Capteurs 

et mesures en  29/11/2016
télécommunications

Analyseur de paquets Analyseur de paquets
Usages
Un analyseur de paquets (aussi connu comme un analyseur de réseau, ƒAnalyser les problèmes réseau
analyseur de protocole ou renifleur de paquets -ou, pour certains types de
réseaux , un renifleurs Ethernet ou renifleurs sans fil) est un programme ƒDétecter les tentatives d'intrusion réseau (piratage (hacking ))
informatique ( logiciel ) ou un morceau de matériel informatique qui peut lire et
enregistrer le trafic qui passe au- dessus un convertisseur numérique réseau ou ƒDétecter une mauvaise utilisation du réseau par les utilisateurs internes et externes
d'une partie d'un réseau. Comme les flux de données circulent à travers le réseau,
le sniffer capture chaque paquet et, si nécessaire, décode les données brutes ƒObtenir des informations pour effectuer une intrusion réseau
(base) du paquet, montrant les valeurs des différents champs dans le paquet, et
analyse son contenu selon le lieu RFC (Request for comment) ou d' autres ƒIsoler les systèmes exploités
spécifications. L'analyseur de paquets permet ainsi la résolution de problèmes
réseaux en visualisant ce qui passe à travers l'interface réseau. ƒSurveiller l'utilisation de la bande passante WAN (Wide Area Network) des réseaux
étendus (WAN est un réseau informatique ou un réseau de télécommunications
Types Le renifleur peut être un équipement matériel ou un logiciel : le couvrant une grande zone géographique )
premier est bien plus puissant et efficace que le second, encore ƒSurveiller l'utilisation du réseau (y compris les utilisateurs et les systèmes internes
que, la puissance des machines augmentant sans cesse. Mais le et externes)
premier est surtout beaucoup plus cher que le second.
ƒSurveiller les données en mouvement
ƒSurveiller l'état de la sécurité WAN et de l'extrémité
USTHB 2016/2017 Dr T.Bensouici 82 USTHB 2016/2017 Dr T.Bensouici 83

Analyseur de paquets Analyseur de paquets
Usages Analyseurs de paquets notables
ƒ Rassemblez et signalez les statistiques du réseau

ƒFiltrer le contenu suspect du trafic réseau ‰ Analyseur de réseau Capsa ‰Ngrep, Réseau Grep

‰Carnivore (FBI) ‰OmniPeek
ƒServir de source de données principale pour la surveillance et la gestion quotidiennes
du réseau
‰ CommView ‰SkyGrabber
‰ dsniff ‰ espionner
ƒSpy
Spy sur les autres utilisateurs du réseau et de recueillir des informations sensibles ‰ ettercap
tt ‰ tcpdump
telles que les détails de connexion ou les cookies des utilisateurs (en fonction de
toutes les méthodes de cryptage du contenu qui peuvent être utilisés)
‰ Violoneux ‰Wireshark (anciennement 
‰ Kismet connu sous le nom Ethereal)
ƒDéboguer (CORRECTION) les communications client / serveur ‰ Lanmeter ‰Xplico
ƒImplémentations de protocole de réseau de débogage
ƒVérifier l'efficacité du système de contrôle interne (pare-feu, contrôle d'accès, filtre
‰ Moniteur réseau Microsoft
Web, filtre anti-spam, proxy) ‰ NarusInsight
‰ Systèmes NetScout nGenius
Infinistream
USTHB 2016/2017 Dr T.Bensouici 84 USTHB 2016/2017 Dr T.Bensouici 85

Analyseur de paquets Analyseur de paquets
Protocole Ensemble de règles permettant à des entités informatiques de
communiquer (clairement) sans ambiguïté et sans erreur.
La suite TCP/IP est l'ensemble des protocoles utilisés pour le transfert des données sur
Au début des années 1970, lorsque s'est posé le problème de faire communiquer
Internet. Elle est souvent appelée TCP/IP, d'après le nom de ses deux premiers protocoles : 2 machines au travers d'un réseau, ce gros problème a été divisé en plusieurs
TCP (Transmission Control Protocol) et IP (Internet Protocol).
sous-problèmes. Cette normalisation est le modèle OSI (Modèle formel en couches
Le Domain Name System (ou DNS, système de noms de domaine) est un service
permettant de traduire un nom de domaine en informations de plusieurs types qui y sont couvrant tous les aspects de la communication d
d'ordinateurs
ordinateurs en réseau et normalisé par
associées, notamment en adresses IP de la machine portant ce nom.
l'ISO.). Une couche du modèle OSI correspond donc à un sous-problème. Un
L'HyperText Transfer Protocol, plus connu sous l'abréviation HTTP — littéralement protocole « appartient » à une couche s'il résout ce sous-problème. Un protocole
« protocole de transfert hypertexte » — est un protocole de communication client-serveur
développé pour le World Wide Web. correspond donc à un traitement effectué. Ce traitement est implémenté dans
différents composants du réseau. Dans votre machine, où les traitement de
File Transfer Protocol (protocole de transfert de fichier), ou FTP, est un protocole
toutes les couches sont implémentés, vous devez savoir où chacun l'est :
de communication destiné au partage de fichiers sur un réseau TCP/IP. Il permet,
depuis un ordinateur, de copier des fichiers vers un autre ordinateur du réseau, ou
encore de supprimer ou de modifier des fichiers sur cet ordinateur.
USTHB 2016/2017 Dr T.Bensouici 86 USTHB 2016/2017 Dr T.Bensouici 87

