Travaux pratiques – Explorer le trafic DNS

Objectifs
Partie 1 : capturer le trafic DNS
Partie 2 : découvrir le trafic des requêtes DNS
Partie 3 : découvrir le trafic des réponses DNS

Contexte/scénario
Wireshark est un outil de capture et d'analyse de paquets open source. Wireshark produit une analyse
détaillée de la pile de protocoles réseau. Wireshark vous permet de filtrer le trafic pour des opérations de
dépannage du réseau, d'enquêter sur des problèmes de sécurité et d'analyser les protocoles réseau. Étant
donné que Wireshark vous permet d'afficher les informations sur les paquets, il peut être utilisé comme un
outil de reconnaissance par un hacker.
Au cours de ces travaux pratiques, vous allez installer Wireshark sur un système Windows et l'utiliser pour
filtrer les paquets DNS et afficher les détails des paquets de requête et de réponse DNS.

Ressources requises
• 1 PC Windows avec accès Internet et Wireshark installé

Partie 1 : Capturer le trafic DNS

Étape 1 : Télécharger et installer Wireshark.
a. Installez Wireshark pour Windows.
b. Wireshark peut être téléchargé à partir de www.wireshark.org.
c. Sélectionnez la version logicielle dont vous avez besoin en fonction de l'architecture et du système
d'exploitation de votre ordinateur. Par exemple, si vous disposez d'un ordinateur 64 bits exécutant
Windows, choisissez Windows Installer (64-bit) (Programme d'installation de Windows (64 bits)).
d. Une fois que vous avez effectué votre sélection, le téléchargement doit commencer. L'emplacement du
fichier téléchargé dépend de votre navigateur et du système d'exploitation que vous utilisez. Pour les
utilisateurs Windows, l'emplacement par défaut est le dossier Téléchargements.
e. Le fichier téléchargé est nommé Wireshark-win64-x.x.x.exe, où x représente le numéro de version.
Cliquez deux fois sur le fichier pour lancer la procédure d'installation.
Répondez à tous les messages de sécurité qui s'affichent à l'écran. Si vous disposez déjà d'une copie de
Wireshark sur votre ordinateur, vous serez invité à désinstaller l'ancienne version avant d'installer la
nouvelle. Nous vous recommandons de supprimer l'ancienne version de Wireshark avant d'installer une
autre version. Cliquez sur Oui pour désinstaller la version précédente de Wireshark.

 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 1 sur 11 www.netacad.com
Travaux pratiques – Explorer le trafic DNS

f. Si c'est la première fois que vous installez Wireshark, ou après avoir terminé la procédure de
désinstallation, accédez à l'assistant de configuration de Wireshark. Cliquez sur Suivant.
g. Continuez à progresser dans la procédure d'installation. Cliquez sur I Agree (J'accepte) lorsque la fenêtre
contenant la licence d'utilisation s'affiche.
h. Conservez les paramètres par défaut dans la fenêtre Choose Components (Choisir les composants) et
cliquez sur Next (Suivant).

i. Choisissez les options de raccourci souhaitées, puis cliquez sur Suivant.

j. Vous pouvez modifier l'emplacement d'installation de Wireshark, mais à moins que vous ne disposiez d'un
espace disque limité, nous vous recommandons de conserver l'emplacement par défaut. Cliquez sur
Suivant pour continuer.
k. Pour enregistrer des données réseau en temps réel, il faut que WinPcap soit installé sur votre ordinateur.
Si WinPcap est déjà installé sur votre ordinateur, la case à cocher Install (Installer) sera désélectionnée. Si
la version de WinPcap que vous avez installée est antérieure à la version fournie avec Wireshark, il est
recommandé d'autoriser l'installation de la version la plus récente en sélectionnant la case à cocher
Install WinPcap x.x.x (numéro de version) (Installer WinPcap).
Si vous installez WinPcap, suivez toutes les étapes de l'Assistant d'installation et acceptez la licence
d'utilisation si nécessaire. Cliquez sur Next, pour continuer.
l. N'INSTALLEZ PAS USBPcap pour capturer le trafic normal. NE SÉLECTIONNEZ pas la case à cocher
pour installer USBPcap. USBPcap est expérimental et il peut causer des problèmes de périphérique
USB sur votre PC. Cliquez sur Install pour continuer.

 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 2 sur 11 www.netacad.com
Travaux pratiques – Explorer le trafic DNS

m. Wireshark commence à installer ses fichiers et affiche une fenêtre distincte indiquant l'état de l'installation.
Cliquez sur Next (Suivant) une fois l'installation terminée.
n. Cliquez sur Finish (Terminer) pour terminer le processus d'installation de Wireshark. Redémarrez
l'ordinateur, le cas échéant.

Étape 2 : Capturer le trafic DNS.

a. Cliquez sur Start et recherchez VirtualBox. Ouvrez Wireshark et démarrez une capture Wireshark en
double cliquant sur une interface réseau avec du trafic. Dans cet exemple, Ethernet est l'interface de
réseau avec du trafic.

b. Cliquez sur Start et recherchez l'invite de commande. Ouvrez l'invite de commande.

c. Dans l'invite de commande, tapez ipconfig/flushdns et appuyez sur Entrée pour effacer le cache DNS.

