Académique Documents
Professionnel Documents
Culture Documents
L'analyseur de trafic est un outil pdagogique essentiel pour comprendre les mcanismes
de fonctionnement des protocoles de communication sur les rseaux contemporains. Ce
document comprend deux parties. Dans un premier temps, on trouve une introduction
l'utilisation de l'analyseur Wireshark, le logiciel libre incontournable en la matire. Dans un
deuxime temps, les travaux pratiques permettent de dcouvrir la richesse des informations
fournies par cet analyseur.
N'hsitez pas commenter cet article ! Commentez
1 - Copyright et Licence.............................................................................................................................................. 3
1-1 - Mtainformation............................................................................................................................................. 3
2 - Analyse avec Wireshark........................................................................................................................................ 3
2-1 - Quels sont les protocoles supports ?..........................................................................................................3
2-2 - Quels sont les mdias supports ?...............................................................................................................3
2-3 - Comment accder aux interfaces ?.............................................................................................................. 3
3 - Interface utilisateur.................................................................................................................................................6
4 - Capture d'une srie de trames.............................................................................................................................. 7
5 - Filtrage de l'affichage aprs capture..................................................................................................................... 8
5-1 - Isoler une connexion TCP.............................................................................................................................8
5-2 - Syntaxe du filtrage postriori..................................................................................................................... 9
5-3 - Documentation de rfrence sur les filtres d'affichage............................................................................... 12
6 - Analyse distance...............................................................................................................................................12
7 - Travaux pratiques : navigation Web (HTTP)....................................................................................................... 14
7-1 - Protocoles tudis....................................................................................................................................... 14
7-2 - Marche suivre...........................................................................................................................................14
7-3 - Analyse des protocoles............................................................................................................................... 15
7-3-1 - Protocoles capturs............................................................................................................................ 15
7-3-2 - Trame Ethernet, paquet IP et datagramme UDP............................................................................... 15
7-3-3 - Service DNS....................................................................................................................................... 15
7-3-4 - Connexion TCP...................................................................................................................................16
7-3-5 - Requte HTTP GET........................................................................................................................... 17
7-3-6 - Rponse HTTP................................................................................................................................... 18
8 - Travaux pratiques : messages de contrle Internet (ICMP)................................................................................ 18
8-1 - Protocoles et outils tudis......................................................................................................................... 18
8-2 - 8.2. Marche suivre....................................................................................................................................19
8-3 - Analyse avec ping....................................................................................................................................... 19
8-3-1 - Protocoles capturs............................................................................................................................ 19
8-3-2 - Message ICMP Echo Request....................................................................................................... 19
8-3-3 - Message ICMP Echo Reply............................................................................................................20
8-3-4 - Messages ICMP restants....................................................................................................................20
8-4 - Analyse avec (tcp)traceroute.......................................................................................................................20
8-4-1 - Protocoles capturs............................................................................................................................ 21
8-4-2 - Message UDP.....................................................................................................................................21
8-4-3 - Message ICMP Time Exceeded..................................................................................................... 21
8-4-4 - volution du champ TTL.................................................................................................................... 22
8-4-5 - Variantes............................................................................................................................................. 22
9 - Documents de rfrence......................................................................................................................................22
10 - Remerciements Developpez.............................................................................................................................. 23
-2-
Copyright (c) 2000,2014 Philippe Latu. Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation
License, Version 1.3 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover
Texts. A copy of the license is included in the section entitled GNU Free Documentation License . Copyright (c) 2000,2014 Philippe Latu. Permission est
accorde de copier, distribuer et/ou modifier ce document selon les termes de la Licence de Documentation Libre GNU (GNU Free Documentation License),
version 1.3 ou toute version ultrieure publie par la Free Software Foundation ; sans Sections Invariables ; sans Texte de Premire de Couverture, et
1 - Copyright et Licence
Copyright (c) 2000,2014 Philippe Latu. Permission is granted to copy, distribute and/or modify this document under
the terms of the GNU Free Documentation License, Version 1.3 or any later version published by the Free Software
Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A copy of the license is
included in the section entitled GNU Free Documentation License .
