
par Internet dvelopp son utilisation. Le passage d'un proto ole l'autre est impossible. C'est le
on epteur du logi iel qui hoisit le proto ole utilis. Le TCP est parfois privilgi ar les rewalls
bloquent en gnral l'UDP, l'ex eption des requtes DNS.
4.2

Les adresses de ou he 4

Les ports jouent le rle d'adresse de ou he 4, et sont don les adresses des appli ations. Il sont
rits en d imal, sur deux o tets. Il y a don 216 1 soit 65535 ports disponibles. Certains ports sont
asso is des appli ations :

port 80 : utilis pour le web (http)


port 25 : utilis pour le mail en envoi de ourrier (smtp)
port 110 : utilis pour le mail en r eption de ourrier (pop)
ports 20 et 21 : utiliss pour ftp
...
Les ports numrots de 0 1023 sont rservs, sous UNIX, root - pas sous Windows - ontrairement
eux de 1024 65535 qui sont appels les ports levs. Les ports rservs sont les adresses destination
des appli ations re her hes. Historiquement, leur rservation permettait de garantir l'utilisateur que
le serveur avait t lan par un administrateur et non par un utilisateur quel onque. Les ports levs
1

e proto ole est dvelopp plus tard , hapitre 5, page 39

35

36

CHAPITRE 4.

LA COUCHE 4

sont utilises omme adresses lients - sour e-. Le port destination est vers une appli ation serveur, le
port sour e est hoisi par le lient. Si une ma hine ouvre dix pages web 'est haque fois le mme
port destination, mais il y a un port lev sour e ouvert pour haque page.
4.3
4.3.1

Le proto ole UDP


Retour sur la notion de datagramme

Un datagramme reprsente un ensemble de donnes dont il n'y a au une garantie qu'il soit orre tement a hemin. C'est pour ela que le terme datagramme UDP est utilis.
4.3.2

Datagramme UDP

Port SRC
2 o tets

Port DST
2 o tets
Tab.

Long Tot
2 o tets

CRC
2 o tets

DATA

4.1  Datagramme UDP

Le CRC porte sur tout le datagramme ar il peut y avoir des erreurs gnres lors du passage d'une
ou he l'autre. Cette en-tte est la plus petite de toutes les en-ttes.
4.3.3

tablissement et rupture de la ommuni ation

Le serveur tant en attente sur un port bas, le systme d'exploitation ouvre un port - sour e - pour
l'appli ation et garde en mmoire l'appli ation qui y est ratta h. Il peut ainsi renvoyer les informations
en provenan e du serveur. Si A her he joindre GOOGLE, ave en port sour e X, en UDP, sur le
port 25,alors que google utilise le port 80

4.4
4.4.1

U DP,25

ICM P

port unreachable

Proto ole TCP


tablissement et rupture de la ommuni ation

L'tablissement de la onnexion repose sur le three ways handshake - la triple poigne de main -.
Pour qu'une ma hine A tablisse une onnexion ave une ma hine B il faut :
A

SY N

SYN : paquet vide, 'est une demande de syn hronisation de la part de A

SY N +ACK

ACK : a knowledgement, 'est un a quittement


SYN : demande de syn hronisation de la part de B

ACK

ACK :a quittement de la part de A.

Tous es paquets sont vides et ne ontiennent que l'en-tte. La n de la ommuni ation se droule
de la mme manire. Si A n'a plus de donnes transmettre elle envoie un signal de n de onnexion :
Note : Si, la r eption du signal de FIN envoy par A, B a en ore des donnes envoyer elle
ontinue transmettre et n'enverra son signal FIN qu'une fois que toutes les donnes seront transmises.

4.4.

37

PROTOCOLE TCP

Le dernier FIN n'tant pas a quitt la ma hine qui l'envoie reste en oute pendant un temps dni
par le systme d'exploitation au as o il serait n essaire de le r-mettre.
Si A her he joindre GOOGLE, ave en port sour e X, en TCP, sur le port 25,alors que google
utilise le port 80
SY N,25

A G
RST,X
A G
4.4.2

Segment TCP

Port SRC
2 o tets

Port DST
2 o tets
Tab.

FLAGS
6 bits

URG POINTER
2 o tets

DATA

4.2  Segment TCP

Il y a dirents ags possibles, tous ods sur un bit :


SYN : ag de syn hronisation,
ACK : ag d'a quittement,
PSH : PUSH demande e que les paquets envoys soient traits en priorit,
URG : URGENT omparable PUSH mais ne porte que sur ertaines informations du paquet.
RST : RESET  Je ne veux plus parler ave toi , ou alors  il y a un problme dans la ommuni ation
re ommenons la syn hronisation .
Le URG POINTER - pointeur urgent- est utilis ave le ag URG pour indiquer la position des
informations traiter en priorit dans le paquet. Il pointe sur la n des donnes urgentes. Selon les
systmes d'exploitation il dsigne soit le dernier o tet urgent, soit le premier non urgent.
L'en-tte TCP omporte 20 o tets, plus ventuellement des options. Nous en avons identi un peu
plus de six jusqu' prsent. Les autres informations ontenues dans ette en-tte seront drailles au
hapitre 7.2
4.4.3

Remarque

Le proto ole TCP est destin faire ommuniquer une ma hine ave une autre ma hine. Don la
notion de broad ast n'a pas grand sens - elle suppose la ommuni ation entre au moins trois ma hines-.
Don le broad ast n'est pas support par TCP. Si n essaire, il faut avoir re ours UDP.3

2
page
3

53
voir hapitresA page 73

38

CHAPITRE 4.

LA COUCHE 4

Chapitre 5

Le proto ole DNS


Rle :

mondial.

5.1

Le but du DNS est de transformer un nom en adresse IP. C'est une information de niveau

Qu'est e que le DNS ?

Le DNS, ou Domain Name System, reprsente un proto ole ainsi que l'ensemble des ma hines
et logi iels qui parti ipent la rsolution des noms. C'est avant tout une base de donnes partage,
rpandue partout dans le monde. L'information est distribue entre dirents serveurs de part le
monde. Le proto ole DNS asso ie un FQDN - Fully Qualied Domain Name -, qui omprend un nom
de ma hine et un nom de domaine, et une adresse IP.
Exemple de FQDN : www.
| {z } google.com
|

machine

5.2

{z

domaine

Historique

la ration d'ARPANET il y avait une entaine de ma hines, soit une entaine d'adresses IP. Le
nombre de ma hines augmentant, l'ide d'asso ier un nom haque adresse IP est apparue dans le but
de simplier les adressages. C'est la ration des  hiers Host qui font l'asso iation entre le FQDN et
les adresses IP. Les utilisateurs faisaient es asso iations  la main  an de rer es  hiers. Ave
l'expansion d'Internet ette faon de faire n'est plus possible. C'est pourquoi le systme DNS a t r.
Il reprsente un systme hirar his de noms de ma hine. Le systme nomm Domain Name System,
a t mis au point en novembre 1983 -RFC 882 et RFC 883-, puis rvis en 1987 dans les RFCs 1034
et 1035. Le DNS a fait l'objet depuis de nombreuses RFCs.

5.3

Organisation du systme DNS

Le systme DNS est organis en arbores en e. Une fon tionnalit dynamique tant re her he, des
serveurs ont t ddis ette t he.
39

40

CHAPITRE 5.

LE PROTOCOLE DNS

com

google.com

fr

net

google.fr cfssi.net

org

domaine de niveau 1

domaine de niveau 2

Sous domaines

machines

Fig.

5.1  Arbores en e DNS

Cette arbores en e est de type unique et se lit de droite gau he : l'origine de l'arbre est droite
puis sont indiqus les domaines de niveau un puis deux, le sous domaines et enn l'extrme gau he la
ma hine. Il est ourant d'oublier le point nal, l'adresse indique -sans le point- est don une adresse
relative. Cependant, le m anisme rajoute systmatiquement le point la n de l'expression rtablissant
l'adressage absolu. Chaque noeud de l'arbores en e porte une tiquette d'une longueur maximale de
63 ara tres, appele nom de domaine. L'extrmit d'une bran he de l'arbre est appele hte, et
reprsente une ma hine ou une entit du rseau. Le FQDN est le nom omplet de l'hte omportant
tous les domaines et sous domaines spars par des points, par exemple  www.besssi. fssi.net. . La
profondeur maximale de l'arbores en e est de 127 niveaux et la longueur maximale d'un FQDN est de
255 ara tres. Les domaines sont grs par des entits direntes, d'o la distribution de la base de
donnes de part le monde. Chaque entit dispose de deux serveurs DNS - un serveur primaire et un
serveur se ondaire - pour assurer la ontinuit du servi e. Sinon, en as de rash du serveur il n'y aurait
au un moyen d'a der au domaine sinon en utilisant dire tement les adresses IP. Une entit unique
doit grer les serveurs ra ine - le  .  de l'arbores en e -. Il y en a seize au total -treize aux USA, un au
Japon, un au Royaume Uni et un aux Pays bas.-. Ils portent les noms de  a.root-servers.net   p.rootservers.net . Les trois derniers ont t mis en pla e pour asser le monopole amri ain qui avait la main
mise sur Internet. En faisant tomber les serveurs ra ine la majorit du rseau internet tombe, seuls
quelques initis pourraient ontinuer l'utiliser en se servant des adresses IP dire tement - ondition
de les onnatre-. Il n'en reste pas moins que l'inuen e amri aine est toujours prpondrante ompte
tenu du nombre de serveurs DNS hbergs. Les dirents serveurs ra ine sont tous des miroirs les uns
des autres. Certains serveurs sont exploits par des entreprises ommer iales. Ces entreprises peuvent
don re-router les paquets leur guise, vers des sites ommer iaux de leur hoix par exemple - e type
de drive a t observ de rares o asions-. Il existe deux atgories de TLD -Top Level Domain, soit
domaines de plus haut niveau- :
 Les domaines dits  gnriques , appels gTLD -generi TLD-. Les gTLD sont des noms de
domaines gnriques de niveau suprieur proposant une lassi ation selon le se teur d'a tivit.
Ainsi haque gTLD possde ses propres rgles d'a s :
 gTLD historiques :
.arpa orrespond aux ma hines issues du rseau originel ;
. om orrespondait initialement aux entreprises vo ation ommer iale. Dsormais e TLD
est devenu le  TLD par dfaut  et l'a quisition de domaines possdant ette extension
est possible, y ompris par des parti uliers.
.edu orrespond aux organismes du atifs ;
.gov orrespond aux organismes gouvernementaux ;

5.4.

ATTAQUE CONTRE LE SYSTME DNS

41

orrespond aux organisations internationales ;


.mil orrespond aux organismes militaires ;
.net orrespondait initialement aux organismes ayant trait aux rseaux. Ce TLD est devenu
depuis quelques annes un TLD ourant. L'a quisition de domaines possdant ette extension est possible, y ompris par des parti uliers.
.org orrespond habituellement aux entreprises but non lu ratif.
 nouveaux gTLD introduits en novembre 2000 par l'ICANN :
.aero orrespond l'industrie aronautique ;
.biz -business- orrespondant aux entreprises ommer iales ;
.museum orrespond aux muses ;
.name orrespond aux noms de personnes ou aux noms de personnages imaginaires ;
.info orrespond aux organisations ayant trait l'information ;
. oop orrespondant aux oopratives ;
.pro orrespondant aux professions librales.
 gTLD sp iaux :
.arpa orrespond aux infrastru tures de gestion du rseau. Le gTLD arpa sert ainsi la
rsolution inverse des ma hines du rseau, permettant de trouver le nom orrespondant
une adresse IP.
 Les domaines dits  nationaux , appels TLD - ountry ode TLD-. Les TLD orrespondent
aux dirents pays et leurs noms orrespondent aux abrviations des noms de pays dnies par
la norme ISO 3166.
.int

5.4

Attaque ontre le systme DNS

Il est don tabli que, l'heure a tuelle, faire tomber le systme DNS revient faire tomber Internet.
Une attaque visant dmontrer la faisabilit d'une telle attaque a dj t ralise. Cette attaque a
russi faire tomber dix des treize serveurs amri ains pendant une ourte dure. L'impa t de l'attaque
a t faible ar le serveur DNS, en mme temps que la rsolution de nom, donne une dure de validit
ette rsolution - en gnral de l'ordre d'une journe -. Don pour raliser une attaque e a e il faut
provoquer un dni de servi e pendant 24 heures sur les serveurs.
5.5
5.5.1

Rsolution d'un nom


Requte DNS

www.google. om

Le  www  reprsente don la ma hine - par onvention les ma hines serveur de web sont appeles
- et www.google. om est le FQDN. Je peux appeler une ma hine www.google. om.lalitte. om. si je
dispose du domaine  lalitte. om.  . C'est le point nal qui fait la diren e. Il n'y a au un moyen
de savoir o nit le nom de domaine et o ommen e le nom de ma hine. La rsolution est faite par
un logi iel appel  resolver . La question pose n'est en gnral pas omplte - pas de point nal
-. Ma ma hine appartient un domaine - disons iti.esiea.fr - et son resolver dispose d'un  hier de
onguration : resolv. onf. Ce  hier ontient le nom de domaine auquel ma ma hine est ratta he ainsi
que les adresses IP des serveurs DNS auxquels je dois m'adresser. Le resolver fait d'abord la requte
dans son domaine  www.google. om.iti.esiea.fr.  et interroge un serveur DNS rfren dans le  hier
de onguration. En as d' he le resolver re ommen e la requte en enlevant un domaine haque
fois - au moins un point -. Il interroge don dans l'ordre :
www

42

CHAPITRE 5.

