TP 2 Technologie IP fghhgggggggggggggggggbvhbjhbjhbjnjnnhhhhhn

7/21/2019 TP 2 Technologie IP fghhgggggggggggggggggbvhbjhbjhbjnjnnhhhhhn

1/10

2

Commandes TCP/IP et analyse de

protocoles (IP,ARP,ICMP) sur Ethereal

et TCPdump

Med Wajih Barhoumi

Khaled Zoghlami

Anis Abida

RST- B (Gr1)


2/10

A.Questionsthoriques

1) Lorsqu'une machine veut communiquer avec une autre sur un rseau Ethernet, elle

envoie ses messages sur le rseau l'ensemble des machines et normalement seule lamachine destinataire intercepte le message pour le lire, alors que les autres l'ignorent.

Ainsi en utilisant la mthode du "sniffing", il est possible d'couter le trafic passant par

l'adaptateur rseau.

Pour pouvoir couter tout le trafic sur une interface rseau, celle-ci doit tre configure

dans un mode spcifique, le mode promiscuous . Ce mode permet d'couter tous les

paquets passant par l'interface, alors que dans le mode normal, le matriel servant

d'interface rseau limine les paquets n'tant pas destination de l'hte. Par exemple, il

n'est pas ncessaire de mettre la carte en mode promiscuous pour avoir accs aux

mots de passe transitant sur un serveur FTP, vu que tous les mots de passe sont

destination dudit serveur.

2) En absence d'utilisation des protocoles de communication chiffrs, comme SSH

(SFTP, scp), SSL (HTTPS ou FTPS) les donnes transmises sur le rseau Ethernet

peuvent tre captures et exploites par les intrus.

3) Oui, il est possible de d'observer une conversation entre deux machines B et C.

4) Notre machine sera capable de visualiser le trafic dans le cas de fonctionnement

dans le mode promiscuous et non pas dans le mode normal.

B.AnalysedetraficARP

1) Le protocole ARP permet de faire la correspondance entre les adresses logiques(IP)

et les adresses physiques(MAC).

Le protocole ARP interroge les machines du rseau pour connatre leur adresse

physique, puis cre une table de correspondance entre les adresses logiques et les

adresses physiques dans une mmoire cache.


3/10

Lorsqu'une machine doit communiquer avec une autre, elle consulte sa table de

correspondance. Si l'adresse demande ne s'y trouve pas, une recherche est ralise

suivant le principe suivant:

Le module ARP envoie une requte ARP dans une trame avec une adresse

MAC de diffusion gnrale(Broadcast) pour que toutes les machines du rseau

puissent la recevoir.

La couche ARP de la machine vise reconnat que cette requte lui est destine

et rpond par une rponse ARP contenant son adresse MAC(les autres

machines l'ignorent)/

La rponse ARP est reue par l'metteur qui l'intgre dans sa mmoire cache et

peut donc envoyer directement les paquets suivant avec la bonne adresse MAC

de destination.

2) Nous devons communiquer avec une machine non existante dans la table d'ARP. Il

est possible de vrifier en tapant la commande "arp -a" qui permet de consulter la

table.

Nous choisissons l'adresse suivante : 192.168.1.65

3)Cration d'un filtre ARP

:

4)


4/10

5) Une trame ARP a t envoye vers toutes les machines du rseau "broadcast"

contenant l'adresse requise : 192.168.1.65 .

La machine mettrice attend la rponse "Tell 192.168.1.71".

L'adresse est effectivement obtenue par une trame de rponse ARP.

6) La trame ARP capture est reconnue par la valeur du champ type "0x806"

7) L'adresse physique de la machine peut tre obtenue de la trame "Request" ou bien

de la trame "Reply".

8) Comme la figure prcdente le montre, la requte ARP a t envoye vers l'adresse

Ethernet suivante : 00:09:34:33:8a:65

9) Le datagramme ARP de rponse contient les quatre champs suivants :


5/10

L'adresse MAC de destination

L'adresse MAC de la source

L'adresse IP de la destination

L'adresse IP de la source

Ces champs permettent de raliser la correspondance entre les adresses physiques etles adresses logiques.

10) L'adresse de la machine communique existe dj dans la table ARP . Les trames

ARP "request" et "reply" ne sont pas ncessaires.

C.AnalysedetraficICMP

1) Cration d'un filtre ICMP

2)


6/10

3)

4) Lors de l'mission , un message ICMP de type "request" est envoy.

Lors de la rception ,un message ICMP de type "reply" est envoy.

Le champs de spcification permettant cette distinction est "Type" qui prend des

valeurs diffrentes :

La valeur "8" en cas d'mission

La valeur "0" en cas de rception.

5) La requte mise a t dcompose en 8 paquets , chaque paquet est dcompos en

2 fragments :


7/10

6) Comme indiqu dans la question 3) , Le nombre de trames gnres est gal 3.

7) Le champ "Type" de la trame Ethernet prend la valeur "800" qui signifie que c'est

un paquet IP.

A son tour , le champ "Protocole" du paquet IP prend la valeur "1"pour indiquer quec'est un message ICMP.

8) Le champ rserv du FLAG est fix "0". De mme pour "DF" et "MF" .

9)La valeur du TTL est gale "100" . Cette valeur est identique celle tape dans la

requte "ping".


8/10

D.Analysedetraficavecl'outilTCPdump

1)Nous pouvons effacer la cache de l'ARP en dsactivant l'interface rseau .

2) Lancer l'coute par TCPdump


9/10

3) Lancer la commande ping :

4) L'observation des paquets :

Les premiers paquets capturs sont de type "ICMP" pour vrifier la disponibilit de la

machine (sinon un message "destination unreachable" est retourn").

Ensuite, une requte ARP est envoye pour identifier la machine destination .


10/10

Enfin , la machine vise retourne la rponse contenant son adresse .

5)La table ARP de la machine destination contient effectivement l'adresse physique de

la machine source.

6) Le redmarrage de la machine est effectu.

8) Le datagramme ARP envoy est de type "Request" ce qui signifie que l'adresse

devient inconnue.

Nous pouvons conclure que le redmarrage (et donc la dsactivation de la carte)

entrane la suppression du contenu de la cache ARP.

TP 2 Technologie IP fghhgggggggggggggggggbvhbjhbjhbjnjnnhhhhhn

Documents

Transcript of TP 2 Technologie IP fghhgggggggggggggggggbvhbjhbjhbjnjnnhhhhhn