Copyright (c) 2000,2014 Philippe Latu. Permission est accorde de copier, distribuer et/ou modifier ce document
selon les termes de la Licence de Documentation Libre GNU (GNU Free Documentation License), version 1.3 ou
toute version ultrieure publie par la Free Software Foundation ; sans sections invariables ; sans texte de premire
de couverture, et sans texte de quatrime de couverture. Une copie de la prsente licence est incluse dans la section
intitule Licence de Documentation Libre GNU .
1-1 - Mtainformation
Cet article est crit avec DocBook XML sur un systme Debian GNU/Linux. Il est disponible en version imprimable
au format PDF : intro.analyse.pdf.
-3-
Copyright (c) 2000,2014 Philippe Latu. Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation
License, Version 1.3 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover
Texts. A copy of the license is included in the section entitled GNU Free Documentation License . Copyright (c) 2000,2014 Philippe Latu. Permission est
accorde de copier, distribuer et/ou modifier ce document selon les termes de la Licence de Documentation Libre GNU (GNU Free Documentation License),
version 1.3 ou toute version ultrieure publie par la Free Software Foundation ; sans Sections Invariables ; sans Texte de Premire de Couverture, et
Password:
# wireshark &
C'est la dernire ligne que se situe la partie intressante. L'utilisateur normal etu dispose, sur n'importe quel hte
gr par ce systme (ALL), d'un accs super-utilisateur aux applications Wireshark et tshark sans avoir saisir son
mot de passe. Pour lancer l'application, il faut prciser l'appel l'application sudo de la faon suivante :
$ sudo wireshark &
Attention ! Cette nouvelle attribution n'est valable qu'aprs une nouvelle authentification. Nous sommes encore dans
le cas classique de cration du contexte de travail utilisateur au moment de l'authentification.
On modifie les proprits du programme dumpcap qui est charg de la collecte du trafic rseau.
-4-
Copyright (c) 2000,2014 Philippe Latu. Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation
License, Version 1.3 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover
Texts. A copy of the license is included in the section entitled GNU Free Documentation License . Copyright (c) 2000,2014 Philippe Latu. Permission est
accorde de copier, distribuer et/ou modifier ce document selon les termes de la Licence de Documentation Libre GNU (GNU Free Documentation License),
version 1.3 ou toute version ultrieure publie par la Free Software Foundation ; sans Sections Invariables ; sans Texte de Premire de Couverture, et
4 mars
18:04 /usr/bin/dumpcap
On change le groupe propritaire et on applique un nouveau masque de permissions. Une fois cette opration faite,
les membres du groupe systme pcap seront les seuls utilisateurs pouvoir excuter le programme en mode non
privilgi.
# chgrp pcap /usr/bin/dumpcap
# chmod 750 /usr/bin/dumpcap
# ls -lh /usr/bin/dumpcap
-rwxr-x--- 1 root pcap 62K 4 mars
18:04 /usr/bin/dumpcap
On indique au gestionnaire de paquets Debian que ces nouvelles proprits doivent tre conserves lors des mises
jour venir.
# dpkg-statoverride --add root pcap 750 /usr/bin/dumpcap
# dpkg-statoverride --list /usr/bin/dumpcap
root pcap 750 /usr/bin/dumpcap
La documentation sur les Linux Capabilities est disponible partir de la page Not needing root to administer
Linux.
-5-
Copyright (c) 2000,2014 Philippe Latu. Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation
License, Version 1.3 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover
Texts. A copy of the license is included in the section entitled GNU Free Documentation License . Copyright (c) 2000,2014 Philippe Latu. Permission est
accorde de copier, distribuer et/ou modifier ce document selon les termes de la Licence de Documentation Libre GNU (GNU Free Documentation License),
version 1.3 ou toute version ultrieure publie par la Free Software Foundation ; sans Sections Invariables ; sans Texte de Premire de Couverture, et
3 - Interface utilisateur
Le menu File sert sauvegarder ou charger un fichier de capture rseau. Une capture peut trs bien avoir t
ralise sur une sonde distante ou avec un autre outil et tre analyse avec Wireshark postriori.