LE PROTOCOLE DNS

 www.google. om.esiea.fr
 www.google. om.fr
 www.google. om
Cette dernire tentative aboutit enn.
A la onguration des serveurs DNS a he il sut d'indiquer l'adresse IP du serveur DNS ra ine.
Les autres adresses IP seront apprises au gr des requtes.
5.5.2

Exemple

 Viaris. fssi.lo al 
Domaine d'appartenan e de la ma hine : fssi.lo al
Si on demande viaris il trouve, en revan he si on demande viaris. il her he la ra ine DNS,don
ne trouve pas.
5.5.3

Exemple d'attaque

Si je gre un serveur DNS du domaine je peux rer un site ban aire fantme - www.bmp.fr. fssi.lo al
-. Les ma hines du rseau lo al her hant a der au site www.bmp.fr vont a der au site fantme.
5.6

Types de requtes DNS

5.6.1

Requte r ursive ou requte itrative

Quand un resolver fait une requte - www.inria.fr.- il y a deux types de requte : Soit le resolver
s'adresse un serveur de a he qui interroge les dirents serveurs sur internet. C'est une requte
r ursive : je pose la question et j'attend la rponse. Si le serveur a he ne onnait pas la rponse il
interroge le serveur ra ine. Celui i rpond qu'il ne onnait pas la rsolution - la ma hine www.inria.fr
n'est pas rfren e -, mais indique au a he  interroge fr dont l'adresse du serveur DNS est IPDNS. . Le serveur a he interroge alors fr. qui lui rpond  in onnu mais interroge inria.fr dont l'adresse
du serveur DNS est IP-DNS. . Le serveur de a he fait alors la requte et le serveur de domaine
inria.fr rpond  je onnais et l'adresse IP est 192.83.2.3 . Le serveur a he renvoit alors l'information
la ma hine. Don le resolver de ma ma hine pro de une requte r ursive mais le serveur de a he
met des requtes itratives. Le serveur a he - appel aussi serveur DNS lo al - possde son propre
resolver qui se harge des requtes itratives.
5.6.2

Exemple

non

Dterminer les requtes DNS pour les ommandes suivantes, ex utes l'une la suite de l'autre :
1. ping www.google. om.
2. ping www.yahoo. om.
Solution

Le serveur DNS lo al est interrog Le resolver DNS lo al interroge le serveur . :


rponse : in onnu mais interroge le serveur DNS de om. dont l'adresse IP est IP. Le resolver DNS
lo al interroge le serveur om. : rponse : in onnu mais interroge le serveur DNS de google. om. dont
l'adresse IP est IP. Le resolver DNS lo al interroge le serveur google. om. qui rpond : onnu l'adresse
IP est IPgoogle. Le resolver DNS lo al transmet l'adresse IP au resolver de la ma hine

www.google. om

5.7.

43

TYPES D'ENREGISTREMENTS

www.yahoo. om
Le resolver DNS lo al se souvient de la requte pr dente et interroge dire tement
le serveur DNS de . om. dont il onnait l'adresse IP. Celui- i rpond : in onnu mais interroge le serveur
DNS de yahoo. om. dont l'adresse IP est IP. Le resolver DNS lo al interroge le serveur yahoo. om. :
rponse : onnu l'adresse IP est IPyahoo. Le resolver DNS lo al transmet l'adresse IP au resolver de
la ma hine
C'est le serveur DNS qui fournit l'information, qui xe sa dure de validit.

5.7

Types d'enregistrements

Un DNS est don une base de donnes rpartie ontenant des enregistrements, appels RR -Resour e
Re ords-, asso iants un FQDN une adresse IP. En raison du systme de a he permettant au systme
DNS d'tre rparti, les enregistrements de haque domaine possdent une dure de vie -Time To Live-,
qui permet aux serveurs intermdiaires savoir s'il est n essaire de les revrier. Un enregistrement
DNS omporte gnralement les informations suivantes :
Nom de domaine -FQDNwww. fssi.net.
Tab.

TTL
3600

Type
A

Classe
IN

RData
185.115.255.215

5.1  Exemple d'enregistrement DNS

Il y a dirents types d'enregistrement en fon tion de la ma hine vise ou de la fon tion re her he.
- Start of authority - dnit le serveur : nom du serveur, numro de srie du  hier de onguration, time to live.
NS - nom de serveur - qui indique le serveur DNS de mon domaine. Il asso ie don un nom de serveur
DNS une adresse IP.
A - address - 'est l'enregistrement de base. Il assure la orrespondan e entre le FQDN et l'adresse
IP : j'envoie le nom de domaine et je r upre l'adresse IP.
MX - Mail ex hanger - orrespond au serveur de gestion du ourrier.Lorsqu'un utilisateur envoie
un ourrier le tronique une adresse  utilisateurdomaine , le serveur de ourrier sortant
interroge le serveur de nom ayant autorit sur le domaine an d'obtenir l'enregistrement MX.
Il peut exister plusieurs MX par domaine, an de fournir une redondan e en as de panne du
serveur de messagerie prin ipal. Ainsi l'enregistrement MX permet de dnir une priorit ave
une valeur pouvant aller de 0 65 535. Cet enregistrement asso ie don un nom de domaine ave
soit le FQDN, soit l'adresse IP du serveur de messagerie du domaine. Si je rentre en plus le nom,
j'ai dire tement l'enregistrement A en mme temps.
PTR Il asso ie l'adresse IP et le FQDN : j'envoie l'adresse IP et je r upre le nom de domaine.
HINFO hamp uniquement des riptif permettant de d rire notamment le matriel (CPU) et le systme d'exploitation (OS) d'un hte. Il est gnralement onseill de ne pas le renseigner an de
ne pas fournir d'lments d'informations pouvant se rvler utiles pour des pirates informatiques.
CNAME - annoni al name - Il asso ie deux FQDN, 'est un alias. Il est parti ulirement intressant
pour fournir des alias aux dirents servi es d'une mme ma hine.
SOA

Les autres hamps de l'enregistrement sont :


Classe : la lasse peut tre :
 IN pour les proto oles d'internet, il s'agit don du systme utilis
 CH -pour le systme haotique- ;
RDATA : il s'agit des donnes orrespondant l'enregistrement. Les informations attendues selon le
type d'enregistrement sont :

44

CHAPITRE 5.







5.8

LE PROTOCOLE DNS

A : une adresse IP sur 32 bits ;


CNAME : un nom de domaine ;
MX : une valeur de priorit sur 16 bits, suivi d'un nom d'hte ;
NS : un nom d'hte ;
PTR : un nom de domaine ;
SOA : plusieurs hamps.
Types de serveurs

Sur un mme serveur DNS je peux hberger plusieurs domaines - soit plusieurs zones -. Il faut alors
un  hier de onguration de zone par domaine.
5.8.1

Deux types de serveurs DNS

Il y a les serveurs de domaine et les serveurs relais - ou de a he -.


 serveur de domaine : il rpond aux requtes pour un domaine parti ulier - exemple fssi.lo al  serveur de relais ou de a he : rpond toutes les requtes - de tous les domaines - et peut
rpondre une requte sur un domaine parti ulier mais en la relayant d'autres serveurs DNS.
Il est aussi possible de dnir quelles adresses sont autorises interroger un serveur DNS.
5.8.2

Questions

Le serveur fr. doit il a epter les requtes r ursives ? Non, 'est un serveur de domaine, il serait
rapidement sur harg. C'est pourquoi il se limite aux requtes itratives.
Un serveur de domaine doit il a epter les requtes r ursives ? Non, voir la rponse pr dente.
Qui fait les requtes itratives ? Les serveurs DNS de relais ou de a he. Ils a eptent les requtes
r ursives.

5.9

Les outils DNS

5.9.1

Au niveau de la ma hine

Il peut s'utiliser de deux manires :


 nslookup FQDN
 nslookup puis au prompt
 >server IP. Il sert modier le serveur DNS asso i la ma hine.
 >set query = MX
 >FQDN

nslookup

Host, dig

plus r ents

- ontrolops.net - qui permet de faire des requtes en ligne, et permet de voir sa


zone DNS de l'extrieur.

online nslookup

: DNS utilise la fois l'UDP et le TCP. Le TCP est utilis pour les grosses
requtes - taille suprieure 512 o tets -. Don il utilise aussi TCP53.

Proto oles utiliss

5.9.2
Bind

Les outils serveur

C'est l'outil historique, la joie des pirates. En eet, tout le monde doit avoir du Bind pour
proter de DNS, don ds qu'une faille est trouve tout le monde est sus eptible d'tre attaqu.
Bind n'a pas t pens, au dpart, ave un obje tif de s urit. Il est en train d'tre entirement
refondu pour garantir une ertaine s urit.

5.9.

LES OUTILS DNS

45

DjbDNS C'est un outils r par Bernstein, trs s uris - Bernstein ore US$500 au premier qui

trouvera une faille -. DjbDNS dispose de sa propre li en e qui interdit toute modi ation sans
a ord du propritaire. Bernstein a galement dvelopp qmail qui est le serveur de messagerie
le plus utilis.

46

CHAPITRE 5.

LE PROTOCOLE DNS

Chapitre 6
Retour sur le proto ole IP
6.1

L'en-tte IP

6.1.1 Des ription de l'en-tte


4 bits
version

4 bits
IHL
TTL

1 o tet
TOS
IP ID
Proto ole

Options

3 bits
FLAGS
adresse IP sour e
adresse IP destination

Tab.

5 bits

1 o tets
LONG TOT
Frag oset
CRC en-tte

Padding

6.1  En-tte IP

version IPv4
IHL IP header length : longueur de l'en-tte.
TOS Type of servi e : dnit la priorit des informations.
LONG TOT Longueur totale du datagramme.- sur deux o tets don 65535 au maximum -.
ID 'est le numro d'ordre du datagramme, permet don de l'identier.
FLAGS Ils sont important pour la fragmentation, il y en a trois :

 X
 MF - More fragments - : Si le datagramme est fragment tous les fragments ont le ag MF
1 sauf le dernier. Il indique don que le datagramme n'a pas en ore t entirement reu.
 DF - Don't fragment - : Est pla pour tre sr que le datagramme ne soit pas fragment - e
qui suppose de vrier qu'il peut tre a hemin ave sa taille a tuelle-.

Fragment oset Cet oset indique la position du dbut de e fragment dans le datagramme d'origine.
TTL 'est la dure de vie du paquet
Proto ole indique quel est le proto ole de ou he suprieure.
CRC Uniquement al ul sur l'en-tte IP

6.1.2 Remarques sur l'ID et le Fragment oset


Fragment oset
Si le datagramme a une longueur de 1500 o tets et est fragment en mor eaux de 500 o tets :
47

48

CHAPITRE 6.

RETOUR SUR LE PROTOCOLE IP

 Pour le premier fragment l'oset vaut 0


 Pour le se ond il vaut 500
 Pour le dernier il vaut 1000
En fait et oset est od sur 13 bits e qui permet de oder des nombres de 0 8191 -213 1-, e
qui est largement insusant, ompte tenu que la taille maximale du datagramme est 65535 o tets - soit
216 1 -. Il est immdiat qu'il y a un fa teur 8 - 23 - entre les deux. C'est pourquoi le fragment oset
ode en fait la position du dbut du fragment dans le datagramme d'origine mais en multiple de huit
o tets. Il n'est don possible de fragmenter que sur un multiple de huit o tets. L'exemple pr dent
est don inexa t et la vrai valeur du fragment oset est don :
 Pour le premier fragment 0
 Pour le se ond il vaut 62
 Pour le troisime il vaut 124
 Pour le dernier il vaut 186
Il est don n essaire de faire un fragment supplmentaire, ar 500/8 = 62, 5 don sur haque
fragment quatre -0, 5 8- o tets sont perdus.
L'IP ID

L'IP ID est initialis de manire arbitraire au boot de la ma hine. Il est ensuite in rment de
un haque datagramme mis, indpendemment du message du port utilis... Malheureusement ette
dnition de l'IP ID re une faille de s urit. Celle i peut tre exploite gr e l'attaque nomme
 idle port s an .
Victime V

Ma banque.com
Pirate P

Internet

Fig.

