Groupe Agif Informatique

338647314

Les outils de l'administrateur réseau

La commande ping
Ping est une commande permettant de tester l'accessibilité d'une autre machine à travers un
réseau IP. La commande mesure également le temps mis pour recevoir une réponse, appelé
round-trip time (temps aller-retour).Ping utilise une requête ICMP Request et attend une
réponse Reply. L'envoi est répété pour des fins statistiques : déterminer le taux de paquets
perdus et le délai moyen de réponse. Si d'autres messages ICMP sont reçus de la part de routeurs
intermédiaires (comme TTL exceeded, Fragmentation needed, administratively prohibited…),
ils sont affichés à l'écran.
EX
C:\>ping 45.20. 174.225

Ping 213.248.93.86 avec 32 octets de données :

Réponse de 213.248.93.86 : octets=32 temps<10ms TTL=53

Réponse de 213.248.93.86 : octets=32 temps<10ms TTL=53
Réponse de 213.248.93.86 : octets=32 temps<10ms TTL=53
Réponse de 213.248.93.86 : octets=32 temps<10ms TTL=53
La commande ifconfig
La commande ifconfig permet la configuration locale ou à distance des interfaces réseau de
tous types d'équipements (unité centrale, routeur). Sans paramètres, la commande ifconfig
permet d'afficher les paramètres réseau des interfaces.
La ligne de commande est :
ifconfig interface adresse [parametres].
Exemple : ifconfig eth0 192.168.1.2 (affecte l'adresse 192.168.1.2 à la première interface
physique).
Voici les principaux arguments utilisés :
interface logique ou physique, il est obligatoire,
up active l'interface
down désactive l'interface
mtu définit l'unité de transfert des paquets (sur PPPoE : MTU = 1 492 octets)
netmask affecter un masque de sous-réseau
broadcast définit l'adresse de broadcast
arp ou -arp activer ou désactiver l'utilisation du cache arp de l'interface
metric paramètre utilisé pour l'établissement des routes dynamiques, et déterminer le “ coût ”
(nombre de sauts ou “ hops ”) d'un chemin par le protocole RIP.
multicast active ou non la communication avec des machines qui sont hors du réseau.
La commande Host
host interroge un serveur DNS pour connaître l'adresse IP d'une machine à partir de son nom
ou l'inverse;
La commande nslookup
Nslookup (Name System Look Up) est un outil permettant d'interroger un serveur de noms afin
d'obtenir les informations concernant un domaine ou un hôte et permet ainsi de diagnostiquer
les éventuels problèmes de configuration du DNS.
Par défaut la commande nslookup interroge le serveur de noms primaire configuré sur la
machine. Il est toutefois possible d'interroger un serveur de noms spécifique en le spécifiant à
la suite de la commande précédé du signe "-" :
nslookup host.name -serveur.de.nom
La commande arp