Le menu Capture sert fixer les paramtres d'une nouvelle capture rseau. Voir Section 4, Capture d'une
srie de trame .
Le menu Statistics sert effectuer diffrents calculs sur les volumes de donnes et la rpartition des
protocoles.
le numro du paquet ;
son temps de capture ;
sa source ;
-6-
Copyright (c) 2000,2014 Philippe Latu. Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation
License, Version 1.3 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover
Texts. A copy of the license is included in the section entitled GNU Free Documentation License . Copyright (c) 2000,2014 Philippe Latu. Permission est
accorde de copier, distribuer et/ou modifier ce document selon les termes de la Licence de Documentation Libre GNU (GNU Free Documentation License),
version 1.3 ou toute version ultrieure publie par la Free Software Foundation ; sans Sections Invariables ; sans Texte de Premire de Couverture, et
sa destination ;
le protocole de plus haut niveau dcod ;
le rsum des champs caractristiques de ce protocole.
La premire ligne ou niveau Frame correspond une pseudocouche physique. Comme il n'est pas possible
de raliser la capture directement partir des composants lectroniques qui pilotent l'interface rseau
sans perturber le fonctionnement du systme, l'opration a lieu au niveau liaison l'aide de la bibliothque
libpcap. ce niveau, les informations disponibles sont : la quantit de bits capturs et la date de capture.
La deuxime ligne correspond au niveau liaison. On y dtaille le type, les champs de la trame et les adresses
physiques.
La troisime ligne correspond au niveau rseau. On y dtaille les champs du protocole rseau reconnu :
adresses logiques et indicateurs d'tat.
La quatrime ligne correspond au niveau transport. On y dtaille les champs du protocole de transport
reconnu : tat de la connexion, numros de ports utiliss et diverses options.
La cinquime ligne correspond au niveau application. On y trouve les donnes utilisateur.
Pour le dveloppement de chacun des champs de la trame, il faut cliquer sur le triangle situ gauche au niveau
de chaque couche.
Fentre d'affichage brut de la trame slectionne
Cette fentre affiche tous les octets de la trame en hexadcimal.
IP : en spcifiant le protocole rseau analyser, on vite la capture des trames des autres protocoles de
niveau rseau (IPX) et des protocoles de niveau liaison (STP, CDP, etc.),
Host 192.168.0.1 : en spcifiant l'adresse IP d'un hte, on ne retient que le trafic mis et reu par cette
adresse,
Host 192.168.0.1 and host 10.0.0.1 : en spcifiant les adresses IP de deux htes, on ne retient que le
trafic entre ces deux adresses :
1
Le type : host, net et port,
2
La direction : src et dst,
3
Le protocole : ether, fddi, tr, ip, ip6, arp, rarp, decnet, tcp et udp ;
La rubrique Stop Capture permet de fixer plusieurs critres d'arrt en fonction du nombre de trames et|ou du
volume de donnes captures ;
-7-
Copyright (c) 2000,2014 Philippe Latu. Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation
License, Version 1.3 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover
Texts. A copy of the license is included in the section entitled GNU Free Documentation License . Copyright (c) 2000,2014 Philippe Latu. Permission est
accorde de copier, distribuer et/ou modifier ce document selon les termes de la Licence de Documentation Libre GNU (GNU Free Documentation License),
version 1.3 ou toute version ultrieure publie par la Free Software Foundation ; sans Sections Invariables ; sans Texte de Premire de Couverture, et
-8-
Copyright (c) 2000,2014 Philippe Latu. Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation
License, Version 1.3 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover
Texts. A copy of the license is included in the section entitled GNU Free Documentation License . Copyright (c) 2000,2014 Philippe Latu. Permission est
accorde de copier, distribuer et/ou modifier ce document selon les termes de la Licence de Documentation Libre GNU (GNU Free Documentation License),
version 1.3 ou toute version ultrieure publie par la Free Software Foundation ; sans Sections Invariables ; sans Texte de Premire de Couverture, et
-9-
Copyright (c) 2000,2014 Philippe Latu. Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation
License, Version 1.3 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover
Texts. A copy of the license is included in the section entitled GNU Free Documentation License . Copyright (c) 2000,2014 Philippe Latu. Permission est
accorde de copier, distribuer et/ou modifier ce document selon les termes de la Licence de Documentation Libre GNU (GNU Free Documentation License),
version 1.3 ou toute version ultrieure publie par la Free Software Foundation ; sans Sections Invariables ; sans Texte de Premire de Couverture, et
Cette expression est extraite de la barre de filtrage. Elle doit tenir sur une ligne unique, quelle que soit sa longueur.