6.1  S hma de l'attaque

Le pirate P veut attaquer le site de Ma banque. om. Cependant e site enregistre tous les tra s
don une attaque dire te se solde par une dte tion et le pirate est pris. L'ide est don de se faire
passer pour un tiers, la vi time V pour raliser l'attaque.
Phase de d ouverte

si P envoie un message SYN vers le site Ma banque. om en ayant forg un paquet o son adresse
IP sour e est elle de V.
Si le port destination est valide le site renvoie un paquet SYN+ACK V. Re evant une rponse
un paquet qu'il n'a pas envoy V renvoie alors un RST. Si son IP ID vaut X au dpart de la onnexion
et qu'il n'y a pas d'autres paquet envoys, l'issue de l' hange l'IP ID de V vaut don X+1 - il n'a
envoy qu'un datagramme : le RST -. Si le port destination n'tait pas ouvert le site Ma banque. om
renvoie un datagramme RST V. Celui i, qui n'a pas de raison parti ulire d'en attendre un l'ignore
et n'y rpond pas. Son IP ID vaut don toujours X. Don si l'IP ID de V augmente 'est que le port
hoisi est ouvert. Il reste un problme : P n'a pas d'a s dire t l'IP ID de v !
Droulement de l'attaque

6.2.

49

LA FRAGMENTATION

1. An de onnatre l'IP ID de V P envoie un datagramme V. Le paquet retour ontient l'IP ID,
IPID, de V et met n la onnexion si e n'est pas dj le as.
2. P envoie un paquet SYN Ma banque en se faisant passer pour V - adresse IP sour e : elle de
V -.
3. P envoie un nouveau paquet V et note l'IP ID ontenu dans le paquet rponse :
 soit il vaut IPID + 1 si le port utilis pour Ma banque. om est ferm.
 soit il vaut IPID + 2 si il est ouvert.
4. il est alors possible d'attaquer le site de Ma banque. om en blind ondition de ooder V pour
l'emp her de lui envoyer un RST aprs r eption d'un paquet.
Cette attaque a une limitation : il ne faut pas que V envoie de paquets entre temps e qui ferait
augmenter son IPID. Il n'est don possible d'attaquer que des sites pas trop frquents. Nanmoins
ette attaque est trs simple mettre en oeuvre. Le logi iel Nmap ave l'option -sI permet de la
raliser.
Parade

Il sut d'in rmenter l'IPID de faon alatoire. Par exemple le rewall Open BSD,
de manire alatoire la valeur de l'IP ID.
6.2

pf,

augmente

La fragmentation

La taille maximale d'un datagramme IP est de 65535 o tets or la taille maximale d'une trame
Ethernet est de 1518 o tets. Il va don tre n essaire de fragmenter les datagrammes avant de les
passer la ou he 2.

Fig.

6.2.1

6.2  La fragmentation

Prsentation

La taille maximale des paquets pouvant ir uler sur un rseau donn, don supporte par la ou he
2, est donne par la MTU - Most Transportable Unit -. Celle i est une ara tristique propre haque
rseau et est dnie pour le rseau lo al dans les paramtres de la arte rseau. C'est don gr e
la MTU que la ou he 3 sait omment fragmenter les datagrammes. Si la MTU volue au ours du
routage d'un rseau l'autre 'est l'OS du routeur onsidr qui va tre responsable de refragmenter les
paquets. Le r-assemblage s'ee tue au niveau de la ma hine destination. Le hemin suivi par ha un
des paquets n'a don au une importan e. L'OS de la ma hine origine fragmente pour se onformer au
MTU de son rseau lo al ensuite ha un des paquets mis peut tre refragment ou non en fon tion de
son hemin vers la ma hine destination qui sera harg de r-assembler tous les paquets pour retrouver
le datagramme d'origine.
6.2.2

Champs de l'en-tte IP on ernant la fragmentation

il identie le numro du datagramme d'origine. Tous les fragments d'un mme datagramme
auront le mme IP ID pendant tout le trajet. Si un paquet est refragment tous les nouveaux
fragments onservent l'IPID d'origine - puisqu'ils sont tous issus du mme datagramme.

L'IP ID :

50

CHAPITRE 6.

RETOUR SUR LE PROTOCOLE IP

Les ags :

Il y en a deux qui on ernent la fragmentation :


 MF : - more fragments - indique que le paquet n'est pas le dernier du datagramme d'origine.
Il est don positionn 0 uniquement dans le dernier fragment du datagramme.
 DF : - don't fragment - indique que le paquet ne doit pas tre fragment. Si il n'est pas
ompatible ave la MTU au ours de son trajet il est jet.

Le fragment oset :

il reprsente la position du dbut du fragment dans le datagramme d'origine.


Or il est od sur treize bits don il peut prendre des valeurs allant jusqu' 8191 e qui est
trop peu pour rendre ompte de la taille possible des datagrammes. Il ompte don la position
de la fragmentation en multiples de 8 o tets - et 8 8191 = 65528 -, e qui permet de d rire
entirement un datagramme.

Par exemple un paquet dont le fragment oset vaut 4 ontient le fragment du datagramme d'origine
qui ommen e l'o tet 32. Dans le as o un routeur doit red ouper un paquet il garde l'IP ID mais il
re al ule le fragment oset pour tous les sous paquets. l'arrive la ma hine de destination r-assemble
les dirents paquets. Si elle onstate un trou dans les osets, l'expiration d'un timeout elle jette
tous les fragments on ernant le datagramme et demande sa rmission.
6.2.3

Question

En utilisant un snier je vois passer sur le rseau des paquets de 1500 o tets, or 1500 n'est pas un
multiple de 8 !
Il est n essaire d'avoir re ours des multiples de huit uniquement si il y a fragmentation. Don
es paquets sont parfaitement valides, ils n'ont pas t fragments. Don le fragment oset set nul et
le bit MF est zro.
6.3
6.3.1

Exer i e d'appli ation


non

La ma hine A envoie un datagramme de 2000 o tets. rire les informations de l'en-tte IP relative
la fragmentation.
Machine A

MTU : 1500

R1
MTU : 500

Machine B

6.3.2

Corrig

NB : Il ne faut pas oublier les en-ttes IP. Le datagramme d'origine en omporte une mais tous les
fragments doivent aussi en avoir une.

6.4.

GESTION DU FLAG DF

51

sortie de A

La MTU sur le rseau lo al vaut 1500. Compte tenu de l'en-tte IP de 20 o tets il est possible de
vhi uler 1480 o tets maximum par paquet. Or 1480 est un multiple de huit et reprsente 185 blo s de
huit o tets. De plus le datagramme ontient une en-tte IP - 20 o tets -, don 1980 o tets de DATA
La ma hine A envoie don :
IPID, MF : 1, fragment oset : 0, envoi de 185 blo s de 8 o tets de DATA - 1480 o tets
-, reste 500 o tets de DATA ;

Paquet P1 :

Paquet P2 :

IPID, MF : 0, fragment oset : 185, le paquet ontient 500 o tets de DATA.

en R1

Il faut refragmenter puisque la nouvelle MTU est de 500. Il est possible de vhi uler 500 20 = 480
o tets de DATA par paquet, soit 60 blo s de 8 o tets. R1 envoie don sur le rseau :
 Pour le paquet P1 :
paquet P'1 :

IPID, MF : 1, FO : 0, envoi de 480/480 o tets ;

paquet P'2 :

IPID, MF : 1, FO : 60, envoi de 480/960 o tets ;

paquet P'3 :

IPID, MF : 1, FO : 120, envoi de 480/1440 o tets ;

paquet P'4 :

IPID, MF : 1, FO : 180, envoi de 40/1480 o tets ;

 Pour le paquet P2 :
paquet P'5 :

IPID, MF : 1, FO : 185, envoi de 480/1960 o tets ;

paquet P'6 :

IPID, MF : 0, FO : 245, envoi de 20/1980 o tets ;

Pour le paquet P'4 il n'est pas n essaire de pro der un padding puisque la taille des DATA
dans le paquet est un multiple de huit, e qui est garanti par la fragmentation ralise par la ma hine
d'origine. Elle d oupe le datagramme en multiples de huit o tets.
Remarque :

La MTU est dnie par la formule x 8 + 20 o tets, sinon la taille maximale des paquets de la
ou he IP ne pourra tre atteinte que pour des paquets tels que MF = 0.

6.4 Gestion du ag DF


Si un routeur reoit un paquet dont le ag DF est positionn 1, et que la MTU du rseau suivant
est infrieure la taille du paquet, le paquet est jet et un message ICMP est envoy l'adresse IP
sour e pour l'en informer. Cette proprit peut tre utilise pour dterminer la MTU optimale, 'est
dire la plus grande pour laquelle les paquets ne seront plus refragments jusqu' destination. C'est e
qui s'appelle le
.

path MTU dis overy

Prin ipe du path MTU dis overy

La mthode onsiste envoyer des paquets, en a tivant le ag DF, de taille importante et de faire
d rotre ette taille. Tant que la taille est suprieure une des MTU sur le trajet le paquet est rejet et
un message ICMP est envoy la ma hine d'origine. Don le premier paquet qui atteint la destination,
indiqu par une rponse de la ma hine destination, donne la MTU sur le par ours.

52

CHAPITRE 6.

RETOUR SUR LE PROTOCOLE IP

6.5 Exemple d'attaque utilisant la fragmentation


La taille minimale des paquet pour Ethernet est de 64 o tets. C'est ette taille minimale qui va
tre mise prot.
Les ports sour e et destination sont pla s en tte d'en-tte TCP. Don si la fragmentation est for e
juste aprs l'en-tte IP, quitte rajouter un peu de padding pour atteindre les 64 o tets minimum, les
numros de port seront situs dans le se ond paquet. Considrons que le rewall du rseau bloque le port
80 en sortie, don il n'est pas possible de se onne ter sur un site web. Compte tenu de la fragmentation
adopte, le rewall voit passer le premier paquet et n'a au une raison de le bloquer. Cependant, si il
a epte le premier paquet, il doit laisser passer tous les paquets lis ette onnexion1 . Don il laisse
s'tablir une onnexion sur le port 80, qu'il est ens emp her. Ave ette attaque tous les ports de
toutes les ma hines sont a essibles.

Parade
Il sut de xer omme rgle, pour le rewall, de refuser tous les paquets qui ne ontiennent pas
toutes les en-ttes de niveau 2, 3 et 4.
Une autre appro he onsiste faire r-assembler les datagrammes par le rewall.

6.6 Inuen e de la MTU


Le hoix de la MTU inue sur le dbit du rseau. Aujourd'hui, la plupart des rseaux sur Internet
utilisent Ethernet, don laissent passer les paquets de 1500 o tets, sinon 'est l'utilisateur de s'adapter.

voir le hapitre 9 sur les rewalls 63

Chapitre 7

Retour sur le proto ole TCP


7.1

Des ription de l'en-tte TCP

4 bits

6 bits

data oset

Rservs

port SRC

OPTIONS

CRC

6 bits

2 o tets
port dest
N de squen e
N d'a quittement
FLAGS
Window
URGENT POINTER
Bourrage
Tab.

7.1  En tte TCP

Les dirents hamps de ette en-tte sont :


PORT SRC

: dsigne le port sour e, 'est l'adresse utilise par l'appli ation de la ma hine.

: dsigne le port destination, 'est l'adresse utilise par l'appli ation sur la ma hine
destinataire.

PORT DEST

: 'est un pointeur qui indique le dbut des donnes, en fon tion du nombre d'options indiques dans le paquet.

DATA OFFSET

FLAGS
CRC

: 'est l que sont indiqus les dirents ags de ou he 4 : FIN, SYN, ACK, PUSH, URG...

: 'est un ode de orre tion d'erreur qui ne porte que sue l'en-tte de ou he 4.
: si le ag URG est indiqu, e pointeur indique la n des donnes urgentes.
La norme n'est pas laire, il existe don deux onventions : soit il indique le premier o tet non
urgent, soit il indique le dernier o tet urgent.

URGENT POINTER

Rserv

: es o tets sont inutiliss.

N de squen e

-.

: orrespond la quantits de donnes envoye l'autre ma hine - nombre d'o tets

: orrespond au nombre d'o tets de donnes reus de l'autre ma hine, permet


don de grer les rmissions par omparaison ave le numro de squen e.

N d'a quittement

7.2

M anisme de ontrle d'a heminement

Ce m anisme s'appuie sur l' hange des numro de squen e et d'a quittement entre les deux
ma hines.
53

54

CHAPITRE 7.

