ANALYSE DE TRAMES

Jérôme CHAVIN

28/08/2015
 Encapsulation

En-tête Ethernet En-tête IP En-tête TCP Data

14 octets
5 mots de 4 octets
=> 20 octets

5 – 7 mots de 4 octets
=> 20 - 28 octets

Éléments transportés
=> x octets

ESEO 2
 Ethernet g1
00 15 77 26 6e e1 00 24 81 c8 41 8f 08 00 45 00 ..w&n..$..A...E.
00 34 05 ef 40 00 80 06 6a 5f c0 a8 04 51 c0 a8 .4..@...j_...Q..
04 d4 c0 bf 00 15 76 fa 7a c6 00 00 00 00 80 02 ......v.z.......
20 00 12 0d 00 00 02 04 05 b4 01 03 03 00 01 01 ...............
04 02 ..

Trouvez les deux adresses MAC des deux machines ?

- La longueur de l’en-tête de la trame Ethernet est de 14 octets (capture wireshark)

- 6 premiers octets : adresse MAC de destination 00 15 77 26 6e e1
- 6 octets suivants : adresse MAC source 00 24 81 c8 41 8f
Identifiez le protocole transporté par la trame Ethernet. Pourquoi ?

- 2 derniers octets : type de protocole transporté dans la trame Ethernet

- 0x0800 correspond à IP

ESEO 3
 Ethernet g2
00 24 81 c8 18 82 00 24 81 c8 41 7d 08 00 45 00 .$.....$..A}..E.
00 34 03 8f 40 00 80 06 6c d7 c0 a8 04 76 c0 a8 .4..@...l....v..
04 97 c0 94 00 15 65 20 5b 5a 00 00 00 00 80 02 ......e [Z......
20 00 43 94 00 00 02 04 05 b4 01 03 03 02 01 01 .C.............
04 02 ....

Trouvez les deux adresses MAC des deux machines ?

- La longueur de l’en-tête de la trame Ethernet est de 14 octets (capture wireshark)

- 6 premiers octets : adresse MAC de destination 00 24 81 c8 18 82
- 6 octets suivants : adresse MAC source 00 24 81 c8 41 7d
Identifiez le protocole transporté par la trame Ethernet. Pourquoi ?

- 2 derniers octets : type de protocole transporté dans la trame Ethernet

- 0x0800 correspond à IP

ESEO 4
 IP g1
00 15 77 26 6e e1 00 24 81 c8 41 8f 08 00 45 00 ..w&n..$..A...E.
00 34 05 ef 40 00 80 06 6a 5f c0 a8 04 51 c0 a8 .4..@...j_...Q..
04 d4 c0 bf 00 15 76 fa 7a c6 00 00 00 00 80 02 ......v.z.......
20 00 12 0d 00 00 02 04 05 b4 01 03 03 00 01 01 ...............
04 02 ..
Entête IP.

- La longueur de l’en-tête de la trame Ethernet est de 14 octets

- Dans la trame le protocole transporté est IP, codé 0800 dans la trame Ethernet.

- La longueur de l’en-tête du paquet IP est exprimée en mots de 4 octets dans le premier octet.
- La longueur de l’en-tête du paquet IP est de 20 octets (5 mots de 4 octets)
- Les 8 derniers octets de l’en-tête (sans options) sont l’adresse IP source et l'adresse IP
destination.
C0 A8 04 51 = 192.168.4.81
C0 A8 04 d4 = 192.168.4.212

- Le protocole est codé dans le 10ème octet de l’en-tête IP.

- Le paquet transporte un segment TCP (identifié par le champ 06 dans l’en-tête)

ESEO 5
 IP g2
00 24 81 c8 18 82 00 24 81 c8 41 7d 08 00 45 00 .$.....$..A}..E.
00 34 03 8f 40 00 80 06 6c d7 c0 a8 04 76 c0 a8 .4..@...l....v..
04 97 c0 94 00 15 65 20 5b 5a 00 00 00 00 80 02 ......e [Z......
20 00 43 94 00 00 02 04 05 b4 01 03 03 02 01 01 .C.............
04 02 ....
Entête IP.

- La longueur de l’en-tête de la trame Ethernet est de 14 octets

- Dans la trame le protocole transporté est IP, codé 0800 dans la trame Ethernet.

- La longueur de l’en-tête du paquet IP est exprimée en mots de 4 octets dans le premier octet.
- La longueur de l’en-tête du paquet IP est de 20 octets (5 mots de 4 octets)
- Les 8 derniers octets de l’en-tête (sans options) sont l’adresse IP source et l'adresse IP
destination.
C0 A8 04 76 = 192.168.4.118
C0 A8 04 97 = 192.168.4.151

- Le protocole est codé dans le 10ème octet de l’en-tête IP.

- Le paquet transporte un segment TCP (identifié par le champ 06 dans l’en-tête)

ESEO 6
 Transport - g1
00 15 77 26 6e e1 00 24 81 c8 41 8f 08 00 45 00 ..w&n..$..A...E.
00 34 05 ef 40 00 80 06 6a 5f c0 a8 04 51 c0 a8 .4..@...j_...Q..
04 d4 c0 bf 00 15 76 fa 7a c6 00 00 00 00 80 02 ......v.z.......
20 00 12 0d 00 00 02 04 05 b4 01 03 03 00 01 01 ...............
04 02 ..
Entête TCP.