ip.addr : slection d'une adresse IP ;
eq 192.168.1.9 : valeur particulire d'adresse IP. L'oprateur eq correspond un test
d'galit. Il est aussi possible d'utiliser la syntaxe du langage C pour les tests :
== : galit,
!= : diffrence,
Supposons maintenant que l'on veuille afficher toutes les trames ayant cette option indpendamment de sa valeur.
Il suffit alors de supprimer le test :
- 10 -
Copyright (c) 2000,2014 Philippe Latu. Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation
License, Version 1.3 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover
Texts. A copy of the license is included in the section entitled GNU Free Documentation License . Copyright (c) 2000,2014 Philippe Latu. Permission est
accorde de copier, distribuer et/ou modifier ce document selon les termes de la Licence de Documentation Libre GNU (GNU Free Documentation License),
version 1.3 ou toute version ultrieure publie par la Free Software Foundation ; sans Sections Invariables ; sans Texte de Premire de Couverture, et
tcp.options.mss_val
Fragmentation IP
Admettons que l'on veuille observer la fragmentation IP en reprant les champs correspondants de l'en-tte des
paquets IP. Tout d'abord, il faut provoquer la fragmentation IP artificiellement. On utilise deux htes avec chacun
une interface Ethernet et un hub. En rduisant la taille maximum des donnes transmises par paquet (Maximum
Transmit Unit) sur l'interface Ethernet d'un hte, on observe plus facilement les effets de la fragmentation.
__________
|_=_=_=_=_// Hub
|
|
/
\_______
|.....
\
.------,~
|.....
|Hote_A|'
.------,~
|
||
|Hote_B|'
\------ /
|
||
======/
\------ /
192.168.254.128 ======/
192.168.254.2
Hote_A # ifconfig eth0 mtu 256
Hote_A # ping -s 128 -c 5 192.168.254.2
PING 192.168.254.2 (192.168.254.2) 128(156) bytes of data.
136 bytes from 192.168.254.2: icmp_seq=1 ttl=64 time=0.591
136 bytes from 192.168.254.2: icmp_seq=2 ttl=64 time=0.528
136 bytes from 192.168.254.2: icmp_seq=3 ttl=64 time=0.554
136 bytes from 192.168.254.2: icmp_seq=4 ttl=64 time=0.545
136 bytes from 192.168.254.2: icmp_seq=5 ttl=64 time=0.546
ms
ms
ms
ms
ms
--- 192.168.254.2 ping statistics --5 packets transmitted, 5 received, 0% packet loss, time 3999ms
rtt min/avg/max/mdev = 0.528/0.552/0.591/0.036 ms
Hote_A # ping -s 8192 -c 5 192.168.254.2
PING 192.168.254.2 (192.168.254.2) 8192(8220) bytes of data.