7.2.1

RETOUR SUR LE PROTOCOLE TCP

Exemple

Si une ma hine A envoie un segment ontenant 500 o tets de donnes une ma hine B ave un
numro de squen e 500 - nombre d'o tets envoys depuis le dbut de la onnexion- et un nombre
d'a quittement 0 - nombre d'o tets de donnes reus de la ma hine B depuis le dbut de la onnexion
-. Elle reoit en rponse 300 o tets de donnes de la ma hine B, ave un numro squen e 300 - A
a don reu tous les o tets depuis le dbut de la transa tion -, et un numro d'a quittement 0.
Il apparat don que la ma hine B a manqu un segment ou que elui- i n'a pas en ore trouv sa
destination.
500 octets

A B
300 octets

A B

7.2.2

Des ription

Il y a des segments de servi e en permanen e sur le rseau, hanges par les deux ma hines pour
rester syn hronises - haque ma hine peut ainsi savoir ou en est l'autre ma hine de la r eption des
infos envoyes -. Don si une ma hine, disons A, n'a pas d'informations envoyer, elle envoie des
segments ACK. Le numro de squen e est od sur quatre o tets, e qui permet d'viter d'avoir, pour
deux ma hines, le mme doublet - numro de port, numro de squen e - identiant une onnexion.
En eet, ontrairement l'exemple pr dent, le numro de squen e n'est pas initialis un en dbut
de ommuni ation, an d'viter les interfren es. Au moment de la onnexion, il faut don hoisir un
numro de squen e initial - ISN : Initial sequen e number - pour le premier paquet envoy. Au boot
de la ma hine, l'ISN vaut zro, puis il est in rment de 64000 par demi se onde et de 64000 de plus
pour haque onnexion TCP. Don si la ma hine a boot depuis une se onde et a tabli une onnexion
TCP ISN = 64000 2 + 64000 = 192000. Il y a don peu de han es que deux onne tions utilisent
les mmes numros de squen e. Le bou lage omplet de l'ISN prend environ neuf heures. A haque
fois que je veux ouvrir une onnexion TCP je hoisis don l'ISN pour le premier numro de squen e.
A

No

=0

ACK
o

seq =ISNA

No

=ISN +1

ACK
A

seq =ISNB

No

=ISN +1

ACK
B

seq =ISNA +1

B FLAG SYN pas de donnes


FLAGS SYN + ACK
FLAGS ACK

Dans le segment ontenant le ag SYN il n'y a pas de donnes, ependant, pour indiquer que le
SYN a bien t reu, le numro d'a quittement est in rment de un - idem pour FIN-. A e moment
la onnexion est tablie entre A et B.
A

50 octets

300 octets

50 octets

NS = ISNA + 51
NA = ISNB + 1
NS = ISNB + 301 NA = ISNA + 51
NS = ISNA + 101 NA = ISNA + 301

On assiste ensuite l' hange simultan de deux segments entre A et B

7.3.

55

L'ATTAQUE DE NOL

simult

B NS = ISNB + 501

NA = ISNA + 101

NS = ISNA + 121

NA = ISNB + 301

NS = ISNB + 601 NA = ISNA + 121


NS = ISNA + 121 NA = ISNB + 601
FLAG FIN
NS = ISNB + 601 NA = ISNA + 122 FLAGS ACK + FIN
NS = ISNA + 122 NA = ISNB + 602
FLAG ACK

200 octets
simult

20 octets
100 octets
F IN

ACK+F IN

ACK

7.3
7.3.1

L'attaque de Nol
Historique

C'est un d entre deux informati iens : Mitni k ontre Shimomura. Ce dernier lan e un hallenge :
je dispose d'informations protges sur une ma hine dont l'adresse IP est IP . Si tu peux t'en emparer
alors tu est plus fort que moi. Le dtail omis par Shimomura, tait qu'il travaillait pour le gouvernement
amri ain et que es informations taient lassies. Mitni k releva le d et gagna, ependant il fut
poursuivi par le gouvernement qui lui donna le hoix suivant : aller en prison ou travailler pour lui.
Mitni k hoisit la prison. Depuis il lui est interdit de s'appro her d'un ordinateur.
7.3.2

Stratgie

Mitni k dtermine d'abord que Shimomura dispose d'un ordinateur hez lui -IPSm- et que ette
ma hine est autorise se onne ter la ma hine IP . L'ide ensuite est une attaque le soir de
Nol, pour que les administrateurs soient ave leurs familles et non pas devant leur onsole. L'attaque
est une attaque en spoong - qui onsiste se faire passer pour une autre ma hine, en l'o uren e
elle du domi ile de Shimomura-, et plus pr isment en blind IP spoong. En eet la rponse de la
ma hine ible -IP - rpond toujours IPSm et non pas l'attaquant qui ne la voit don jamais.
7.3.3

Droulement de l'attaque

1. Mitni k envoie un SYN vers IP e qui lui permet de r uprer l'ISN de la ma hine ible en utilisant le temps oul et la rgle d'volution de l'ISN : + 64000 par demi se onde et par
onnexion TCP-.
2. Mitni k envoie un SYN la ma hine ible en forgeant un segment ave pour adresse IP sour e
l'adresse IP IPSm. La ma hine ible rpond IPSm SYN + ACK
3. partir du temps oul depuis le premier envoi, Mitni k al ule l'ISN de IP et envoie un
segment ACK, toujours ave pour adresse sour e IPSm.
En fait il envoie une srie de segments ave des numro de squen e d als de 64000 pour tre sr de
tomber sur le bon ave un des segments. Le three ways handshake a don t ralis, la onnexion est
tablie. Mitni k envoie alors une unique ommande, toujours ave l'adresse sour e IPSm, qui ralise
un e ho ++ dans et /rhosts e qui a pour onsquen e d'autoriser n'importe quelle ma hine se
onne ter sur la ma hine ible. Mitni k peut don se onne ter dire tement sur la ma hine ible pour
r uprer les  hiers lassis, objets du d.
En fait l'attaque ne mar he pas telle quelle. En eet, quand la ma hine du domi ile de Shimomura
-IPSm- reoit le SYN + ACK, alors qu'elle n'a pas envoy de SYN, elle doit renvoyer RST, interrompant la ommuni ation. Pour ontourner le problme, Mitni k a eu re ours au SYN ood. Le but est
de  ooder  la ma hine IPSm ave des messages SYN pour la saturer et l'emp her de traiter les
messages en provenan e de la ma hine ible. Elle n'est don pas en mesure d'envoyer le RST sa pile
TCP/IP tant pleine.

56
7.3.4

CHAPITRE 7.

RETOUR SUR LE PROTOCOLE TCP

Remarque

La onnexion ainsi tablie par Mitni k ave la ma hine ible lui permet d'envoyer des segments
mais pas de prendre des infos, la rponse tant systmatiquement envoye la ma hine IPSm.
7.3.5

La parade

L'attaque ainsi d rite est stru turelle, elle est lie la on eption mme du proto ole TCP. Cependant pour prvenir e type d'attaques les ISN sont maintenant gnrs alatoirement - les d alages ne
sont plus xs -. La gnration des ISN sont en fait le rsultat d'un pro essus pseudo alatoire. Don
en envoyant beau oup de paquets on peut remonter au gnrateur d'ala. Toutefois, aujourd'hui, le
spoong sur Internet est trs dli at mettre en oeuvre.

Chapitre 8
La tradu tion d'adresse : NAT

8.1

Introdu tion

La NAT -Network Address Translation - est un m anisme destin modier les adresses IP dans
l'en-tte d'un datagramme IP. Il re ouvre en fait dirents m anismes : NAT statique, NAT dynamique, port forwarding. Si le premier est un m anisme de ou he 3, en revan he les suivants utilisent
galement des informations de ou he 4.

8.2
8.2.1

La NAT statique
Le prin ipe

La NAT statique onsiste substituer n adresses IP externes n adresses IP internes. A haque


adresse IP interne est asso ie une adresse IP externe. Au passage du paquet, la seule a tion ee tue
par le routeur est de rempla er l'adresse sour e ou destination par l'adresse orrespondante.
8.2.2

Intrt de la NAT statique

Dans un rseau ongur en adresses prives si une ma hine veut envoyer un paquet sur Internet,
vers www.google. om. Dans l'en-tte IP, l'adresse en destination est elle de www.google. om, et
l'adresse IP sour e est, par exemple, 10.0.0.1. Lorsque google veut rpondre la requte il utilise
don pour adresse destination 10.0.0.1. Or les adresses prives ne sont pas routes sur Internet. En
onsquen e notre ma hine ne re evra jamais la rponse de Google. Pour rsoudre le problme une des
solutions est d'utiliser la NAT statique en asso iant n adresses prives n adresses publiques.
8.2.3

Le fon tionnement de la NAT statique.

Pour que notre ma hine puisse dialoguer sur Internet ave d'autres ma hines nous allons don
asso ier une adresse publique virtuelle son adresse prive. Le routeur va don tre responsable de
modier, dans l'en-tte IP du paquet, l'adresse sour e prive, pour les paquets sortants, par l'adresse
publique virtuelle, et pour les paquets entrants, l'adresse destination publique virtuelle par l'adresse
prive. Ainsi, notre ma hine est vue de l'Internet ave l'adresse publique. La NAT statique nous a don
permis de rendre une ma hine a essible sur Internet alors qu'elle possdait une adresse prive. Les
asso iations adresse publiqueadresse prive sont rpertories dans la table NAT du routeur.
57

58
8.2.4

CHAPITRE 8.

LA TRADUCTION D'ADRESSE : NAT

Avantages et in onvnients de la NAT statique.

L'asso iation d'une adresse IP publique une adresse IP prive, nous a permis de rendre une
ma hine a essible sur Internet. En revan he nous avons besoin d'une adresse publique par adresse
prive e qui ne nous aide pas rsoudre le problme de la pnurie des adresses IP. D'autre part
pourquoi ne pas utiliser dire tement les adresses publiques sans passer par les adresses prives ? En
fait la NAT statique apporte plusieurs avantages : tout d'abord il est souvent prfrable de garder un
adressage uniforme en interne et de ne pas mler les adresses publiques aux adresses prives. Ainsi,
si il faut faire des modi ations, hangements, interventions sur le rseau lo al, il sut de hanger la
orrespondan e entre les adresse prives et les adresses publiques dans la table NAT du routeur pour
rediriger les requtes vers un serveur en tat de mar he. D'autre part, on g he un ertain nombre
d'adresses lorsqu'on d oupe un rseau en sous-rseaux -adresse de rseau, adresse de broad ast...-,
omme pour une DMZ an de rendre ses serveurs publiques disponibles. Ave la NAT statique, on
vite de perdre es adresses.
Malgr es quelques avantages, le problme de pnurie d'adresses n'a toujours pas t rgl. Pour
ela, il va falloir avoir re ours un autre m anisme : la NAT dynamique.
8.2.5

Problmes de routage lis l'utilisation de la NAT statique -proxy ARP-

Proxy ARP
Ces problmes ne sont pas toujours ren ontrs lors de l'implmentation de la NAT statique. Si
elle- i est bien faite, tous les m anismes d rits devraient tre implments de faon transparente
pour l'utilisateur. Le premier problme ren ontr est elui de la redire tion d'un paquet vers l'adresse
virtuelle de la NAT statique.

10.0.0.254
Internet
193.22.35.42

10.0.0.1

Fig.

8.1  NAT

Considrons une ma hine 1, dans un rseau priv, faisant une requte vers le site www.google. om..
Le paquet est NAT au niveau du routeur ave omme adresse sour e l'adresse publique, disons
193.22.35.43, ainsi, le site www.google. om renvoie sa rponse vers ette adresse. Le paquet est rout
sur Internet et arrive sur le routeur Internet pr dant le routeur de notre rseau. Celui- i regarde
l'adresse de destination et observe qu'elle se situe sur le mme rseau qu'une de ses interfa es. Ainsi,
elle a maintenant besoin de l'adresse MAC de la ma hine 193.22.35.43 pour lui envoyer le paquet. Elle
fait don une requte ARP en demandant "Quelle est l'adresse MAC de la ma hine ayant 193.22.35.43
omme adresse IP ?" Or, sur e rseau, au une ma hine n'a ette adresse puisqu'il s'agit d'une adresse
virtuelle. Il faut don que le routeur -193.22.35.42- rponde lui-mme ette requte ARP. C'est e

8.3.

59

LA NAT DYNAMIQUE

que l'on appelle faire proxy ARP. Quand la NAT statique est implmente, le proxy ARP l'est souvent
automatiquement, ependant, il est bon de onnatre e m anisme si e n'est pas le as. Il y a plusieurs
faon de pallier e problme.
 mettre en pla e soit mme un m anisme de proxy ARP sur la ma hine faisant la NAT statique.
 ajouter une entre statique dans la table ARP du routeur Internet -pas le routeur faisant la NAT,
mais le premier routeur ren ontr aprs elui- i sur Internet-.
 ajouter une route host statique pour ha une des adresses virtuelles.