- Les 4 premiers octets après le début de l'entête TCP indiquent les port utilisés.
- Le N° du port est c0bf en hexa soit 49343 en décimal, il s’agit donc d’un port client (>1024)
- Le N° du port est 15 en hexa soit 21 en décimal, il s’agit donc d’un serveur FTP

- Le segment transporte le numéro de séquence 76 fa 7a c6

- Le segment transporte le numéro d'acquittement 00 00 00 00

- La longueur de l’en-tête du segment TCP est exprimée en mots de 4 octets (Champ data Offset)

ESEO 7
 Transport - g2
00 24 81 c8 18 82 00 24 81 c8 41 7d 08 00 45 00 .$.....$..A}..E.
00 34 03 8f 40 00 80 06 6c d7 c0 a8 04 76 c0 a8 .4..@...l....v..
04 97 c0 94 00 15 65 20 5b 5a 00 00 00 00 80 02 ......e [Z......
20 00 43 94 00 00 02 04 05 b4 01 03 03 02 01 01 .C.............
04 02 ....
Entête TCP.

- Les 4 premiers octets après le début de l'entête TCP indiquent les port utilisés.
- Le N° du port est c094 en hexa soit 49300 en décimal, il s’agit donc d’un port client (>1024)
- Le N° du port est 15 en hexa soit 21 en décimal, il s’agit donc d’un serveur FTP

- Le segment transporte le numéro de séquence 65 20 5b 5a

- Le segment transporte le numéro d'acquittement 00 00 00 00

- La longueur de l’en-tête du segment TCP est exprimée en mots de 4 octets (Champ data Offset)

ESEO 8
 Transport – les flags

URG
Hex.

Dec.

ACK
PSH

SYN
RST

FIN
Length Reserved
0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
8002 02 02 1 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0
8012 12 18 1 0 0 0 0 0 0 0 0 0 0 1 0 0 1 0
5010 10 16 0 1 0 1 0 0 0 0 0 0 0 1 0 0 0 0

ESEO 9
 Transport - Application
00 11 25 30 2a a3 00 09 43 60 36 ff 08 00 45 00 Port 1155
00 57 85 0a 40 00 3e 06 97 39 c1 31 94 0e c0 a8
Port 21
0a 75 00 15 04 83 b4 18 26 4c a6 d8 a5 ce 50 18 Seq=b418264c
16 d0 2b b8 00 00 32 32 30 20 22 42 69 65 6e 76 ‘’Bienvenue s
ur Ack=a6d8a5ce
Taille : 47 oct le serveur de l’ESEO
65 6e 75 65 20 73 75 72 20 6c 65 20 73 65 72 76
65 75 72 20 46 54 50 20 64 65 20 4c 27 45 53 45 ets
4f 2e 22 0d 0a

00 09 43 60 36 ff 00 11 25 30 2a a3 08 00 45 00
Ack=b418267b
00 28 13 2a 40 00 80 06 c7 48 c0 a8 0a 75 c1 31 Seq=a6d8a5ce
94 0e 04 83 00 15 a6 d8 a5 ce b4 18 26 7b 50 10
ff d0 20 78 00 00

00 09 43 60 36 ff 00 11 25 30 2a a3 08 00 45 00 Ack=b418267b
00 38 13 2e 40 00 80 06 c7 34 c0 a8 0a 75 c1 31 Seq=a6d8a5ce
94 0e 04 83 00 15 a6 d8 a5 ce b4 18 26 7b 50 18
ff d0 20 88 00 00 55 53 45 52 20 61 6e 6f 6e 79 nymous
USER ano
6d 6f 75 73 0d 0a octets
Taille : 16
00 11 25 30 2a a3 00 09 43 60 36 ff 08 00 45 00
00 28 85 0b 40 00 3e 06 97 67 c1 31 94 0e c0 a8
0a 75 00 15 04 83 b4 18 26 7b a6 d8 a5 de 50 10
16 d0 4c c4 00 00 55 55 55 55 55 55 Seq=b418267b
Ack=a6d8a5de

ESEO 10
 Application
00 11 25 30 2a a3 00 09 43 60 36 ff 08 00 45 00 Serveur
00 57 85 0a 40 00 3e 06 97 39 c1 31 94 0e c0 a8
Client
0a 75 00 15 04 83 b4 18 26 4c a6 d8 a5 ce 50 18
16 d0 2b b8 00 00 32 32 30 20 22 42 69 65 6e 76 ‘’Bienvenue s
ur
Taille : 47 oct le serveur de l’ESEO
65 6e 75 65 20 73 75 72 20 6c 65 20 73 65 72 76
65 75 72 20 46 54 50 20 64 65 20 4c 27 45 53 45 ets
4f 2e 22 0d 0a

00 09 43 60 36 ff 00 11 25 30 2a a3 08 00 45 00
00 28 13 2a 40 00 80 06 c7 48 c0 a8 0a 75 c1 31
94 0e 04 83 00 15 a6 d8 a5 ce b4 18 26 7b 50 10
ff d0 20 78 00 00

00 09 43 60 36 ff 00 11 25 30 2a a3 08 00 45 00
00 38 13 2e 40 00 80 06 c7 34 c0 a8 0a 75 c1 31
94 0e 04 83 00 15 a6 d8 a5 ce b4 18 26 7b 50 18
ff d0 20 88 00 00 55 53 45 52 20 61 6e 6f 6e 79 nymous
USER ano
6d 6f 75 73 0d 0a octets
Taille : 16
00 11 25 30 2a a3 00 09 43 60 36 ff 08 00 45 00
00 28 85 0b 40 00 3e 06 97 67 c1 31 94 0e c0 a8
0a 75 00 15 04 83 b4 18 26 7b a6 d8 a5 de 50 10
16 d0 4c c4 00 00 55 55 55 55 55 55

ESEO 11
Merci de votre attention

ESEO 12