8200 bytes from 192.168.254.2: icmp_seq=1 ttl=64 time=15.4 ms
8200 bytes from 192.168.254.2: icmp_seq=2 ttl=64 time=15.4 ms
8200 bytes from 192.168.254.2: icmp_seq=3 ttl=64 time=15.4 ms
8200 bytes from 192.168.254.2: icmp_seq=4 ttl=64 time=15.4 ms
8200 bytes from 192.168.254.2: icmp_seq=5 ttl=64 time=15.4 ms
--- 192.168.254.2 ping statistics --5 packets transmitted, 5 received, 0% packet loss, time 4004ms
rtt min/avg/max/mdev = 15.444/15.462/15.481/0.079 ms
On observe ensuite le rsultat sur l'affichage des trames captures. La syntaxe du filtre est :
ip.flags.df == 0
- 11 -
Copyright (c) 2000,2014 Philippe Latu. Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation
License, Version 1.3 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover
Texts. A copy of the license is included in the section entitled GNU Free Documentation License . Copyright (c) 2000,2014 Philippe Latu. Permission est
accorde de copier, distribuer et/ou modifier ce document selon les termes de la Licence de Documentation Libre GNU (GNU Free Documentation License),
version 1.3 ou toute version ultrieure publie par la Free Software Foundation ; sans Sections Invariables ; sans Texte de Premire de Couverture, et
6 - Analyse distance
Lorsque l'on exploite une infrastructure de serveurs avec plusieurs primtres rseau cloisonns, il est frquent de
devoir procder des captures rseau distance. De plus, la plupart des serveurs rcents sont des lames qui n'ont
ni clavier ni cran. Voici donc un exemple de scnario capture rseau ralise sur un hte distant exploite ensuite
sur un poste de travail ayant une interface graphique.
Dans la srie de copies d'cran ci-aprs, on considre les lments suivants :
le poste de travail sur lequel l'analyse est effectue en mode graphique aprs collecte du fichier de capture
est appel <my_laptop.myothernet> ;
le serveur lame sans cran ni clavier sur lequel la capture rseau est ralise est appel
<my_distant_server.mynet>. On y accde via une console scurise SSH ;
on suppose que les deux htes ont un compte utilisateur me. Le compte utilisateur sur le serveur doit
disposer des droits ncessaires la capture de trames sur les interfaces rseau du serveur. Ces droits sont
grs avec sudo ;
on utilise l'application tshark qui permet d'excuter l'analyse rseau directement la console sans recours
une interface graphique. Cette application est fournie par le paquet Debian du mme nom. Voir le rsultat de
la commande $ apt-cache show tshark pour obtenir les informations sur ce paquet ;
les indications donnes ci-dessous ne peuvent se substituer aux pages du manuel de l'application. Il est
vivement conseill de les consulter pour adapter l'analyse rseau ses besoins : man tshark.
- 12 -
Copyright (c) 2000,2014 Philippe Latu. Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation
License, Version 1.3 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover
Texts. A copy of the license is included in the section entitled GNU Free Documentation License . Copyright (c) 2000,2014 Philippe Latu. Permission est
accorde de copier, distribuer et/ou modifier ce document selon les termes de la Licence de Documentation Libre GNU (GNU Free Documentation License),
version 1.3 ou toute version ultrieure publie par la Free Software Foundation ; sans Sections Invariables ; sans Texte de Premire de Couverture, et
Comme indiqu ci-avant, on accde au serveur via une console scurise SSH. partir de Windoze, l'outil putty
permet d'effectuer la mme opration.
me@<my_laptop>:~$ ssh me@<my_distant_server.mynet>
Linux <my_distant_server> 2.6.15 #1 SMP Mon Mar 13 14:54:19 CET 2006 i686
The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.
Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
No mail.
Last login: Tue Mar 21 10:45:38 2006 from <my_laptop.myothernet>
me@<my_distant_server>:~$
L'option -q rend la capture silencieuse. Il s'agit surtout de supprimer l'affichage du compte des paquets
enregistrs pendant la capture. Cet affichage est gnant si l'on souhaite conserver la console pour effectuer
d'autres manipulations en cours de capture.
L'option -i _eth0 dsigne l'interface rseau sur laquelle la capture est ralise.
L'option -w distant.cap dsigne le fichier dans lequel les paquets capturs sont enregistrs. Sans spcification
du format de fichier avec l'option -F, les paquets capturs sont enregistrs directement (mode raw).
L'option -a filesize:4096 donne le critre d'arrt de l'enregistrement. Ici, le critre retenu est la taille du fichier
de capture. Cette taille est comptabilise en multiple du kilooctet (1 024 octets) ; soit 4 096 ko dans cet
exemple.