Routage sur la passerelle


Un se ond problme peut on erner l'quipement ralisant la NAT. Revenons l'exemple pr dent.

10.0.0.254
Internet
193.22.35.42

10.0.0.1

Fig.

8.2  NAT

Le routeur Internet envoie le paquet au routeur de l'entreprise. Celui- i reoit la trame Ethernet,
lit son adresse MAC en destination, il envoie don le ontenu des donnes la ou he IP. Celle- i lit
l'adresse 192.22.35.43 -l'adresse virtuelle de notre ma hine- en destination. Il va lire sa table de routage,
et :
 soit une route sp ique existe pour ette adresse pour rediriger le paquet vers le rseau interne,
 soit e n'est pas le as, et il sera renvoy sur l'interfa e externe du routeur, vu que l'adresse de
destination appartient au mme rseau que son interfa e externe 193.22.35.42 !
Don pour que la NAT fon tionne, il faut don qu'il y ait une route sp ique vers le rseau interne.
Pour dnir ette route il faut utiliser la ommande suivante :
route add -p 193.22.35.43 mask 255.255.255.255 10.0.0.1
Ainsi, quand le routeur re evra un paquet destination de l'adresse virtuelle 193.22.35.43, il le
redirigera bien vers l'adresse relle de la ma hine, 10.0.0.1.
8.3
8.3.1

La NAT dynamique
Le prin ipe

La NAT dynamique, aussi appele IP masquerading, asso ie une seule adresse publique n adresses
prives. Ainsi, un grand nombre de ma hines ayant des adresses prives peuvent a der Internet ! En
revan he, ette mthode possde quelques in onvnients. Contrairement la NAT statique, le routeur
qui ee tue la NAT devra la fois modier les adresses IP mais aussi les ports . C'est e qui s'appelle
le PAT - Port Address Translation -

60
8.3.2

CHAPITRE 8.

LA TRADUCTION D'ADRESSE : NAT

Le fon tionnement de la NAT dynamique

Le fon tionnement est un peu dirent de elui de la NAT statique. Reprenons l'exemple pr dent :
Cette fois, 'est l'adresse publique de l'interfa e externe du routeur 193.22.35.42 qui va tre utilise
pour sortir. Ainsi, lorsque le paquet arrive la ma hine de destination, www.google. om par exemple,
elle- i le renvoie vers l'adresse 193.22.35.42. Le routeur reoit don e paquet et lit que sa propre
adresse de destination. Comment faire la diren e entre un paquet qui lui est rellement adress et un
paquet destin une ma hine du rseau priv ? C'est gr e aux ports qu'il va pouvoir faire la diren e.
Ainsi, si une ma hine en interne fait une requte ave omme port sour e 2356, le routeur pourra savoir
que lorsqu'il re evra un paquet ave omme port destination 2356, il faut le rediriger vers la ma hine
en interne qui a initialis la onnexion. Il est don lair que deux ma hines ne doivent pas utiliser le
mme port sour e sinon le routeur ne sera plus apable de savoir qui il doit renvoyer le paquet. Or le
port sour e est hoisit par le systme d'exploitation don omment s'assurer que deux OS ne hoisiront
pas le mme port sour e ? En fait, pour un paquet sortant, le routeur va rempla er la fois l'adresse IP
sour e et le port sour e. Il hoisit un de ses port sour e libre et onserve dans sa table NAT le binme
adresse IP interneport interne en orrespondan e ave le numro de port qu'il a hoisi.
Machine A
Routeur
Internet
@IP interne
Port src A

Fig.

@IP routeur
Port src routeur

8.3  Nat dynamique en sortie du rseau lo al

Ainsi tout paquet revenant sur e port sera renvoy ave le binme adresse IP interneport interne
orrespondant de la table NAT vers la ma hine voulue et les paquets sortant du rseau lo al auront
aprs le passage du routeur un numro de port orrespondant la onnexion. Ces numros de port
seront dirents pour deux onne tions direntes - deux ma hines direntes en interne - puisque
'est le routeur qui les hoisi parmi ses ports disponibles.
Machine A
Routeur
Internet

Fig.

8.3.3

@IP interne

@IP routeur

Port dest A

Port dest routeur

8.4  NAT dynamique en entre du rseau lo al

rsum

La ma hine 10.0.0.1 veut se onne ter au site www.google. om, elle envoie don un paquet ave
omme adresse sour e la sienne, 10.0.0.1, et omme port sour e un port quel onque suprieur 1024
hoisit par son systme d'exploitation, soit par exemple 5987. Le paquet arrive au routeur ralisant la
NAT qui rempla e don l'adresse IP sour e par la sienne 193.22.35.42, et le port sour e 5987 par un de

8.4.

RENDRE LES MACHINES DU RSEAU LOCAL JOIGNABLES MALGR LA NAT

61

ses ports libres, 10000 par exemple. Il garde es informations de orrespondan e dans une table NAT.
Le paquet arrive a www.google. om qui le renvoie a 193.22.35.42. Le paquet arrive au routeur, il voit
que l'adresse destination est lui-mme, il regarde don le port destination qui est 10000 puis onsulte
la table NAT pour avoir la orrespondan e. Il envoie don e paquet 10.0.0.1, tout en ayant modi
le port destination 10000 en 5987 qui est le port sur lequel 10.0.0.1 a initialis la onnexion.
Il est ainsi possible de masquer autant de ma hines que n essaire derrire une seule adresse publique ! Inversement la NAT permet des ma hines ayant des adresses prives d'a der Internet.
En revan he elle ne permet pas es ma hines d'tre joint depuis Internet. En eet pour une trame
sortante le routeur qui fait la NAT reoit les informations adresse prive et port priv ave la premire
trame sortante et 'est es informations qui lui permette de rediriger les trames rponse. En revan he
pour une trame entrante il a pour seule information l'adresse IP destination - la sienne -, le port destination - elui de l'appli ation - mais il n'a au un moyen de retrouver quelle ma hine interne la trame
est destine. La NAT ne permet don pas de rendre un serveur a essible de l'extrieur. D'autre part,
mme si e n'est pas le but de la NAT, le fait que les ma hine internes ne soient pas a essible de
l'extrieur permet un petit gain de s urit.
8.3.4

Problmes lis la NAT dynamique

Ave le proto ole ICMP


La Nat dynamique repose don sur l'utilisation des ports de ou he 4, or ertains proto oles utiliss
sur le rseau n'y ont pas re ours - par exemple ICMP, Netbios... -. Considrons le proto ole ICMP,
'est un proto ole de ou he 3, il n'utilise don pas les ports de ou he 4. Il n'est don pas possible
d'implmenter la NAT. Or le proto ole ICMP est largement implment. Il faut don adapter la NAT
pour lui permettre d'agir sur le tra ICMP. Les ports n'tant pas disponibles, 'est l'identiant ICMP,
situ dans l'en-tte ICMP, qui va tre utilis leur pla e. Le reste du m anisme est in hang. Enn
ertains paquets ICMP ontiennent dans leurs data des informations sur le datagramme IP ayant aus
l'erreur. Pour que l'information apporte la ma hine mettri e soit exploitable il est don n essaire
que le routeur qui fait la NAT les modie.

Ave le proto ole FTP


Le proto ole FTP utilise deux onnexions en parallle. La premire sert au ontrle de la onnexion
et la se onde au transfert des donnes. Ce proto ole peut fon tionner en mode a tif ou en mode passif.
En mode passif 'est le lient qui initialise les deux onne tions sur les ports 20 et 21. Il n'y a don pas
de problme ave la NAT. En revan he, en mode a tif, le lient initialise la onnexion de ontrle, mais,
lorsque des donnes sont demandes, 'est le serveur qui initialise la onnexion de donnes. Or omme
nous l'avons dj remarqu pr demment, il n'est pas possible d'initialiser une onnexion partir
de l'extrieur du rseau lo al ave la NAT dynamique. Enn, le proto ole FTP ontient des donnes
relatives aux adresses des ma hines, e qui n'est pas sans in iden e sur la NAT. Don pour utiliser le
proto ole FTP ave de la NAT il faut pouvoir lire les informations ontenues dans les donnes FTP,
e qui n essite l'utilisation d'un proxy 1 qui sera apable de suivre la onnexion et de modier les
donnes du paquet ftp.
8.4

Rendre les ma hines du rseau lo al joignables malgr la NAT

Dans le as de la NAT statique a ne pose pas de problmes parti ulier en revan he ave la NAT
dynamique nous avons vu que e n'tait pas possible dire tement. Il existe deux m anismes, que nous
allons tudier permettant de rsoudre e problme : le port forwarding et le port mapping.
1

voir 8.5 page 62

62
8.4.1

CHAPITRE 8.

LA TRADUCTION D'ADRESSE : NAT

Le port forwarding

Le port forwarding permet de rediriger un paquet vers une ma hine pr ise en fon tion du port
destination ontenu dans le paquet. C'est asso ier un port une adresse IP en entre du rseau. Tous
les ayant e port en destination seront redirigs vers la mme ma hine. Il est ainsi possible d'initialiser
une onnexion de l'extrieur du rseau lo al vers une ses ma hines - une seule onnexion est possible
par port -. Ainsi si le une ma hine du rseau hberge un serveur FTP, il sut de ongurer le routeur
pour qu'il redirige toutes les onnexions vers le port 21 sur ette ma hine. Elle devient ainsi joignable
de l'extrieur. Le routeur asso ie le ouple -adresse IP interne, port 21- port 21. Le port forwarding
nous permet don de rendre des ma hines du rseau lo al visibles depuis Internet en ayant une unique
adresse publique.
8.4.2

Le port mapping

C'est un pro d omparable au port forwarding, sinon qu'il ne modie galement le port de
destination. Il redirige une requte sur un port X vers un port Y. Par exemple si une des ma hines du
rseau lo al hberge un serveur web a essible via le port 8080 depuis le rseau lo al, et qu'il doit tre
visible depuis Internet, il sut de rediriger le port 80 vers l'adresse du serveur et le port 8080. Ainsi
les internautes a deront au serveur web en utilisant le port standard.
8.4.3

Les limites du port forwarding

Nous avons don vu qu'il tait possible d'asso ier un port ave une ma hine en interne pour une
adresse publique. Don si le rseau lo al hberge plusieurs serveurs du mme type - disons FTP - il
faudra autant d'adresses publiques que de serveurs FTP, ha un tant ratta h une adresse publique.
8.5
8.5.1

Les proxys
Prsentation

Un proxy est un intermdiaire dans une onnexion entre le lient et le serveur. Le lient s'adresse
toujours au proxy et 'est lui qui s'adresse ensuite au serveur. Le proxy fon tionne pour une appli ation
donne - http, ftp, smtp, et . -. C'est don un lment de ou he appli ative 7. Il est don apable
de modier les informations ontenues dans les trames - il est familier ave l'appli ation utilise -.
En ontrepartie, il faut un proxy par appli ation. Cependant beau oup de produits sous l'appellation
proxy sont en fait des multi-proxys, apables de omprendre la plupart des appli ations ourantes. En
revan he, il faut diren ier le proxy des fon tionnalits omplmentaires qui lui sont souvent asso ies.
Faire de la NAT, ou raliser un serveur a he ne sont que des fon tionnalits additionnelles, mme si
elles sont souvent utiles. En eet, omme il entralise l'a s l'Internet il reprsente un tranglement
des ux entrants et sortant. Le fait de garder en a he les pages web permet d'amliorer les performan e
si plusieurs utilisateurs her hent a der au mme site web. D'autre part tous les paquets devant
passer par lui la NAT est souvent n essaire et il modiera les adresses des paquets. Cependant e
n'est pas systmatiquement le pro essus employ.

Chapitre 9

Les Firewalls
9.1 Introdu tion
Un rewall, aussi appel pare-feux ou garde-barrires, est un programme, ou un matriel, harg
de vous protger du monde extrieur et de ertains programmes malveillants pla s votre insu sur
votre ordinateur. Pla entre vous et Internet, le rewall ontrle tout e qui passe, et surtout tout e
qui ne doit pas passer de l'un vers l'autre.

9.2 Les dirents types de rewall


Il y a trois types de rewalls : eux qui ralisent un ltrage simple, un ltrage tats et les proxys.

9.2.1 Le ltrage simple


Le rewall ne fait qu'une vri ation sur les dirents sur les direntes en-ttes prsentent dans
les trames Ethernet. Il faut parfaitement matriser les prin ipes TCP/IP et mettre en pla e plusieurs
rgles pour identier un ux.

