TP RéseauLes outils de diagnostic réseau, Analyse de trames

Quels sont les objectifs de ce TP ?

Ce TP devra nous faire découvrir les principales commandes de test de connexion et en étudier les fonctionnements. Il nous permettra aussi d’apprendre à utiliser un outil fondamental de la maintenance d’un réseau tel que l’analyseur de protocole. On étudiera ainsi le trafic sur un réseau local et les protocoles mis en jeu dans ce réseau.

Afin de bien réaliser ce TP, nous aurons besoin de connaitre le modèle TCP/IP et ses principaux protocoles, la norme IEEE 802.3, les adressages MAC (physique) et IP et enfin, les commandes de test de connexion sur Windows et sur Linux (ping, ipconfig, ifconfig, etc.).

Nous aurons besoin comme matériel, d’une station de travail en dual boot, c'est-à-dire comprenant les systèmes d’exploitations Windows et Linux ainsi que l’analyseur de protocole tel Wireshark ou bien Ethereal.

I. Les outils de diagnostic réseau

1.1) La commande ipconfig/ifconfig

Une seule interface apparaît. Cette interface désigne les paramètres de la carte réseau dont le DNS (nom de domaine), l’adresse IP que possède la machine, le masque de sous réseau de la classe appartenant à l’adresse IP (c’est une classe B ici) et la passerelle par défaut.On dispose ici que d’une seule interface réseau. Le DNS permet de donner un nom de domaine à l’adresse IP, c’est à changer son aspect chiffré en lettres (ici 10.2.44.130 appartient au nom de domaine univ-mlv.fr).

Le DHCP est un protocole qui permet à un ordinateur d'obtenir automatiquement sa configuration TCP/IP (c’est à dire son adresse IP, son masque sous réseau et sa passerelle par défaut). Le but principal du DHCP est donc de simplifier la configuration des postes se connectant au réseau car on n’est pas obligé de régler tout les postes manuellement.La passerelle par défaut constitue le ralliement entre deux réseaux différents (ex : le réseau de l’université au réseau d’Internet). L’adresse du réseau auquel appartient ma machine est 10.2.0.1.

1.2) La commande ping

La commande ping est une commande fondamentale du test de connectivité de la station. Précédemment expliqué dans la question 1.1), lorsque l’on connecte sa machine à un réseau, on vérifie sa configuration IP par la commande ipconfig (Windows) / ifconfig (Linux). Après avoir vérifié les paramètres de configuration IP, on réalise un ping en bouclage local, puis un ping en local et enfin un ping vers une destination extérieure au réseau.

Le ping en bouclage local permet de savoir si une adresse IP à bien été fourni à notre machine.

Dans la première colonne, on apercoit l’adresse IP de la machine voisine qui est 10.2.44.123. Dans la deuxième colonne, on voit la taille des paquets émis (32 octects) et le temps de transmission des paquets (10ms).Dans la dernière colonne, TTL correspond à Time To Leave (ici, égal à 128). Ce nombre indique le nombre de routeurs que le paquet peut traverser avant d’être détruit.Ce ping peut être configuré, en effet le nombre de réponse par défaut est de 4 mais il est également possible de définir ce nombre de réponse grâce à la commande ping –n (-n permet de choisir le nombre de paquet) –l (permet de choisir la taille des paquets).

L’adresse IP de google est le 74.125.43.104. Notre machine connaît son adresse grâce au serveur DNS qui a converti le nom de domaine www.google.com en une adresse IP.

On remarque ici que les valeurs de temps renvoyées sont identiques pour chaque paquet ICMP Echo émis notamment car le chemin devait être déjà connu par le réseau. Le réseau devait être de plus non congestionné ce qui a permis une réponse rapide.

Il est impossible d’avoir une réponse de cette adresse privée car elle appartient à un réseau privé, elle est donc inaccessible.

1.3) La commande traceroute

Le nombre de routeurs traversés par les paquets est de 14 et il est impossible de prévoir ce résultat. Le système obtient les URL correspondant à ces adresses IP grâce au serveur DNS.Le temps de réponse obtenus successivement de chaque routeur sur le chemin démontre que le paquet cherche son chemin vers la destination. Le temps de réponse est au départ faible (1ms, 2ms…) car le paquet connaît déjà ce chemin pour aller vers l’extérieur mais cela se complique quand le paquet passe par des routeurs qu’il ne connait pas, le temps de réponse devient plus grand. Il peut aussi arriver que le paquet ne puisse pas passer dans un routeur alors celui-ci se redirige vers un autre routeur (ce qui est le cas ici à la ligne 11).Non, on n’est pas sur de retrouver le même chemin car le réseau sera peut être plus ou moins congestionné ce qui permettra au paquet de prendre un autre chemin.