Les options suivantes correspondent au filtrage priori des paquets enregistrer. On spcifie le protocole
de transport TCP et on n'enregistre pas les paquets de l'hte qui a ouvert la console scurise : ! host
<my_laptop.myothernet>. Sans cette dernire prcaution, l'enregistrement ne contiendra pratiquement que
les changes SSH. Ces changes sont sans intrt puisqu'ils correspondent aux communications entre les
deux htes utiliss pour l'analyse distante.
296.19K/s
ETA 00:00
- 13 -
Copyright (c) 2000,2014 Philippe Latu. Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation
License, Version 1.3 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover
Texts. A copy of the license is included in the section entitled GNU Free Documentation License . Copyright (c) 2000,2014 Philippe Latu. Permission est
accorde de copier, distribuer et/ou modifier ce document selon les termes de la Licence de Documentation Libre GNU (GNU Free Documentation License),
version 1.3 ou toute version ultrieure publie par la Free Software Foundation ; sans Sections Invariables ; sans Texte de Premire de Couverture, et
Done
me@<my_distant_server>:~$ ls -lAh
-rw------- 1 root latu
4,1M 2006-03-21 11:14 distant.cap
-rw-r--r-- 1 latu latu
39M 2006-03-20 07:22 linux-2.6.16.tar.bz2
me@<my_distant_server>:~$ sudo chmod 640 distant.cap
me@<my_distant_server>:~$ exit
logout
Connection to <my_distant_server.mynet> closed.
L'enregistrement sur fichier ayant t ralis avec l'identit du super-utilisateur via la commande sudo, il faut changer
le masque des permissions de ce fichier ou son propritaire. Dans cet exemple, c'est le masque des permissions
d'accs qui a t tendu pour que l'utilisateur normal puisse lire le fichier de capture et le transfrer sur son poste
de travail.
Rcupration du fichier de capture sur le poste de travail
me@<my_laptop>:~$ scp me@<my_distant_server.mynet>:~/distant.cap .
distant.cap
100% 4097KB 682.8KB/s
00:06
La commande scp illustre le transfert du fichier de capture rseau via SSH. On peut effectuer la mme opration
partir de Windoze avec l'outil WinSCP.
Enfin, il est possible de lire le fichier de capture directement au lancement de l'analyseur rseau avec l'option -r.
Lancez Wireshark.
Lancez la capture des trames sans restrictions d'adresses, de protocoles ou de volume.
Lancez un navigateur Web et saisissez une adresse de site (URL) de votre choix.
Une fois la page compltement charge, arrtez la capture. Sauvegardez un fichier de capture.
Passez aux questions suivantes.
Suivant le contexte de connexion, le volume d'informations captur varie normment : connexion DSL, rseau local
commut ou non, multiplicit des protocoles rseau, etc. Il est cependant prfrable d'effectuer la premire capture
sans aucune restriction priori de faon avoir une image exacte du trafic. Si l'information utile est vraiment noye
dans du bruit, il est toujours possible de reprendre la capture avec un filtre ; voir Section 4, Capture d'une
srie de trames .
- 14 -
Copyright (c) 2000,2014 Philippe Latu. Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation
License, Version 1.3 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover
Texts. A copy of the license is included in the section entitled GNU Free Documentation License . Copyright (c) 2000,2014 Philippe Latu. Permission est
accorde de copier, distribuer et/ou modifier ce document selon les termes de la Licence de Documentation Libre GNU (GNU Free Documentation License),
version 1.3 ou toute version ultrieure publie par la Free Software Foundation ; sans Sections Invariables ; sans Texte de Premire de Couverture, et
Analysez l'en-tte UDP du premier message DNS mis par le client Web.
Q8.
Q9.
Faites un croquis des piles de protocoles des couches physiques application pour le client et le serveur ; identifiez
les units de donnes de protocoles (PDU) et les communications de bout en bout.
- 15 -
Copyright (c) 2000,2014 Philippe Latu. Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation
License, Version 1.3 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover
Texts. A copy of the license is included in the section entitled GNU Free Documentation License . Copyright (c) 2000,2014 Philippe Latu. Permission est
accorde de copier, distribuer et/ou modifier ce document selon les termes de la Licence de Documentation Libre GNU (GNU Free Documentation License),
version 1.3 ou toute version ultrieure publie par la Free Software Foundation ; sans Sections Invariables ; sans Texte de Premire de Couverture, et
Q10.