9.2.2 Le ltrage par tats


Le rewall possde une table dans laquelle il onserve l'tat des onnexions a tives. Ainsi, il peut
savoir si un paquet appartient une onnexion a tive gr e au quadruplet adresse IP sour e et destination et ports sour e et destination. Pour une onnexion TCP le premier message SYN est ltr et
plus les suivants, asso is la mme onnexion. Ces rewalls oprent don en ou hes trois et quatre
et ils reprsentent 95% des rewalls dploys.

9.2.3 Les proxys


Le rewall joue le rle d'un proxy, 'est dire d'un mandataire appli atif qui sait interprter les
donnes appli atives. Ainsi, le ltrage peut remonter aux donnes de ou he 7.

9.3 Le ltrage sous Linux


Linux possde un moteur de ltrage intgr au noyau - depuis le 2.4 -, Netfilter qui est un rewall
tats. Le pr dent moteur de ltrage, jusqu'au noyau 2.2, ip hain ralisait un ltrage simple. Netlter
se ongure travers une interfa e en ligne de ommande qui est l'utilitaire iptables. Netlter permet
le ltrage, mais aussi la translation d'adresses - port forwarding -, le taggage des paquets,...
63

64

CHAPITRE 9.

LES FIREWALLS

9.3.1 Fon tionnement de Netlter

Ar hite ture gnrale


Le ltrage est ralis dirents niveaux : avant, aprs le routage et avant ou aprs la NAT.
Les paquets reus suivent un ertains nombre d'tapes avant d'tre traits par la ma hine ou d'en
ressortir. Netlter possde trois tables prin ipales - MANGLE, NAT et FILTER - qui ont ha une un
rle dirent. La table MANGLE sert modier les paquets, la table NAT ee tuer la tradu tion
d'adresses et la table FILTER ltrer. Cha une de es tables possde des rgles prin ipales - par
exemple pour FILTER les hanes INPUT, OUTPUT et FORWARD -, mais il est galement possible
de rer des hanes personnalises.1
CARTE
RESEAU

Paquet
arrivant

MANGLE
Prerouting

NAT
Prerouting

Routing
Decision
MANGLE
INPUT
FILTER
OUTPUT

MANGLE
FORWARD

Routing
Decision

FILTER
FORWARD

MANGLE
OUTPUT
NAT
OUTPUT
FILTER
OUTPUT

MANGLE
Postrouting

NAT
Postrouting

CARTE
RESEAU

Sortie dun
paquet

L'endroit o est ralis la NAT n'est pas sans in iden e sur le ltrage. Nous allons don mettre en
pla e des rgles ave des ritres au sein de es hanes et les paquets seront ltrs si ils on ident
ave les ritres des rgles. Chaque rgle ontient don des ritres - ag SYN, ag ACK, port X... ainsi que des a tions ee tuer.
1

voir le tutoriel d'OSKAR ANDREASSON

9.3.

LE FILTRAGE SOUS LINUX

65

Le ltrage tats
Netlter possde un moteur tats qui permet de dire si un paquet appartient une onnexion
dj tablie. Un paquet peut avoir les tats suivants :
NEW : premier paquet de la onnexion
ESTABLISHED : partir du se ond paquet
Client
Firewall
Serveur
SYN
NEW
SYN / ACK
ACK ESTABLISHED

RELATED : Par exemple sur une onnexion en UDP, si le serveur tombe, il rpond par un message
ICMP  host unrea hable . Netlter regarde alors dans le paquet ICMP qui ontient une partie
du paquet d'origine. Il est don lass RELATED par Netlter qui le laisse passer - RELATED
signie don li une onnexion dj tablie -. Il en est de mme ave une onnexion FTP qui
omprend en fait deux onnexions sur les ports 20 et 21 mais sont lies.

INVALID

Ces ritres pourront tre pris en ompte dans une rgle.


9.3.2

Le fon tionnement de iptables

Iptables permet d' rire les rgles qui seront interprtes par Netlter. Les rgles sont du type :

iptables -t TABLE -A CHAINE -xxx CRITERE -j ACTION

TABLE : dsigne la table dans laquelle la rgle sera insre - NAT, MANGLE, FILTER -par dfaut-

CRITERE : permet de renseigner les ritres de hoix - adresse IP sour e, port destination...ACTION : peut prendre les valeurs ACCEPT, DROP, LOG, envoi dans une hane.
Par exemple pour autoriser les dbuts de onnexion http vers la ma hine il faut utiliser :

iptables -t filter -A INPUT -m state state NEW -p t p -dport 80 SYN -j ACCEPT

Ds que Netlter ren ontre une rgle appli able au paquet il arrte la re her he et ex ute les
a tions orrespondantes. Il n'y a qu'une ex eption ette rgle 'est si l'a tion est  LOG  Il est don
possible d'ee tuer deux a tions si l'une d'elle est LOG - exemple LOG et DROP -.
L'ide de base est que tout e qui n'est pas expli itement autoris doit tre interdit. Don il faut
rire les rgles pour les paquets utiliss et la dernire rgle doit tre un DROP de tous les paquets qui
ont russi passer.
Conguration par dfaut Le traitement des rgles se fait don dans l'ordre d'apparition de elles i. Ds qu'un paquet on ide ave une rgle elle i lui est applique et le pro essus de ltrage est
interrompu pour le paquet. Si au une rgle ne s'applique au paquet 'est la politique par dfaut qui
est applique. C'est l'option -P qui dnit la politique par dfaut.
Par exemple, pour dnir une politique de rejet de tous paquets il faut :
Iptables -P INPUT DROP
Iptables -P OUTPUT DROP
Iptables -P FORWARD DROP

9.3.3

La tradu tion d'adresses

Pour la tradu tion d'adresses il y a trois ibles supplmentaires possibles : SNAT, DNAT, MASQUERADE. Par exemple pour faire de la NAT dynamique derrire une adresse IP Internet 194.2.232.1
il faut rire :

66

CHAPITRE 9.

LES FIREWALLS

Iptables -t nat -A POSTROUTING -o eth0 -j SNAT to -sour e 194.2.232.1


ou en ore :
Iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE to -sour e 194.2.232.1
Cette rgle re impli itement deux rgles : une pour les paquets sortant et une pour les paquets
entrant. Un rewall est don en quelques sortes un routeur amlior.
Pour dnir une hane personnalise il faut rire :
Iptables -N CHAINE

9.4 Liste des prin ipaux ports


 Port 20 Ce port est utilis lors des onnexions FTP dynamiques.
 Port 21 Ce port est utilis pour les onnexions FTP - tl hargement de logi iels -.
 Port 25 Ce port est utilis pour les onnexions SMTP - envoie de votre ourrier vers le serveur
de votre FAI -.
 Port 53 Ce port est utilis pour les requtes DNS. Celles i permettent, entre autre, de trouver
l'adresse orrespondant au site que vous her hez atteindre.
 Port 80 Ce port est utilis pour les onnexions HTTP, autrement dit haque fois que vous
surfez.
 Port 110 Ce port est utilis pour les onnexions POP3 - tl hargement de votre ourrier depuis
le serveur de votre FAI -.
 Port 119 Ce port est utilis pour les onnexions NNTP. C'est--dire la le ture des forums Usenet.
 Port 443 Ce port est utilis pour les onnexions HTTPS, savoir les onnexions vers des sites
web "s uriss".

9.5 Une onguration standard







Fermer tous les ports, en entre omme en sortie, et en TCP omme en UDP ;
Interdire tous les paquets ICMP entrer ou sortir de l'ordinateur ;
Autoriser les paquets ICMP "E ho Request" sortir de l'ordinateur ;
Autoriser les paquets ICMP "E ho Reply", "Destination Unrea hable" et "Time Ex eeded for a
Datagram" rentrer ;
 Ouvrir le port 53 dans les deux sens ;
 Autoriser le navigateur Internet sortir vers les ports 80 et 443 ;
 Autoriser le le teur de ourrier sortir vers les port 25 et 110 ;
 Autoriser le le teur de news sortir vers le port 119 ;
 Autoriser le le teur de news sortir vers le port 25 ;
 Autoriser le logi iel de FTP sortir vers le port 21 ;
 Autoriser le logi iel de FTP re evoir des donnes en provenan e du port 20 ;
A noter que selon le rewall, les deux premires rgles - elle interdisant toute onnexion en TCP
et UDP, et elle bloquant tous les paquets ICMP - peuvent tre pla er aprs toutes les autres rgles.

Chapitre 10

Introdu tion au proto ole SSH


Introdu tion
Le proto ole SSH - Se ure SHell - permet d'obtenir un shell sur une ma hine distante

10.1 Dnition
SSH est une appli ation permettant d'a der une ma hine distante de faon s urise. Elle se
pla e dans la ontinuit des appli ations telnet, RSH ou Rlogin qui bien que toujours utilises par des
appli ations - notamment telnet -, ne sont pas s urises. Par exemple ave telnet lors de la onnexion
distante, le mot de passe ir ule en lair sur le rseau. Don , les mots de passe onnexion distante et
systme n'tant pas d orls il est possible de voir le mot de passe root en lair sur le rseau, ave
tout e que ela implique. SSH est don une appli ation mais le terme re ouvre galement le proto ole
asso i. L'appli ation la plus utilise est OpenSSH qui s'appuie sur le proto ole SSH1 ou SSH2.

10.2 Quelle est l'utilit de SSH ?


Cette appli ation permet :
 permet d'obtenir un a s distant une ma hine ave authenti ation, intgrit et ondentialit.
Dans ertains pays es qualits de base sont ajoutes aux trois fon tions de s urit : la non
rpudiation1 et l'auditabilit.
 permet de faire du X11 forwarding - don d'avoir une interfa e graphique sur une ma hine
distante -.
 permet de faire du transfert de  hiers s uris - SCP ou SFTP -. Ave FTP se pose le problme
du routage et de la ir ulation du mot de passe en lair. SFTP simule du FTP et SCP fait du
transfert  hier par  hier.
 permet d'en apsuler un autre proto ole. Par exemple pour dialoguer en telnet, qui est gnralement bloqu par les rewalls, il sut d'utiliser SSH en sortie de ma hine pour en apsuler telnet,
les rewalls laissent alors passer les paquets qui sont vus omme SSH.
1

qui onsiste emp her quelqu'un de dire  je ne l'ai pas fait  si 'est le as

67

68

CHAPITRE 10.

INTRODUCTION AU PROTOCOLE SSH

10.3 Limite des rewalls

Internet

Machine A

Port 80

Si le rewall ne laisse passer que les paquets destination du port 80 en sortie il sut d'envoyer
les informations la ma hine A sur le port 80, l'aide du proto ole SSH, mais en rajoutant dans la
trame un autre proto ole :
Don pour ltrer au niveau du rewall il faut monter en ou he appli ative pour vrier que le
proto ole utilis ave le port 80 est bien http. C'est le rle du proxy en omplment du rewall.
Cependant mme un proxy prsente des failles. En eet, le port https est le port 443, mais sur le port
https les paquets sont hirs, don le rewall ne peut pas lire les donnes de la ou hez appli ative.
Il devient don possible de faire passer SSH malgr le proxy.

10.4 Les avantages du proto ole SSH


10.4.1

Les avantages fon tionnels

Il y a deux avantages fon tionnels prin ipaux :


 pouvoir travailler sur une ma hine distante omme si l'oprateur tait devant.
 pouvoir fa ilement transfrer des  hiers.
10.4.2

Les avantages te hniques

 la d orellation des mots de passe SSH et UNIX, e qui permet d'viter de orrompre le mot de
passe UNIX.
 l'authenti ation forte par l RSA. L'authenti ation onsiste prouver quelle est notre identit.
L'authenti ation forte onsiste asso ier un se ret - mot de passe - ave un objet possd la l -. Pour tre authentier il faut fournir la fois la l et le mot de passe. Cette mthode
permet d'obtenir des onnexions multiples ave un seul mot de passe.

10.5 Fon tionnement d'une authenti ation par l RSA


Tout le monde possde la l publique. Comment savoir si un serveur SSH tourne sur une ma hine ?
netstat -anpe donne la liste des ports ouverts. En utilisant netstat -anpe | grep SSH il est
possible d'obtenir la liste des onnexions SSH ouvertes. Pour se onne ter sur une ma hine distante,
l'adresse IP, en tant qu'utilisateur toto il faut utiliser :
ssh totoIP
Il est possible de garantir son identit en prouvant la possession de la l prive. Par exemple, une
personne hire un d ave la l publique, seul le possesseur de la l priv est apable de le lire en
le d hirant ave ette l prive. Appli ation une onnexion :
1. Le serveur envoie, lors de la premire onnexion, sa l publique.

10.6.