1
Capteurs et mesures en  29/11/2016
télécommunications

Analyseur de paquets Analyseur de paquets
Couche Problème Implémenté dans Exemple de protocole
Communication
Le « modèle Internet » est celui qui implémente les protocoles de la famille « TCP/IP »
Application
machine/utilisateur
Logiciel http, ftp, ssh, ... appelée aussi DoD (Department of Defense) :
Transport Faire communiquer 2 machines
OS TCP, UDP
entre elles indépendamment de
ce qui se passe sur le réseau (Operating System) Cette couche fournit simplement le point d'accès au réseau
système d'exploitation
par les applications.
Réseau
Trouver le chemin
OS
entre les 2 machines (la IP ggère les communications de bout en bout entre pprocessus.
suite d'équipements
intermédiaires à ajoute la notion de routage des paquets d'information depuis une
traverser)
Gérer l'accès au
adresse source et en les transférant de proche en proche vers une
Liaison de données Carte réseau
medium (câble, sansfil, Ethernet, WiFi, … adresse destination (c'est par exemple à ce niveau qu'interviennent
fibre, …), comme
accès multiple,
les adresses IP).
correction d'erreur, etc.
Physique Assurer la traduction
Carte réseau Ethernet, WiFi, …
La couche physique + La couche de liaison
bit/ondes
électromagnétiques
Encapsulation
USTHB 2016/2017 Dr T.Bensouici 88 USTHB 2016/2017 Dr T.Bensouici 89

Analyseur de paquets Analyseur de paquets
Tout d’abord une bref vue d’ensemble sur comment les ordinateurs communiquent entre 
eux (et internet).
pour comprendre ce que fait Wireshark, il faut en premier lieu comprendre comment
les ordinateurs discutent entre eux sur le réseau et comment ils utilisent ces
informations pour : discuter, se connecter, envoyer des images ... Etc

Quand un ordinateur parle à un autre ordinateur sur le réseau, ils s’envoient

chacun des paquets de données. Ces paquets font des choses comme
négocier la connexion, diffuser des cookies ou des authentifications de mot de
passe, transfèrent de fichiers, page html, etc …

USTHB 2016/2017 Dr T.Bensouici 90 USTHB 2016/2017 Dr T.Bensouici 91

Wireshark

Analyseur de paquets Analyseur de paquets
Ce que fait Wireshark.
Wireshark (anciennement Ethereal) est un logiciel libre d'analyse de protocole, ou « packet sniffer »,
utilisé dans le dépannage et l'analyse de
Quand vous allez vous connecter à un site internet par exemple, votre navigateur va réseaux informatiques, le développement de protocoles, l'éducation et la rétro-ingénierie, mais aussi le
piratage. Son but est de réaliser des captures de trames dévoilant des failles de sécurité, voir de
envoyer un POST à un serveur sur internet. Wireshark va capturer ce POST et si
localiser des pertes de performances sur le réseau.
vous savez où regarder, vous pourrez trouver des informations très intéressantes
comme desd pseudosd ou des
d passwordsd en plain
l i text. Sauf
S f sii ce dernier
d i est un site i Wireshark est multi-plates-formes, fonctionnant sur pratiquement tous les environnements et
HTTPS, à ce moment, les données seront cryptées. reconnaissant pratiquement tout les protocoles informatique existants.
Pour crypter vos données de navigation, même sur les sites en http, Il fonctionne sous Windows, Mac OS X, Linux, Solaris, ainsi que sous FreeBSD.
Site officiel : http://www.wireshark.org/
je vous conseille :
Documentation :
https://www.eff.org/fr/https-everywhere - NSA is watching you ! http://www.wireshark.org/docs/wsug_html_chunked/index.html
[Source : http://fr.wikipedia.org/wiki/Wireshark]

USTHB 2016/2017 Dr T.Bensouici 92 USTHB 2016/2017 Dr T.Bensouici 93

2
Capteurs et mesures en  29/11/2016
télécommunications

Wireshark Wireshark

Capturer des données avec Wireshark Capturer des données avec Wireshark
Après l’installation Le logiciel (Wireshark) s'ouvre sur cette page de menu ,  découpé en 
quatre zones :

(1) liste des interfaces et lancement rapide d'une capture

(2) Aide sur la capture de paquets

(3) Analyse d'une capture précédente enregistrée sur fichier

(4) Aide online et manuel utilisateur

fenêtre d'ouverture de Wireshark
USTHB 2016/2017 Dr T.Bensouici 94 USTHB 2016/2017 Dr T.Bensouici 95

Wireshark Wireshark

Capturer des données avec Wireshark Capturer des données avec Wireshark
Cliquez sur "Capture" dans le menu et ensuite sur "Interface".
Choisissez l'interface à surveiller et lancez la capture en cliquant sur Start.
Désormais vous voyez défiler très rapidement sur votre écran de nombreux paquets.