Q11.
Q12.
Q14.
Q15.
Q16.
Q18.
Q19.
Q20.
Q21.
Q22.
Identifiez la trame qui correspond au second segment TCP dans la procdure en trois tapes (three ways
handshake).
- 16 -
Copyright (c) 2000,2014 Philippe Latu. Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation
License, Version 1.3 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover
Texts. A copy of the license is included in the section entitled GNU Free Documentation License . Copyright (c) 2000,2014 Philippe Latu. Permission est
accorde de copier, distribuer et/ou modifier ce document selon les termes de la Licence de Documentation Libre GNU (GNU Free Documentation License),
version 1.3 ou toute version ultrieure publie par la Free Software Foundation ; sans Sections Invariables ; sans Texte de Premire de Couverture, et
Q23.
Q24.
Q25.
Q26.
Identifiez la trame qui correspond au dernier segment TCP dans la procdure en trois tapes (three ways
handshake).
Q27.
Q28.
Q29.
tailles de fentre ;
Vrifiez que tout correspond aux valeurs
attendues.
Quelle est la longueur du segment TCP ?
Q31.
Q32.
Copyright (c) 2000,2014 Philippe Latu. Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation
License, Version 1.3 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover
Texts. A copy of the license is included in the section entitled GNU Free Documentation License . Copyright (c) 2000,2014 Philippe Latu. Permission est
accorde de copier, distribuer et/ou modifier ce document selon les termes de la Licence de Documentation Libre GNU (GNU Free Documentation License),
version 1.3 ou toute version ultrieure publie par la Free Software Foundation ; sans Sections Invariables ; sans Texte de Premire de Couverture, et
Q33.
Q34.
Q35.
Internet Control Message Protocol ou ICMP ; messages de type : Echo, Echo Reply et Time Exceeded.
Internet Protocol ou IP ; champ de l'en-tte IP : Time to Live.
Commande ping.
Commandes traceroute et tcptraceroute.
- 18 -
Copyright (c) 2000,2014 Philippe Latu. Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation
License, Version 1.3 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover
Texts. A copy of the license is included in the section entitled GNU Free Documentation License . Copyright (c) 2000,2014 Philippe Latu. Permission est
accorde de copier, distribuer et/ou modifier ce document selon les termes de la Licence de Documentation Libre GNU (GNU Free Documentation License),
version 1.3 ou toute version ultrieure publie par la Free Software Foundation ; sans Sections Invariables ; sans Texte de Premire de Couverture, et
Lancez Wireshark.
Lancez la capture des trames sans restrictions d'adresses, de protocoles ou de volume.
Lancez une console et tapez une commande du type ping -c10 www.phrack.org. L'option -c10 limite le
nombre de requtes ICMP 10. Bien sr, le choix de l'adresse contacter est totalement libre.
Arrtez la capture lorsque l'invite de commande rapparat la console.
Sauvegardez le fichier de capture.
Commande traceroute
1
2
3
4
5
Lancez Wireshark.
Lancez la capture des trames sans restrictions d'adresses, de protocoles ou de volume.
Lancez une console et tapez une commande du type traceroute www.phrack.org. Bien sr, le choix de
l'adresse contacter est totalement libre.
Arrtez la capture lorsque l'invite de commande rapparat la console.
Sauvegardez le fichier de capture.
La plage de ports UDP utilise par dfaut par la commande traceroute est de plus en plus frquemment bloque par
les quipements d'interconnexion. Il est alors utile d'envisager l'emploi de la commande tcptraceroute avec laquelle
on peut fixer les ports source et destination.
Commande tcptraceroute
1
2
3
4
5
Lancez Wireshark.
Lancez la capture des trames sans restrictions d'adresses, de protocoles ou de volume.
Lancez une console et tapez une commande du type tcptraceroute -p 1024 www.phrack.org 80. Bien sr,
le choix de l'adresse contacter est totalement libre.
Arrtez la capture lorsque l'invite de commande rapparat la console.
Sauvegardez le fichier de capture.
Q45.