LES FICHIERS IMPORTANTS

69

2. La l publique du serveur permet de d hirer la signature qu'il envoie en dbut de toute nouvelle
onnexion, don de l'authentier.
3. Le lient envoie sa signature ode ave sa l prive.
4. Le serveur vrie alors la signature gr e sa l prive.
5. Si les deux vri ations sont valides, une l de session est re pour ommen er les hanges
de donnes. La l de session est une l symtrique de type DES.

10.6 Les  hiers importants


  hier de onguration du serveur :
/et /ssh/sshd_ onfig
  hier ontenant les ls publiques des utilisateurs voulant se onne ter la ma hine :
/.ssh/authorized_keys
ou /.ssh/identity.pub sous fedora.
  hier ontenant les ls prives des utilisateurs voulant se onne ter d'autres ma hines :
/.ssh/id_rsa
ou /.ssh/id_rsa2 - utilisation du hirage RSA2 ou en ore /.ssh/authorized_keys sous fedora.

10.7 Ralisation pratique


10.7.1

Les demandes de passphrases

Il faut imprativement en donner une relativement omplexe lors de la premire onnexion sur la
ma hine distante. Elle reprsente le se ret pour les onnexions suivantes. La passphrase est le mot de
passe qui permet de hirer la l sur le disque, don pas de passphrase implique pas de ryptage.
10.7.2

Cration et opie des ls

Attention il y a un risque d' raser les an iennes ls lors de la ration de la nouvelle l. La solution
onsiste don rer les ls dans un autre rpertoire gr e l'option -f path, path reprsentant le
hemin du rpertoire o seront res les ls. Ensuite il sut de re opier la l dans le bon  hier en
la on atnant au  hier dj existant. Les permissions sur le rpertoire ontenant les ls - /.ssh/ doivent tre 755. La gnration des ls est simple :
ssh -keygen -t rsa -b 1024
Il est ensuite n essaire de opier la l publique sur le serveur - dans le rpertoire de opie - :
s p /home/toto/.ssh/id_rsa.pub /totoserveur :/home/toto/authorized_keys. op
Ensuite, la l est re opie dans le bon rpertoire du serveur :
at /home/toto/.ssh/authorized_keys. op  /home/toto/.ssh/authorized_keys
Pour pr iser l'empla ement de la l prive il faut utiliser :
ssh toto192.168.101.47 -i /home/.ssh/id_rsa
Il ne reste plus qu' se onne ter depuis le lient :
ssh totoserveur
Il reste indiquer la passphrase pour l'utilisateur toto.
10.7.3

Debugger le serveur

Pour lan er le serveur ssh en mode debug il faut tout d'abord stopper le serveur avant de le relan er
en mode debug :

70

CHAPITRE 10.

INTRODUCTION AU PROTOCOLE SSH

/et /init.d/ssh stop


/usr/sbin/sshd -d

10.7.4 Dur ir le  hier de onguration


Le  hier de onguration du serveur est /et /ssh/sshd_ onfig.
Il faut dsa tiver ertaines options :
PermitRootLogin : no interdit de se onne ter dire tement en tant que root.
UsePAMAuthenti ation : no l'identi ation n'est pas dlgue PAM
PasswordAuthenti ation : no interdit l'authenti ation par mot de passe

Annexe A

Exer i es
A.1

La ou he 3

A.1.1

Exer i e 1

Trouvez la premire et la dernire adresse disponibles pour le rseau asso i l'adresse


suivante : 127.24.99.132 masque 255.255.255.224
1. Exploitation du masque : 224 = 11100000. Don le masque est :

11111111.11111111.11111111.11100000
2. Dnition des bits rseau : une ma hine de e rseau est 127.24.99.132. Les ma hines sont
odes uniquement dans le dernier bit - f masque-. 132=10000100 don les bits rseau sont :
127.24.99.100xxxxx.
3. La premire adresse vaut don 127.24.99.128 -bits ma hines 0-,et la dernire est 124.24.99.159
-bits ma hine 1-.
4. Le nombre d'adresses de e rseau est don de 25 , les ma hines tant odes sur inq bits.
A.1.2

Exer i e 2

Trouvez la premire et la dernire adresse disponibles pour le rseau asso i l'adresse


suivante : 192.168.84.27 masque 255.255.192.0
1. Exploitation du masque : 192 = 11000000.
2. Dnition des bits rseau : Les ma hines sont odes uniquement dans les troisime et quatrime
bits - f masque-. 84=01010100 don les bits rseau sont : 127.24.01xxxxxx.xxxxxxxx.
3. La premire adresse vaut don 192.168.64.0 -bits ma hines 0-,et la dernire est 192.168.127.255
-bits ma hine 1-.
4. Le nombre d'adresses de e rseau est don de 214 .
A.1.3

Exer i e 3

Un fournisseur d'a s internet fournit 256 adresses une ole : plage 194.2.232.0
masque 255.255.255.0. Celle i omprend 100 lves, 20 professeurs et 5 administrateurs.
Je veux d ouper la plage en 3 rseaux dirents. Donner la premire et la dernire
adresse de haque sous rseau
1. Dnition des masques :
 Pour les lves il faut 100 adresses, e qui n essite sept bits pour les ma hines - 26 100 27 -,
le masque vaut don 255.255.255.10000000.
71

72

ANNEXE A.

EXERCICES

 Pour les professeurs il faut vingt adresses, e qui n essite inq bits pour les ma hines -24
20 25 -, le masque vaut don 255.255.255.11100000.
 Pour les administratifs il faut inq adresses e qui n essite trois bits pour les ma hines. Cependant si on se limite trois les possibilits d'extension du rseau seront limites, 'est pourquoi
il est plus opportun de oder les ma hines sur quatre bits dans e as. Le masque vaut don
255.255.255.11110000.
2. Rpartition des bits de rseau pour les sous-rseaux. Seul le dernier o tet est indiqu les trois
autres tant xs 194.2.232.
 lves : 1xxxxxxx
 professeurs : 000xxxxx
 administratifs : 0100xxxx
3. Les premires et dernires adresses de haque sous-rseau sont don :
 pour les lves : 194.2.232.128 192.2.232.255
 pour les professeurs : 194.2.232.0 194.2.232.31
 pour les administratifs : 194.2.232.64 194.2.232.79
4. Il est fa ile de vrier que les direntes plages d'adresse ne se re oupent pas.
A.1.4

Exer i e 4

Un fournisseur d'a s internet fournit une ole : plage 10.24.192.0 masque 255.255.240.0.
Celle i omprend 1200 lves, 150 professeurs et 10 administratifs. Je veux d ouper la
plage en 3 rseaux dirents. Donner la premire et la dernire adresse de haque sous
rseau
1. Dnition des masques : 240 = 11110000 192 = 11000000 On dispose don de 212 adresses
 Pour les lves il faut 1500 adresses, e qui n essite onze bits pour les ma hines - 210 1500
211 -, le masque vaut don 255.255.11111000.0 soit 255.255.248.0.
 Pour les professeurs il faut ent inquante adresses, e qui n essite huit bits pour les ma hines
-27 150 28 -, le masque vaut don 255.255.255.0.
 Pour les administratifs il faut dix adresses e qui n essite quatre bits pour les ma hines. Le
masque vaut don 255.255.255.240.
2. Rpartition des bits de rseau pour les sous-rseaux. Seul les troisime et quatrime o tets sont
indiqus :
 lves : 11000xxx xxxxxxxx
 professeurs : 11001000.xxxxxxxx
 administratifs : 11001001.0000xxxx
3. Les premires et dernires adresses de haque sous-rseau sont don :
 pour les lves : 10.24.192.0 10.24.199.255
 pour les professeurs : 10.24.200.0 10.24.200.255
 pour les administratifs : 10.24.201.0 10.24.201.15
4. Il est fa ile de vrier que les direntes plages d'adresse ne se re oupent pas.
A.1.5

Exer i e 5

Mme exer i e que le numro 4 mais en plaant d'abord les petites plages
1. Dnition des masques : in hang.
2. Rpartition des bits de rseau pour les sous-rseaux. Seul les troisime et quatrime o tets sont
indiqus :
 lves : 11001xxx xxxxxxxx

A.2.

73

LA COUCHE 4

 professeurs : 11000100.xxxxxxxx
 administratifs : 11000000.0000xxxx
3. Les premires et dernires adresses de haque sous-rseau sont don :
 pour les lves : 10.24.200.0 10.24.207.255
 pour les professeurs : 10.24.196.0 10.24.196.255
 pour les administratifs : 10.24.192.0 10.24.192.15
4. Il est fa ile de vrier que les direntes plages d'adresse ne se re oupent pas.
A.1.6

Exer i e 6

tant donn le rseau 10.0.0.0 masque 255.255.255.0, les adresses ma hines de 1 63


tant dj utilises, hoisir une plage de 110 adresses.

 Pour oder 110 adresses il faut 7 bits -26 110 27 -.


 Les adresses dj utilises orrespondent au sous-rseau 10.0.0.0 masque 255.255.255.192 ave les
bits de rseau 10.0.0.00xxxxxx
 Le masque de notre nouveau sous rseau est don 255.255.255.128 ave les bits de rseau
10.0.0.1xxxxxxx
 La nouvelle plage d'adresses s'tend don de 10.0.0.128 10.0.0.255
A.1.7

Exer i e 7

Je dispose du rseau 193.168.47.0 masque 255.255.255.0 et je souhaites ajouter 250


adresses e rseau quel rseau hoisir ? Il me faut don 505 adresses au total -les 255 initiales et
les 250 nouvelles-. Or 28 505 29 don le nouveau masque sera 255.255.254.0. La premire adresse
de mon nouveau sous-rseau sera 193.168.46.0 et la dernire 193.168.46.255. La premire adresse de
mon rseau total sera don 193.168.46.0 et la dernire 193.168.47.255.

A.2

La ou he 4

A.2.1

Exer i e 1

non

IP dest

IP sr

Port sr
X

Port dest
80

Le hamps IP dest vaut 255.255.255.255. Est e normal ?


Corrig

Nous sommes don , priori, en prsen e d'un broad ast. Ce pourrait tre une re her he des serveurs
sur le rseau, mais il risque alors d'y avoir plusieurs ma hines qui rpondent en SYN + ACK e que je
ne sais pas traiter. Don TCP n'a pas de broad ast, ar a n'a pas de sens : TCP tablit une onnexion
ave une seule autre ma hine par session. Don si il est n essaire de faire un broad ast il faut utiliser
UDP

74

ANNEXE A.

A.2.2

EXERCICES

Exer i e 2

non
A .1

10.0.0.0/24
.254
R1
.1
10.0.1.0/24
.254
R2

GOOGLE

194.2.232.52
Internet

1. Donner la table de routage de R1


2. E rire la trame, provenant d'une requte web vers Google, de A en sortie de R1
3. Mme question en sortie de R2
4. Quel est le premier paquet qui sort de A lors de ette onnexion ?
5. Donner toutes les tapes de la ommuni ation entre A et Google.

Corrig
Rseau
10.0.0.0
10.0.1.0
0.0.0.0
Tab.

masque
/24
/24
/24

Passerelle
0.0.0.0
0.0.0.0
10.0.1.254

A.1  Table de routage de R1

question 1 Rappel : Les adresses 10.0.0.0/8 ne sont pas routes sur internet, elles sont rserves aux
rseaux lo aux don elles ne doivent pas tre routes sur internet.

MAC
R2

MAC
R1

IP

Long
tot 3

TCP

IP
A

IP
Google

Port
XA

Port
80

Flg

Urg
Ptr

DATA

CRC

IP

Long
tot 3

TCP

IP
R2

IP
Google

Port
XR2

Port
80

Flg

Urg
Ptr

DATA

CRC

question 2
MAC
R3

MAC
R2

question 3 Les adresses 10.0.0.0/8 n'tant pas routes sur internet il est n essaire d'avoir re ours
la NAT.

A.2.

LA COUCHE 4

75

Il peut y avoir deux situations :


 Si la table ARP de A est renseigne ave l'adresse MAC de R1 la premire trame qui ir ulesera
la demande de syn hronisation - SYN -.
 Sinon la premire trame sera la requte ARP.

question 4

question 5

la priorit...

L'appli ation envoit une requte en donnant : les DATAS, le proto ole de ou he 4 -TCP-,

ou he 4 Le port destination est onnu -80-, le systme d'exploitation fournit un port sour e
libre puis forme le segment TCP. Pour obtenir l'adresse IP de Google, il fait appel au resolver pour la
rsolution de nom et envoit le segment et les adresses IP la ou he 3.

ou he 3

Elle va former le datagramme puis le segmenter si n essaire et l'envoyer la ou he 2.