M. BODIAN
Groupe Agif Informatique
338647314

Description de la commande
La commande arp permet de visualiser ou modifier la table du cache arp de l'interface. Cette
table peut être statique et (ou) dynamique. Elle donne la correspondance entre une adresse IP
et une adresse MAC (Ethernet).
A chaque nouvelle requête, le cache ARP de l'interface est mis à jour. Il y a un nouvel
enregistrement. Cet enregistrement à une durée de vie (ttl ou Time To Live).
Voici un exemple de cache ARP obtenu avec la commande arp -va :
? (192.168.1.2) at 00:40:33:2D:B5:DD [ether] on eth0
>Entries: 1 Skipped: 0 Found: 1
On voit l'adresse IP et l'adresse MAC correspondante. Il n'y a qu'une entrée dans la table. Voici
les principales options de la commande arp :
arp -s (ajouter une entrée statique), exemple : arp -s 192.168.1.2 00:40:33:2D:B5:DD
arp -d (supprimer une entrée), exemple : arp -d 192.168.1.2
La commande traceroute
La commande traceroute permet d'afficher le chemin parcouru par un paquet pour arriver à
destination. Cette commande est importante, car elle permet d'équilibrer la charge d'un réseau,
en optimisant les routes.
La commande route
Elle affiche la table de routage qui réside dans le noyau et est aussi utilisée pour modifier la
table de routage. Les tables qui spécifient comment les paquets sont routés à un hôte sont
appelées tables de routage. Le routage définit le chemin emprunté par les paquets entre son
point de départ et son point d'arrivée. Cette commande permet également la configuration de
pc, de switchs de routeurs.
Il existe 2 types de routages :
- le routage statique
- le routage dynamique.
Le routage statique consiste à imposer aux paquets la route à suivre.
Le routage dynamique met en oeuvre des algorithmes, qui permettent aux routeurs d'ajuster les
tables de routage en fonction de leur connaissance de la topologie du réseau. Cette actualisation
est réalisée par la réception des messages reçus des noeuds (routeurs) adjacents.
Le routage dynamique permet d'avoir des routes toujours optimisées, en fonction de l'état du
réseau (nouveaux routeurs, engorgements, pannes).
On combine en général le routage statique sur les réseaux locaux au routage dynamique sur les
réseaux importants ou étendus.
Un administrateur qui dispose par exemple de 2 routeurs sur un réseau, peut équilibrer la charge
en répartissant une partie du flux sur un port avec une route, et une autre partie sur le deuxième
routeur.
La commande netstat
La commande netstat, permet de tester la configuration du réseau, visualiser l'état des
connexions, établir des statistiques, notamment pour surveiller les serveurs.
Liste des paramètres utilisables avec netstat :
Sans argument, donne l'état des connexions,
La commande dig
Cette commande sert à diagnostiquer des dysfonctionnements dans la résolution de noms
(Service DNS).
Installation de la carte réseau
Les cartes réseau sont souvent détectées au démarrage. Si ce n'est pas le cas il faudra charger
les modules correspondants.
Pour obtenir la liste des interfaces réseau qui ont été détectées, on peut utiliser dans le shell
ifconfig -a

M. BODIAN
Groupe Agif Informatique
338647314

Les sections qui commencent par ethX correspondent aux cartes Ethernet, où X est le numéro
de la carte.
Si la carte n'est pas détectée, il faudra charger le module avec la commande
modprobe <nom du module>
Parmi les modules courants on peut noter : ne2k-pci pour les cartes NE2000, via-rhine,
rtl8139...
Les modules disponibles pour votre noyau se trouvent dans /lib/modules/<nom du
noyau>/kernel/drivers/net/. La commande suivante affiche les modules réseau disponibles pour
le noyau en cours d'utilisation :
ls /lib/modules/`uname -r`/kernel/drivers/net/
Pour connaître le nom du module en fonction du nom commercial d'une carte, une recherche
sur l'internet est souvent la meilleure solution.
Le noyau donne parfois des informations utiles sur les cartes réseau. On peut rechercher les
messages contenant "eth0" pour avoir plus d'informations sur la première carte réseau détectée :
dmesg | grep eth0
La commande suivante permet d'afficher les cartes réseaux reliées au bus PCI :
lspci | grep Ethernet
Configuration de l'interface réseau
Une fois votre carte reconnue par le noyau, vous devez au moins préciser son adresse IP et son
masque de sous-réseau. Dans le cas d'un réseau local connecté à l'internet, vous devez aussi
ajouter l'adresse IP de la passerelle et l'adresse IP d'un ou plusieurs serveurs DNS.
Passerelle et routage
Pour ajouter une passerelle, on peut utiliser la commande route :
route add default gw <adresse ip>
Pour afficher les routes vers les différents réseaux :
route -n
Nom d'hôte (hostname)
Le fichier /etc/hostname contient le nom de la machine. Il suffit de l'éditer pour changer le nom
d'hôte de la machine. Cette modification n'est pas prise en compte immédiatement par le
système, elle le sera au prochain démarrage de la machine ou après avoir lancé :
/etc/init/hostname.sh (ubuntu)
On peut également changer le nom d'hôte avec la commande suivante, mais il ne sera pas
conservé au prochain démarrage :
hostname <nom d'hôte>
Configuration automatique au démarrage
Le fichier /etc/network/interfaces permet de configurer les cartes réseau de manière
permanente.
Par exemple :
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 192.168.1.100
netmask 255.255.255.0
gateway 192.168.1.1
dns-nameservers 8.8.8.8
Cette configuration initialisera automatiquement les interfaces "lo" et "eth0".
L'interface "lo" est souvent indispensable au système, il est important de l'initialiser. Elle aura
systématiquement l'adresse IP 127.0.0.1.

