Mr.

Hamouid Khaled, Université de Batna

Sécurité des réseaux (Master 2 CS)

Travail Pratique 1

Wireshark, nmap, arpspoof

Il est complètement interdit de pratiquer les techniques vues dans ce TP sur un réseau ou une machine qui
ne vous appartient pas, y compris le réseau de l’université et les machines qui ne sont pas dans le
laboratoire prévu pour cette fin. Vous risquez la prison et ni votre professeur, ni votre université ne peuvent
vous protéger.

Objectif

L’objectif de ce TP est de permettre à l’étudiant de manipuler un outil d’écoute de réseau avec Wireshark, de
scanner des ports avec nmap et de comprendre l’attaque arpspoofing.

Activité I) Wireshark : commment lancer une capture de trafic ?

Lancer l'application Wireshark. Vous devriez voir apparaître une fenêtre similaire à celle-ci :

Dans le menu capture, sélectionner le sous-menu Interfaces et lancer une capture de trame sur la
carte réseau portant votre adresse IP et appuyer sur Start
Mr. Hamouid Khaled, Université de Batna

Arrêter la capture en cliquant sur le bouton arrêter en rouge (voir image ci-dessous).

Une fois la capture effectuée, vous obtiendrez la fenêtre suivante :

Travail demandé :

a. Analyse de la capture du ping

 Démarrer la machine virtuelle Kali en mode « host only »

Mr. Hamouid Khaled, Université de Batna

 A partir de Kali, lancez l’outil wireshark, et lancez la capture de trafic sur l’interface eth0
 A partir de la hôte, lancez un ping vers la machine Kali
 Attendez jusqu’à ce que le ping soit terminé, ensuite arrêtez la capture wireshark sur Kali
 Analysez les PDU capturés et répondez aux questions suivantes :
 Quelle est l’adresse source des paquets en destination de Kali
 Le Ping utilise-t-elle un protocole de la couche transport ? si, oui, lequel ?
 Quel est le protocole de la couche réseau (IP) utilisés par Ping ?
 Quel est le type de message (icmp) envoyés par ping ?
 Quel est le type de message (icmp) de réponses envoyés par Kali ?

b. Analyse de la capture de traceroute

 A partir de Kali, lancez l’outil wireshark, et lancez la capture de trafic sur eth0
 A partir de la hôte, lancez la commande ‘tracert @ip Kali’ vers la machine Kali
 Attendez jusqu’à ce que tracert soit terminé, ensuite arrêtez la capture wireshark sur Kali
 Analysez les PDU capturés et répondez aux questions suivantes :
 traceroute utilse-t-elle un protocole de la couche transport ?
 quel est le protocole de la couche réseau utilisé par traceroute ?
 Comment fonctionne la commande traceroute ?
 Dans les PDU de la couche réseau envoyés par la hôte, quelle est la valeur du champ Time to Live ?

c. Analyse de la capture d’une interaction avec un serveur Web

 A partir de la Kali, lancez le serveur web apache : # service appache2 start

 Vérifiez que le serveur web est lancé par la commande : netstat -antp
 A partir de la Kali, lancez l’outil wireshark, et lancez la capture de trafic sur eth0
 A partir de la hôte, ouvrez le navigateur web, et tappez l’adresse http://@ip-de-Kali pour accéder au
serveur web de Kali.
 Attendez jusqu’à ce qu’une page web s’affiche sur le navigateur web, ensuite arrêtez la capture
wireshark.
 Analysez les PDU capturés par wiresharket répondez aux questions suivantes :
 Quel est le protocole de la couche de transport utilisé durant cette interaction
 Identifiez les paquets d’établissements de connexion TCP, et en extraire les numéros de séquences et
d’acquittements
 Quel est le protocole de la couche application utilisé
 Quel est le port source, et le port de destination
 Quel est le type de requête envoyé par le client pour afficher la page web.
 Quel est la version du serveur web utilisé.

d. Analyse de la capture d’une interaction avec un serveur FTP

 Editez le fichier /etc/ftpusers et enlevez la ligne‘’root’’ : # gedit /etc/ftpusers
 Editez le fichier /etc/vsftpd.conf et modifiez les lignes suivantes comme suit, puis enregistez:


Mr. Hamouid Khaled, Université de Batna

 Démarrer le serveur FTP sur Kali par la commande suivante : /etc/init.d/vsftpd start ou
service vsftpd start
 A partir de Kali, lancez l’outil wireshark, et lancez la capture de trafic
 A partir de la hôte, connectez-vous sur le serveur FTP de la machine Kali à l’aide de la commande
suivante : ftp [@ip-Kali], utilisez le ‘username’ et le ‘password’ du root pour le login.
 Analysez les PDU capturés par wireshark et répondez aux questions suivantes :
 Quel est le protocole de la couche transport utilisé par FTP
 Quel est le port utilisé par le serveur FTP
 Quel est le port utilisé par le client FTP
 Cherchez dans la capture et retrouvez le mot de passe du root.

Activité II) nmap : découvertes des machines et des services

 Démarrer Kali en mode Bridged

 A partir de Kali, utilisez la commande « man nmap » pour regarder le manuel nmap pour voir
comment utiliser nmap

 Effectuez une découverte d’hôtes, et déterminez les adresses IP+MAC des hôtes en ligne se trouvant
dans le même réseau que Kali (utilisez l’option -sP)
nmap –sP 192.168.1.0/24
 Lancer un scan en ciblant la machine locale (Kali) et déterminez les services ouverts ainsi que le
système d’exploitation, lancez ftp et http ensuite relancez le scan.
nmap –sS -O @Kali

 Lancer un scan en ciblant le routeur : nmap –sS -O 192.168.1.1

 De quelle façon peut-on cibler plusieurs machines avec une seule exécution de la commande ?
Comment scanner une plage d’adresses IP de classe C?
 Lancez un sniffing Wireshark sur Kali, ensuite effectuez deux scan nmap de types « scan TCP
SYN » et « scan Xmas » respectivement. Examinez les paquets capturés associés à chacune des deux
techniques de scan et déterminez la différence entres elles.

Activité III) Attaque ArpSpoofing

Dans cette activité, on s’intéresse à l’attaque Arpspoofing. L’outil « arpsoof » sur Kali permet de tester cette
attaque.
 Utilisez le manuel de arpspoof pour comprendre son utilisation : #man arpspoof ou #arpspoof –h
 Démarrez la machine Kali en mode Bridged, et vérifiez la connectivité réseau entre Kali, la machine
hôte (réelle) et le routeur par la commande ping.
 A partir de la machine hôte, lancez un ping vers le routeur : ping 192.168.1.1
 Vérifiez le cache ARP de la machine hôte par la commande : apr –a
 A partir de la machine Kali lancez l’attaque Arpspoofing tel que : le routeur est la machine spoofée,
la hôte est la machine cible, et Kali est la machine attaquante : arpsoop –i eth0 –t @hôte @ routeur
 A partir de la machine hôte, Relancez le ping vers le routeur, est-ce que le ping fonctionne ?
 Revérifiez le cache ARP de la machine hôte. Que constatez-vous ?
 Arrêtez l’exécution de l’attaque arpspoof en appuyant sur ctrl+c
 La détection de ce genre d’attaque peut se faire assez simplement en surveillant le réseau. L’outil
arpwatch permet de faire ce genre de choses. Essayer de détecter l’attaque avec cet outil.
Mr. Hamouid Khaled, Université de Batna