 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 3 sur 11 www.netacad.com
Travaux pratiques – Explorer le trafic DNS

d. Tapez nslookup et appuyez sur Entrée pour passer en mode interactif.

e. Saisissez le nom de domaine d'un site web. Dans cet exemple, nous utilisons le nom de domaine
www.cisco.com.

f. Tapez exit lorsque vous avez terminé. Fermez l'invite de commande.

g. Cliquez sur Stop capturing packets pour arrêter la capture Wireshark.

Partie 2 : Explorer le trafic des requêtes DNS

a. Examinez le trafic capturé dans le volet de la liste des paquets Wireshark. Saisissez udp.port == 53 dans
la zone de filtre et cliquez sur la flèche (ou appuyez sur Entrée) pour afficher uniquement les paquets
DNS.

 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 4 sur 11 www.netacad.com
Travaux pratiques – Explorer le trafic DNS

b. Sélectionnez le paquet DNS libellé Standard query 0x0002 A www.cisco.com.

c. Dans le volet des détails des paquets, notez que les informations Ethernet II, Internet Protocol Version 4,
User Datagram Protocol et Domain Name System (query) sont indiquées pour ce paquet.
d. Développez Ethernet II pour afficher les détails. Examinez les champs de source et de destination.

Quelles sont les adresses MAC source et de destination ? À quelles interfaces réseau ces adresses MAC
sont-elles associées ?
MAC Source ; Address: HewlettP_4d:89:3f (98:e7:f4:4d:89:3f)
MAC Destination : Address: Tp-LinkT_55:34:91 (c4:6e:1f:55:34:91)

 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 5 sur 11 www.netacad.com
Travaux pratiques – Explorer le trafic DNS
____________________________________________________________________________________
e. Développez Internet Protocol Version 4. Examinez les adresses IPv4 source et de destination.

Quelles sont les adresses IP source et de destination ? À quelles interfaces réseau ces adresses IP
sontelles associées ?
Source: 10.77.120.100
Destination: 10.77.120.1
____________________________________________________________________________________
f. Développez le protocole User Datagram Protocol. Examinez les ports source et de destination.

 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 6 sur 11 www.netacad.com
Travaux pratiques – Explorer le trafic DNS

Quels sont les ports source et de destination ? Quel est le numéro du port DNS par défaut ?
Source Port: 56908
Destination Port: 53
Le port DNS par defaut 53
____________________________________________________________________________________

 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 7 sur 11 www.netacad.com
Travaux pratiques – Explorer le trafic DNS
g. Ouvrez une invite de commande et saisissez arp – a et ipconfig/all pour enregistrer les adresses MAC et
IP de l'ordinateur.

Comparez les adresses MAC et IP des résultats de Wireshark aux résultats de ipconfig/all. Que
remarquez-vous ?
Les addresse MAC et ip se trouve dans la capture de paquet sur le Wireshark.
____________________________________________________________________________________
h. Développez Domain Name System (query) dans le volet des détails des paquets. Puis développez
Flags et Queries (les indicateurs et les requêtes).
i. Examinez les résultats. L'indicateur est défini pour que la requête demande de manière récursive
l'adresse IP de www.cisco.com.

 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 8 sur 11 www.netacad.com
Travaux pratiques – Explorer le trafic DNS

 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 9 sur 11 www.netacad.com
Travaux pratiques – Explorer le trafic DNS

Partie 3 : Explorer le trafic des réponses DNS

a. Sélectionnez le paquet DNS de réponse correspondant libellé Standard query response 0x000# A
www.cisco.com.

Quelles sont les adresses MAC et IP source et de destination et les numéros de port ? Que
remarquezvous par rapport aux adresses dans les paquets de requête DNS ?
MAC Destination : Address: HewlettP_4d:89:3f (98:e7:f4:4d:89:3f)
MAC Source: Address: Tp-LinkT_55:34:91 (c4:6e:1f:55:34:91)
Ip source: 10.77.120.1
Ip destination: 10.77.120.100
Source Port: 53
Destination Port: 56908

L’add. Source MAC , Ip Source , Port Souce sont maintenat des add. De Destination. Et les add.
Destinations son maintenant sources.
____________________________________________________________________________________
b. Développez Domain Name System (response). Puis développez Flags, Queries et Answers
(les indicateurs, les requêtes et les réponses).
Oui ! Le serveur DNS peut gerer les requetes recursives.

sur 11

c. Examinez les résultats. Le serveur DNS peut-il envoyer des requêtes récursives ? __________________

 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 10 www.netacad.com
Travaux pratiques – Explorer le trafic DNS

d. Examinez les enregistrements CNAME et A dans les détails des réponses. Quelles sont les différences
entre ces résultats ceux de nslookup ?
Les resultat de l’invite de commande et dans Wireshark sont identiques.
Remarques générales
1. D'après les résultats de Wireshark, que pouvez-vous apprendre d'autre sur le réseau lorsque vous supprimez
le filtre ?
Le protocole STUN, UDP, RTCP, http.
_______________________________________________________________________________________
2. Comment un hacker peut-il utiliser Wireshark pour compromettre la sécurité de votre réseau ?
Il peut utilisé Wireshark pour observer le trafic reseaux et obtenir des informations sensibles dans le trafic s’il
n’est pas chiffré.
_______________________________________________________________________________________

sur 11

 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 11 www.netacad.com