M. BODIAN
Groupe Agif Informatique
338647314

L'interface "eth0" sera configurée avec l'adresse IP 192.168.1.100, le masque de sous réseau
255.255.255.0 et la passerelle 192.168.1.1 (ce paramètre est facultatif).
Dans le cas d'une IP fixe, il vaut mieux renseigner un serveur DNS (ci-dessus celui de Google).
Sinon, si l'interface eth0 doit être configurée automatiquement par un serveur DHCP, il faut
indiquer :
auto eth0
iface eth0 inet dhcp
Pour que les modifications de ce fichier soient prises en compte, il faut redémarrer ou utiliser
les commandes ifup et ifdown. Par exemple :
ifup eth0
Résolution de noms d'hôte
Le fichier /etc/host.conf indique comment les noms doivent être résolus (c'est à dire comment
passer d'une adresse IP à un nom, et inversement). Par exemple :
# D'abord traduire avec les serveurs DNS et ensuite avec /etc/hosts.
order bind,hosts

# Il existe des machines avec plusieurs adresses

multi on

# Vérifie l'usurpation d'adresse IP

nospoof on
Serveurs DNS
Le fichier /etc/resolv.conf contient les adresses IP des serveurs DNS. Par exemple :
nameserver 20.14.86.1
nameserver 20.14.86.200
search licence
La commande search indique que si un nom de domaine n'est pas trouvé, il faudra essayer en
lui ajoutant .licence.
La commande lsofpermet de lister les fichiers ouverts et les processus actifs.

Pour indiquer les processus de type internet :

$ lsof -i

On peut ne demander que pour un protocole lsof -ni tcp:25 ou que vers une machine :

$ lsof -ni @192.168.0.1:25

Pour connaître tous les fichiers ouverts par sur /hda1 :

$ lsof /dev/hda1.

Pour connaître tous les ports réseau ouvert par le processus 1234 (-a est interprété comme AND)
:

$ lsof -i -a -p 1234

La forme suivante de la commande permet de connaître tous les fichiers ouverts par l'utilisateur
200 ou aliu ou par le processus 1234 ou 12345.

M. BODIAN
Groupe Agif Informatique
338647314

$ lsof -p 1234, 12345 -u 200, aliu

La commande Telnet
Telnet était l'outil indispensable à connaître. Malheureusement, elle pose de sérieux problèmes
de sécurité (elle transmet les mots de passe en clair sur le réseau). C'est pourquoi on lui préfère
la commande ssh (ou la version autorisée en France ssf) surtout si on doit s'en servir sur un
réseau local ou sur internet.
Ftp
ftp est un outil qui permet de télécharger des fichiers entre machines. Attention toutefois le
serveur ftp pose un problème de sécurité important, utilisez plutôt SFTP, qui est disponible
avec SSH.
Tcpdump
La commande tcpdump permet de faire des captures de paquets sur votre réseau. Il n'est pas le
plus agréable à utiliser des utilitaires de ce type, des plus conviviaux existent. C'est un utilitaire
qui peut autant être utilisé par les administrateurs que par des pirates. On peut par exemple
l'utiliser pour capturer les mots de passe qui circulent en clair sur son réseau ou encore pour
vérifier par exemple lorsque son routeur monte la ligne sans que l'on sache l'origine de cette
montée de ligne. Comme de plus cela arrive la nuit (toujours quand on n'est pas là..!), il peut
être utile de placer tcpdump et de capturer les paquets à destination de votre routeur et
uniquement cela. Au petit matin en analysant le résultat vous savez quelle machine et quel
protocole monte la ligne.

Par exemple pour intercepter tous les paquets vers la machine 10.100.1.5 sur le port telnet :

$ tcpdump -l -q -x host 10.100.1.5 and port telnet

Pour intercepter tous les paquets d'une machine vers une autre sur le port telnet :

$ tcpdump -l -q -x dst 10.100.1.5 and src 10.100.1.19 and port telnet and tcp

Pour avoir tous les paquets qui arrivent sur votre machine 10.100.1.5 ne pas indiquer la source.
Nmap
nmap est un outil pour scanner les ports ouverts sur une machine distante. Son utilisation est
des plus simple :

Pour scanner une machine :

$ nmap 192.168.0.1

Pour scanner les machines se trouvant dans le plan d'adressage 192.168.0.0/24 :

$ nmap 192.168.0.0/24

Utilisez l'option -v pour avoir plus d'informations. On peut bien sûr ne scanner que certains
protocoles, par défaut le protocole scanné est TCP. Pour scanner les deux, TCP et UDP :

$ nmap -v -sU -sT 192.168.0.1

M. BODIAN