Le logiciel présente l'interface de l'analyseur (Figure suivante ). Cette interface est

découpée en trois zones :
‰ Zone supérieure, numérotée (1) sur Figure : liste l'ensemble des paquets capturés. Sont
spécifiés l’émetteur de la trame, le destinataire de la trame et le protocole réseau
mis en œuvre;
‰Zone centrale, numérotée (2) sur Figure : affiche le détail d'un paquet sélectionné
(couche par couche) dans la liste des paquets de la zone supérieure.
‰ Zone inférieure, numérotée (3) sur Figure : présente l'ensemble du paquet capturée au
format hexadécimal et la traduction ASCII correspondante.

USTHB 2016/2017 Dr T.Bensouici 96 USTHB 2016/2017 Dr T.Bensouici 97

Wireshark Wireshark

Capturer des données avec Wireshark Capturer des données avec Wireshark
Analyse d'un paquet Analyse d'un paquet
Lorsqu'un paquet est sélectionné, la zone centrale permet de visualiser clairement les 
différentes couches d'encapsulation du paquet. Par exemple si l'on sélectionne un paquet 
de type UDP , la zone centrale pourrait afficher quelque chose de similaire à ce qui est 
présenté Figure 4.
Les 5 entrées présentées correspondent à différentes encapsulations, ordonnées de la 
couche la plus basse à la couche la plus haute :
1 D
1. Données sur le média de capture : Wire
é l édi d t Wi = filaire sur Figure 4
fil i Fi 4
2. Trame relative à la couche liaison de donnée : Ethernet II sur Figure 4
3. Paquet relatif à la couche réseau : Internet Protocol sur Figure 4
4. Datagramme relatif à la couche transport : User Datagram Protocol sur Figure 4
5. Données de l'application : regroupe généralement les couches session, présentation, Encapsulation d'un paquet UDP, zone centrale de l'analyseur.
application.
User Datagram Protocol (UDP, en français protocole de datagramme utilisateur)

USTHB 2016/2017 Dr T.Bensouici 98 USTHB 2016/2017 Dr T.Bensouici 99

3
Capteurs et mesures en  29/11/2016
télécommunications

Wireshark Wireshark

Capturer des données avec Wireshark Capturer des données avec Wireshark
Filtrage de paquets Filtrage de paquets

L'intégralité des paquets capturés est listée dans la zone supérieure de l'analyseur. Il
estsouvent utile de filtrer les paquets à capturer, afin de pouvoir visualiser
correctement un certain type de paquets seulement. Wireshark permet de filtrer les
paquets à capturer en fonction des informations des différentes couches
d'encapsulation.
La mise en place d'un filtre s'effectue par le biais d'une règle de filtre à définir dans
la zone « filtre » de l'analyseur.
Une règle de filtre est constituée d'un ensemble de tests d'expressions impliquant des
noms de champs et des valeurs. Un paquet n'est alors listé qu'à la condition
qu'ilsatisfasse les conditions du filtre.
L'ensemble des champs utilisables dans l'établissement des règles est listé dans la
fenêtre pop-up accessible en cliquant sur le bouton « expression ».
Les règles peuvent être élaborées en sélectionnant les champs a partir de cette fenêtre
, ou en les écrivant directement dans la zone de filtre.
Un ensemble de filtres pré-définis est accessible en cliquant sur le bouton « filter ».
Cette liste de filtres peut être complétée d'entrées enregistrées..

USTHB 2016/2017 Dr T.Bensouici 100 USTHB 2016/2017 Dr T.Bensouici 101

Wireshark

Capturer des données avec Wireshark
Quelques filtres

Désignation Filtre associé :

Segments TCP uniquement tcp

Paquets relatifs à TCP uniquement ip.proto == 0x06

Adresse ip 192.168.0.1 ou 192.168.1.5 ip.addr == 192.168.0.1 || ip.addr == 192.168.1.5

Trafic HTTP uniquement http

Segment TCP sauf sur port 80 tcp && !(tcp.port == 80)

Adresse Ethernet 00:FF:12:34:AE:FF eth.addr == 00:FF:12:34:AE:FF

Trafic 192.168.0.1 vers 197.168.10.5 ip.src == 192.168.0.1 && ip.dst == 197.168.10.5

Trafic UDP entre ports 40 et 67 udp && udp.port >= 40 && udp.port <=67

Trafic MSN tcp && tcp.port ==1863

USTHB 2016/2017 Dr T.Bensouici 102