CORRIGE TP Analyse des trames Ethernet 1. Introduction Une information va circuler entre deux ordinateurs : un fichier par exemple. Ce fichier va circuler sous forme d'un "train d'informations". On trouvera différents wagons, chacun ayant un rôle bien particulier. Un de ces wagons transportera le fichier, mais on trouvera d'autres wagons nécessaires au bon transport de l'information. Une trame est tout simplement le nom technique de ce "train" d'informations. "Wireshark" est un logiciel qui va nous permettre de visualiser ces trames, ces trains d'informations. C est un analyseur de trames open-source. 2. Installation et lancement Lancer votre machine virtuelle "Windows Seven" ou Ubuntu. Télécharger le logiciel "Wireshark" à partir du serveur FTP de la salle. Double-clic sur le fichier "wireshark-win32-1.2.6.exe" afin de lancer l'installation. Se laisser ensuite guider. Accepter l'installation de "WinPcap". Pour lancer "Wireshark": on trouve alors un icône sur le bureau. Double clic sur l'icône. Sinon aller dans Démarrer \ Tous les programmes \ Wireshark. 3. Capturer des trames Dans "Wireshark", aller dans Menu \ Captures \ Interfaces. On voit alors les différentes cartes réseaux de votre machine. Les ordinateurs ont souvent plusieurs cartes réseaux. Il faut commencer par trouver celle qui est active, qui est réellement utilisée. Il suffit, pour cela, de prendre la carte qui reçoit et / ou envoie des "paquets" (nous dirons, pour l'instant, que "paquet" est très voisin de "trame"). Pour gagner un peu de temps, forcer le poste à émettre ou recevoir: surfer simplement sur Internet. Une fois la carte choisie, il suffit, pour capturer, de cliquer sur "Start". Pour arrêter la capture: Menu \ Capture \ Stop. TP - Analyse de trames avec Wireshark Corrigé Page 1 / 7
On trouve alors trois zones: - zone 1: les trames capturées. On a ici trois trames. La première est en bleu, c'est celle qui est sélectionnée. - zone 2: on voit ici les détails de la trame capturée. - zone 3: on voit ici encore plus de détails de la trame capturée. Par exemple, ici: dans la zone 2, j'ai cliqué sur la valeur "Source port", qui vaut, en zone 2, "1207 (10) ". C'est une valeur décimale. Si on regarde en zone 3, on voit que ce "1207 (10) ", est, en réalité, codé par "04 b7 (hex) ", et que les caractères qui correspondent sont deux points ("04 (hex) " ne correspond à aucun caractère comme "A", "B", etc.). Rassurez-vous, vous utiliserez principalement les zones 1 et 2. 4. Capturer une requête de ping Sur votre poste Windows Seven, passer en mode commande : Démarrer \ Rechercher les programmes et fichiers \ Saisir "cmd" (sans les ") \ "Entrée". Dans la fenêtre obtenue consulter la configuration IP de la machine: "ipconfig". L'adresse IP de ma machine est 192.168.26.157 Noter l adresse IP du poste voisin ("192.168.27.42" par exemple). 192.168.26.176 TP - Analyse de trames avec Wireshark Corrigé Page 2 / 7
Vérifier, sur votre machine et celle du voisin, que le firewall est désactivé: Panneau de configuration \ Pare-feu Windows \ Activer ou désactiver le pare-feu Windows. En mode commande, préparer un ping du poste voisin: "ping 192.168.20.42" par exemple (sans les "). Ne pas faire "Entrée" pour l'instant. Lancer une capture de trames. Dans la console où le ping a été préparé, lancer le ping. Une fois le ping terminé, arrêter la capture. 5. Analyse de la capture Avant d analyser la capture, il nous manque une dernière information. En mode console, récupérer l adresse MAC physique de votre machine: "ipconfig /all". L'adresse MAC de ma machine est 08-00-27-B1- Sélectionner la première trame de type "Info = Echo (ping) request" (et non pas "reply"): En zone 2, cliquer sur la croix pour voir le détail de la ligne "Ethernet": Vérifier alors que : - "Source" correspond à votre adresse MAC physique, "Destination" correspond à l adresse MAC physique du poste cible du ping. L'adresse source correspond bien à l'adresse MAC de mon poste ( 08-00-27-B1- ) et l'adresse de destination correspond à l'adresse MAC du poste ciblé ( 00:24:e8:3b:7c:97 ). Réaliser la même opération afin de consulter le détail de la ligne "Internet Protocol": Vérifier alors que : - "Source" correspond à votre adresse IP, "Destination" correspond à l adresse IP du poste cible du ping. TP - Analyse de trames avec Wireshark Corrigé Page 3 / 7
L'adresse source correspond bien à mon adresse IP et l'adresse de destination de même. Consulter maintenant le détail de la ligne "Internet Control Message Protocol". Vous êtes en train de consulter en détail une trame "Info = Echo (ping) request". Vérifier que vous avez bien ici "Type: 8 (Echo (ping) request)". À l aide des informations ci-dessus, compléter maintenant la partie grisée du tableau suivant : request" Ping aller reply" Ping retour Adresse MAC physique Adresse IP ICMP Source Destination Source Destination Request/Repl y 08-00-27-B1-00:24:e8:3b:7 192.168.26.15 192.168.26.19 REQUEST c:97 5 6 00:24:e8:3b:7 c:97 08-00-27-B1-192.168.26.19 6 192.168.26.15 5 REPLY Sur quel type de codage (du système de numération) est codée l adresse MAC physique? héxadécimal. En Sur combien d octets est codée l adresse MAC physique? Sur 6 octets. À quoi correspondent les trois premiers octets? à l OUI c-à-d l identifiant du constructeur de la carte réseau. Et les autres octets? Les trois derniers sont choisis par le constructeur. TP - Analyse de trames avec Wireshark Corrigé Page 4 / 7