Pour former la trame Ethernet il faut onnatre l'adresse MAC destination. Il faut don
aller voir dans la table de routage pour obtenir l'adresse IP de la passerelle, ou elle de la ma hine de
destination, si elle est dans le rseau lo al. I i il faut re her her la passerelle. Ave ette adresse IP on
onsulte la table ARP, soit elle est renseigne et on obtient l'adresse MAC soit il faut la renseigner
auquel as une requte ARP est envoye sur le rseau pour obtenir l'adresse MAC re her he. Ensuite
il est possible de former la trame Ethernet en al ulant au passage le CRC de ou he 2. La trame est
ensuite envoye sur le rseau.
ou he 2

ou he 1/2 Le paquet arrive au swit h qui aiguille le paquet vers le routeur aprs avoir lules
informations de ou he 2.

Le(s) routeur(s) Il lit la ou he 2, l'adresse MAC orrespond la sienne don il poursuit la


le ture en vriant le CRC puis envoit le rsultat la ou he 3. Celle i lit lesinformations de ou he
3. Consulte ventuellement - pour le dernier routeur du rseau lo al- la table NAT, puis onsulte la
table de routage pour dterminer la pro haine tape - passerelle ou destination - au vu de l'adresse IP
destination et gr e au mme pro essus que A elle re onstitue la trame de niveau 3, dtermine l'adresse
MAC destination omme pr demment -requte ARP- .La trame est ensuite transmise la ou he 2
qui forme la trame Ethernet. Puis elle i est renvoye sur le rseau.

L'adresse MAC orrespond la sienne, il lit don les informations de ou he 3 en re al ulant le CRC. L'adresse IP orrespond bien elle rfren e pour 127.0.0.1 dans sa table de routage
don il garde la trame et envoit les DATAS la ou he 4. Le port orrespond bien l'appli ation don
les informations sont exploites par l'appli ation.
Google

Remarque Sur le rseau initial il y a en plus un serveur DNS de rsolution de nom et ventuellement un proxy. La page google n'est pas envoye immdiatement : Le premier message de A omporte
le SYN, la rponse de google le SYN + ACK et enn le ACK de A. Google ne ommen e envoyer la
page qu' partir de la se onde trame.

76
A.3
A.3.1

ANNEXE A.

EXERCICES

La NAT
Exer i e 1

non
Une entreprise TOTO s'adresse COLT pour obtenir des adresees IP. En interne il y a :
 600 ollaborateurs
 4 serveurs web
 5 serveurs FTP
 5 serveurs mail
 2 seveurs SSH
Combien d'adresses web faut-il demander ?

Rponse
Je ne peux pla er que un type de serveur par adresse, ar ave la NAT je dois asso i au niveau
du routeur desservant ette adresse l'adresse du serveur sur le rseau lo al ave le numro de port
destination ae t e type d'appli ation. Il faut don demander inq adresses web.

Complment
Si COLT me donne 194.2.232.0/24, je demande don les adresses allant de 194.2.232.0/29 194.2.232.7/29.
Je dispose don de huit adresses au total, dont elle de rseau et elle de broad ast. Il reste don six
adresses disponibles.
 194.2.232.6 rseau ollaborateur
 194.2.232.1 : WEB 1, FTP 1, Mail 1, SSH 1
 194.2.232.2 : WEB 2, FTP 2, Mail 2, SSH 2
 194.2.232.3 : WEB 3, FTP 3, Mail 3
 194.2.232.4 : WEB 4, FTP 4, Mail 4
 194.2.232.5 : FTP 5, Mail 5
Cette rpartition est a eptable, mais je peux garder une adresse en rserve si je regroupe les
ollaborateurs sur une autre adresse. En rgle gnrale,il est prfrable de demander un masque sur 28
bits pour avoir 16 adresses et se garder des possibilits d'volution.

Annexe B
La transmission en bande de base
B.1

Introdu tion

La transmission numrique onsiste faire transiter les informations sur le support physique de
ommuni ation sous forme de signaux numriques. Ainsi, des donnes analogiques devront pralablement tre numrises avant d'tre transmises.
Toutefois, les informations numriques ne peuvent pas ir uler sous forme de 0 et de 1 dire tement,
il s'agit don de les oder sous forme d'un signal possdant deux tats, par exemple :
 deux niveaux de tension par rapport la masse
 la diren e de tension entre deux ls
 la prsen e/absen e de ourant dans un l
 la prsen e/absen e de lumire
 ...
Cette transformation de l'information binaire sous forme d'un signal deux tats est ralise par
l'ETCD, appel aussi odeur bande de base, d'o l'appellation de transmission en bande de base pour
dsigner la transmission numrique...

B.2

Codage des signaux

Pour que la transmission soit optimale, il est n essaire que le signal soit od de faon fa iliter
sa transmission sur le support physique. Il existe pour ela dirents systmes de odage pouvant se
lasser en deux atgories :
 Le odage deux niveaux : le signal peut prendre uniquement une valeur stri tement ngative ou
stri tement positive (-X ou +X, X reprsentant une valeur de la grandeur physique permettant
de transporter le signal)
 Le odage trois niveaux : le signal peut prendre une valeur stri tement ngative, nulle ou
stri tement positive (-X, 0 ou +X)

B.3

Le odage NRZ

Le odage NRZ (signiant No Return to Zero, soit Non Retour Zro) est le premier systme de
odage, ar le plus simple. Il onsiste tout simplement transformer les 0 en -X et les 1 en +X, de
ette faon on a un odage bipolaire dans lequel le signal n'est jamais nul. Par onsquent, le r epteur
peut dterminer la prsen e ou non d'un signal.
77

78

ANNEXE B.

Fig.

B.4

LA TRANSMISSION EN BANDE DE BASE

B.1  Codage NRZ

Le odagde NRZI

Le odage NRZI est sensiblement dirent du odage NRZ. Ave e odage, lorsque le bit est 1, le
signal hange d'tat aprs le top d'horloge. Lorsque le bit es 0, le signal ne subit au un hangement
d'tat. Le odage NRZI possde de nombreux avantages, dont :
 la dte tion de la prsen e ou non du signal
 la n essit d'un faible ourant de transmission du signal

Fig.

B.2  Codage NRZI

En revan he, il possde un dfaut : la prsen e d'un ourant ontinu lors d'une suite de zro, gnant
la syn hronisation entre metteur et r epteur.

B.5

Le odage Man hester

Le odage Man hester, galement appel odage biphase ou PE (pour Phase En ode), introduit
une transition au milieu de haque intervalle. Il onsiste en fait faire un OU ex lusif (XOR) entre le
signal et le signal d'horloge, e qui se traduit par un front montant lorsque le bit est zro, un front
des endant dans le as ontraire. Le odage Man hester possde de nombreux avantages, dont :
 le non passage par zro, rendant possible par le r epteur la dte tion d'un signal
 un spe tre o upant une large bande

B.6.

79

LE CODAGE DELAY

Fig.

B.6

B.3  Codage Man hester

Le odage delay

Le odage Delay Mode, aussi appel ode de Miller, est pro he du odage de Man hester, la
diren e prs qu'une transition apparat au milieu de l'intervalle uniquement lorsque le bit est 1,
ela permet de plus grands dbits.

Fig.

B.7

B.4  Codage Miller

Le odage bipolaire

Le odage bipolaire simple est un odage sur trois niveaux. Il propose don trois tats de la grandeur
transporte sur le support physique :
 La valeur 0 lorsque le bit est 0
 Alternativement X et -X lorsque le bit est 1

80

ANNEXE B.

Fig.

LA TRANSMISSION EN BANDE DE BASE

B.5  Codage bipolaire

Annexe C
Fibres optiques
C.1

Prin ipe de fon tionnement

Le prin ipe de fon tionnement des bres optiques repose sur les relations de Fresnel. L'indi e de
rfra tion de la bre varie le long du rayon de la bre. Considrons le passage d'un milieu d'indi e 1
un milieu d'indi e 2. Si l'onde lumineuse in idente arrive sur la surfa e de onta t ave un angle 1
par rapport la normale la surfa e alors la relation de Fresnel indique que l'onde rfra te prsentera
un angle theta2 la normale.

Fig.

C.1  La relation de Fresnel

La valeur 2 est donne par 1 sin 1 = 2 sin 2. Le rsultat vis tant que l'onde lumineuse
reste dans l'paisseur de la bre, la proprit utilise va tre dirente en fon tion du type de bre.
Pour une bre saut d'indi e, 'est la rexion totale qui va tre re her he lors du hangement de
milieu. En revan he pour une bre variation d'indi e 'est la rfra tion qui va tre utilise pour que
l'onde se rappro he de l'axe de la bre jusqu' atteindre l'angle de rexion totale. Don , il faut que
l'angle augmente don que l'indi e diminue.
81

82

ANNEXE C.

FIBRES OPTIQUES

C.2 Les trois types de bre optique


Les bres optiques sont divise en deux grandes familles : les bres multimodes et les monomodes.
Au sein des multimodes existent les bres saut d'indi e et elles gradient d'indi e. Les bres
monomodes sont elles essentiellement saut d'indi e.

La bre saut d'indi e

200/380 onstitue d'un oeur et d'une gaine optique en verre de dirents


indi es de rfra tion. Cette bre provoque de par l'importante se tion du oeur, une grande
dispersion des signaux la traversant, e qui gnre une dformation du signal reu.

Fig.

C.2  Propagation de la lumire dans une bre saut d'indi e

La bre gradient d'indi e

dont le oeur est onstitu de ou hes de verre su essives ayant un


indi e de rfra tion pro he. On s'appro he ainsi d'une galisation des temps de propagation, e
qui veut dire que l'on a rduit la dispersion nodale. Bande passante typique 200-1500Mhz par
km. C'est e type de bre qui est utilis entre ertains sites desservis par les PTT (50/125).

La bre monomode

dont le oeur est si n que le hemin de propagation des dirents modes est
pratiquement dire t. La dispersion nodale devient quasiment nulle. La bande passante transmise
est presque innie (> 10Ghz/km). Cette bre est utilise essentiellement pour les transmissions
grande distan e.

Le petit diamtre du oeur (10um) n essite une grande puissan e d'mission, don des diodes au laser,
qui sont relativement onreuses.

Fig.

C.3  Constitution d'une bre optique multimode

Le s hma i dessous retra e pour les trois types de bre la propagation de l'onde lumineuse en
fon tion de leur angle d'mission. Il illustre le prin ipe de fon tionnement d rit en dbut de hapitre.

C.2.

LES TROIS TYPES DE FIBRE OPTIQUE

Fig.

83

C.4  Propagation de la lumire dans les trois types de bres

Le hemin par ouru n'a pas la mme longueur pour tous les rayons. C'est e que l'on appelle la
dispersion nodale.

L'attnuation est onstante quelle que soit la frquen e Seule la dispersion lumineuse limite la
largeur de la bande passante.

Fig.

C.5  Attnuation dans une bre optique

84

ANNEXE C.

Fig.

FIBRES OPTIQUES

C.6  Aaiblissement de la lumire en fon tion de la longueur d'onde

L'aaiblissement de la lumire dans la bre est fon tion de la longueur d'onde de la sour e. Elle
est onstante pour toutes les frquen es du signal utile transmis. Le dessin i-dessus montre que l'affaiblissement est plus important dans le rouge (850nM) que dans l'infrarouge (1300-1550nM).

C.3

Les onne tions

Il existe nombre de onne teurs pour la bre optique. Les plus rpandus sont les onne teurs
et
. Pour les rseaux FDDI, on utilise les onne teurs doubles
.

SC

MIC

Il faut en ore iter les onne teurs


monomode.

ST

SMA - visser- et les onne teurs FCPC utiliss pour la bre

Fig.

C.7  Conne teur ST

Fig.

C.8  Conne teur SC

C.3.

85

LES CONNECTIONS

Fig.

C.9  Conne teur FDDI ou MIC

Il y a plusieurs manires pour oupler de la bre optique :


 Le ouplage m anique de deux onne teurs mis bout bout au moyen d'une pi e de pr ision.
Le dessin i-dessous montre l'union de deux onne teurs ST, mais il existe des oupleurs ST/SC
ou ST/MIC.
 Le ra ordement par Spli e m anique qui est utilis pour les rparations la suite de rupture
ou pour ra order une bre et un onne teur dj quip de quelques entimtres de bre que
l'on peut a qurir dans le ommer e -Pig tail -.
 La fusion au moyen d'un appareil ar le trique appel fusionneuse.

Fig.

C.10  Trois exemples de onnexions en bre optique

86

ANNEXE C.

FIBRES OPTIQUES

Bibliographie
[1
[2
[3
[4

Stphane CATTEAU. Faq sur la nat.


Stphane CATTEAU. Faq sur les rewalls.
IP-FRAME. http ://www.frameip. om.
Comment Ca Mar he. http ://www. omment amar he.net/internet/internet.php3.

87