- 19 -
Copyright (c) 2000,2014 Philippe Latu. Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation
License, Version 1.3 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover
Texts. A copy of the license is included in the section entitled GNU Free Documentation License . Copyright (c) 2000,2014 Philippe Latu. Permission est
accorde de copier, distribuer et/ou modifier ce document selon les termes de la Licence de Documentation Libre GNU (GNU Free Documentation License),
version 1.3 ou toute version ultrieure publie par la Free Software Foundation ; sans Sections Invariables ; sans Texte de Premire de Couverture, et
Q46.
Q51.
Copyright (c) 2000,2014 Philippe Latu. Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation
License, Version 1.3 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover
Texts. A copy of the license is included in the section entitled GNU Free Documentation License . Copyright (c) 2000,2014 Philippe Latu. Permission est
accorde de copier, distribuer et/ou modifier ce document selon les termes de la Licence de Documentation Libre GNU (GNU Free Documentation License),
version 1.3 ou toute version ultrieure publie par la Free Software Foundation ; sans Sections Invariables ; sans Texte de Premire de Couverture, et
Q56.
Q58.
Q61.
- 21 -
Copyright (c) 2000,2014 Philippe Latu. Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation
License, Version 1.3 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover
Texts. A copy of the license is included in the section entitled GNU Free Documentation License . Copyright (c) 2000,2014 Philippe Latu. Permission est
accorde de copier, distribuer et/ou modifier ce document selon les termes de la Licence de Documentation Libre GNU (GNU Free Documentation License),
version 1.3 ou toute version ultrieure publie par la Free Software Foundation ; sans Sections Invariables ; sans Texte de Premire de Couverture, et
Q64.
Q65.
8-4-5 - Variantes
Il est possible de reprendre les questions ci-dessus en utilisant diffrentes options des commandes traceroute et|
ou tcptraceroute.
9 - Documents de rfrence
Guide de l'utilisateur
Le Wireshark User's Guide est la rfrence la plus complte sur l'utilisation de notre analyseur de trafic
favori !
Protocoles
Le fichier PDF TCP/IP and tcpdump Pocket Reference Guide est une antische sur les champs des enttes des protocoles essentiels ; un document indispensable pour la pratique de l'analyse rseau.
Travaux pratiques
Le support Configuration d'une interface de rseau local prsente les oprations de configuration d'une
interface rseau et propose une exploitation des protocoles TCP/IP et ICMP sans recours un analyseur
rseau.
Le chapitre Using Ethereal - Chapter 4 of Ethereal packet sniffing est un extrait de livre consacr la
version antrieure de l'analyseur de trafic rseau.
Le site Ethereal Labs prsente d'autres travaux pratiques bass sur Ethereal, la version antrieure de
l'analyseur de trafic rseau.
- 22 -
Copyright (c) 2000,2014 Philippe Latu. Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation
License, Version 1.3 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover
Texts. A copy of the license is included in the section entitled GNU Free Documentation License . Copyright (c) 2000,2014 Philippe Latu. Permission est
accorde de copier, distribuer et/ou modifier ce document selon les termes de la Licence de Documentation Libre GNU (GNU Free Documentation License),
version 1.3 ou toute version ultrieure publie par la Free Software Foundation ; sans Sections Invariables ; sans Texte de Premire de Couverture, et
10 - Remerciements Developpez
L'quipe Rseaux remercie Philippe Latu pour la rdaction de ce tutoriel.
Nos remerciements milkoseck et ClaudeLELOUP pour leur relecture orthographique.
N'hsitez pas commenter cet article ! Commentez
- 23 -
Copyright (c) 2000,2014 Philippe Latu. Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation
License, Version 1.3 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover
Texts. A copy of the license is included in the section entitled GNU Free Documentation License . Copyright (c) 2000,2014 Philippe Latu. Permission est
accorde de copier, distribuer et/ou modifier ce document selon les termes de la Licence de Documentation Libre GNU (GNU Free Documentation License),
version 1.3 ou toute version ultrieure publie par la Free Software Foundation ; sans Sections Invariables ; sans Texte de Premire de Couverture, et