Sur le site http://standards.ieee.org/develop/regauth/oui/public.html, saisir les trois premiers octets dans la zone de recherche comme indiqué ci-dessous. Quelles informations supplémentaires avez-vous reçues? 08-00-27 (hex) CADMUS COMPUTER SYSTEMS 080027 (base 16) CADMUS COMPUTER SYSTEMS 600 SUFFOLK ST LOWELL MA 08154 UNITED STATES Ces informations donnent des précisions sur le constructeur de la carte réseau (ici CADMUS) et son adresse postale (ici aux USA ). Étudier maintenant une trame "Info = Echo (ping) reply", puis finir de compléter le tableau ci-dessus. Réaliser la même opération avec un autre poste : ping du poste avec capture de trames, étude des trames et remplissage du tableau. request" Ping aller reply" Ping retour Adresse MAC physique Adresse IP ICMP Source Destinat ion Source Destination Request/Rep ly 08-00-27-B1-08-00-192.168.26.15 192.168.26. REQUEST 27-40- 5 150 08-00-27-40- D9-D0 D9-D0 08-00- 27-B1-192.168.26.15 0 192.168.26. 155 REPLY Quelles sont les différences entre les deux tableaux? les adresses source et destination sont inversées. Dans le cadre d'une trame REQUEST, l'adresse MAC de destination est différente ainsi que l'adresse IP de destination. Dans le cadre d'une trame REPLY, l'adresse MAC source et l'adresse IP source est différente. Ces différences semblent logiques puisque car on ping une machine différente. 6. Ping hors réseau local Commencer par récolter une information nécessaire pour la suite: TP - Analyse de trames avec Wireshark Corrigé Page 5 / 7
- en mode commande, à l'aide de "ipconfig /all", noter l'adresse IP de votre passerelle par défaut ("192.168.0.1" dans notre exemple). L'adresse IP de la passerelle est 192.168.26.1 (celle du routeur ou de la passerelle par défaut). - surfer sur une page Web. -en mode commande, lancer "arp -a". noter alors l'adresse MAC de votre passerelle par défaut ("00-11-50-d2-ba-d6") dans notre exemple). L'adresse MAC est d4-85-64-9d-de-41. C est celle de la de la passerelle par défaut. Dans le cache ARP local du poste, on ne trouve que les adresses MAC de notre poste et celle de la passerelle par défaut (on ne voit pas les adresses MAC du serveur hébergeant Google ou des serveurs Web). Tentez maintenant de refaire les mêmes actions (capture et tableau), mais cette fois-ci en contactant "www.google.fr": - en mode console, lancer la commande "nslookup www.google.fr". Ne vous intéresser qu'aux lignes qui suivent "Réponse ne faisant pas autorité": Identifiez ces adresses et notez-les ci-dessous : Les adresses IP obtenues par «nslookup www.google.fr» sont : 2a00 :1450:4007:806::101f 173.194.34.31 173.194.34.23 173.194.34.24 Pourquoi toutes ces adresses IP pour un seul nom de domaine? Il y a plusieurs adresses IP pour un seul nom de domaine puisqu'il y a plusieurs serveurs qui hébergent le site web de google France : www.google.fr. Ceci permet une répartition des flux et un équilibrage de charges puisque le site de google est le premier site de recherche sur le Web utilisé dans le monde. L une des adresses est différente des autres. À quoi correspond-elle? La première adresse IP est différente des autres ; elle est sur 16 octets contrairement aux autres. C'est une adresse IPv6 (Internet Protocole, version 6). Relancer la commande nslookup mais avec le domaine en.com : "nslookup www.google.com". Identifiez les adresses obtenues et notez-les ci-dessous : Les adresses IP obtenues par «nslookup www.google.com» sont : TP - Analyse de trames avec Wireshark Corrigé Page 6 / 7
2a00 :1450:4007:803::1010 173.194.34.18 173.194.34.19 173.194.34.20 173.194.34.16 173.194.34.17 - Ces adresses sont-elles les mêmes que celles obtenues avec la commande "nslookup www.google.fr"? Non, elles sont diférenes de celles obtenues précédemment pour www.google.fr Que pouvez-vous en conclure? Google utilise des serveurs différents pour héberger ses serveurs Web. Pour la France et certains pays francophones, c est le nom de domaine google.fr et google.com pour le reste du monde. Prendre une de ces adresses IP, et préparer une commande de ping ("ping 209.85.148.103" par exemple), sans l exécuter. Lancer la capturer les trames et valider la commande de ping. Compléter le tableau ci-dessous : request" Ping aller reply" Ping retour Adresse MAC physique Adresse IP ICMP Source Destination Source Destination Request/Reply 08-00-27-B1- d4-85-64-9dde-41 192.168.26. 173.194.34. REQUEST 155 24 d4-85-64-9dde-41 08-00-27-B1-173.194.34. 24 192.168.26. 155 REPLY Une fois le tableau complété, reconnaissez-vous l adresse MAC capturée? L'adresse MAC capturée n est pas celle du poste. Est-ce celle de google.com (ou google.fr)? Non. À quelle machine correspond-t-elle? C est celle de la passerelle du réseau de la salle c'est-à-dire celle du routeur. Que peut-on en conclure quant au ping d une machine située derrière le routeur? Lorsqu on lance une requête de ping vers une machine située derrière un routeur, c'est l adresse MAC du routeur (passerelle) qui est transmise dans la trame Ethernet (niveau 2) et non pas celle du poste ayant lancé la requête. TP - Analyse de trames avec Wireshark Corrigé Page 7 / 7