1.4) La commande ARP (c’est ce qui fait une tempête de broadcast) Seulement en local car broadcast ne va pas au-delà des routeurs.

Fais la liaison entre une adresse mac et une adresse ip.

Pour affiche le cache arp, il est nécessaire d’effectuer la commande suivante : art –a.

La sauvegarde n’est que temporaire pour éviter d’une part d’avoir une table trop conséquente et donc pénalisante en performance au bout d’un certain temps de communication et d’autre part car il est possible que les adresses IP se voient attribuer à d’autres interfaces physiques.

1.5) La commande nslookup

Les informations qui nous sont renvoyées sont les suivantes :

- Le serveur auquel appartient le nom de domaine www.yahoo.fr- L’adresse IP du nom de domaine www.yahoo.fr- Un alias de www.yahoo.fr dont le nom de domaine est www.euro.yahoo-eu1.akadns.net et

son adresse IP qui est 87.248.120.129.

1.6) La commande netstat

On affiche à l’aide de la commande netstat, la table de routage ainsi que les informations relatives à chaque interface. Elle affiche également la liste des services lancés sur le système et en écoute.

1.7) Nmap

On utilisera NMAP (Network MAPper) pour scanner le réseau local dans sa totalité et découvrir les services présents ainsi que le type d’OS sur lesquels ils tournent.

1.8) Procédures de dépannage

Dans ce cas précis, on peut faire un rapide rapprochement avec l’adresse IP et la résolution de son nom (DNS). Il y a donc un problème de la résolution du nom de domaine de l’adresse IP 102.168.1.12 car on peut joindre le serveur FTP par l’IP.

Dans ce seconde cas, on peut suivre la procédure suivante : utiliser netstat pour récupérer l’adresse de la passerelle par défaut, la pinger pour vérifier sa connectivité. Si cela fonctionne, nous utilisons la commande nslookup (Windows) ou consultons le fichier hosts (Linux) pour connaître l’adresse de notre serveur et le pingons pour vérifier sa connectivité. Si cela fonctionne, nous obtenons l’adresse IP du site de destination et les pingons pour vérifier leur connectivité.

Dans le dernier cas, la connexion ne va pas fonctionner car une adresse IP fixe a été enregistrée sur la carte réseau, il faut donc l’enlever et activer le serveur DHCP qui permet de fournir automatiquement les adresses IP sans que l’on ait à configurer manuellement la carte ce qui serait laborieux.

II. Présentation de Wireshark

Wireshark est un projet démarré en 1998 (anciennement Ethereal). Il intègre des outils pour l’analyse VoIP, de réseaux sans fil…

Le logiciel Wireshark est aujourd’hui un outil largement utilisé à plusieurs niveaux. Il est utilisé dans le cadre d’administration d’un réseau, dans l’examen de problèmes liés à la sécurité, dans le « débuggage » d’implémentation de protocoles. Il permet aussi de comprendre le fonctionnement des réseaux. Il peut analyser jusqu’à 602 protocoles.

Ses principales caractéristiques :

- Il fonctionne aussi bien sous Windows que sous Linux (Unix)

- Il permet de faire des captures de trames en direct depuis l’interface réseau

- Il affiche les trames avec des infos sur les protocoles

- Il peut importer des captures de data (données) venant d’autres programmes. Il peut également exporter des captures vers d’autres programmes.

- Il peut mettre en place des filtres selon différents critères

- Il crée des statistiques

Le résultat d’une capture se présente sous la forme d’un fichier « découpé » en trois parties :

- Une partie supérieure donnant la liste des trames capturées (indication temporelles par rapport aux émissions de trame, adresse source, destinataire, physique ou logique suivant le type de trame, protocole, infos sur le type de trame) ;

- Une partie centrale permettant d’avoir le détail des différents champs d’une trame (il suffit, pour cela, de se positionner sur la trame souhaitée) ;

- Une partie inférieure donnant la trame en Hexa avec la correspondance ASCII.

Figure 1 : Résultat de l’analyse de trames

Le menu statistics permet d’avoir un certain nombre d’informations sur le fonctionnement du réseau : quel type de trafic est majoritaire, « qui communique avec qui »…

Pour pouvoir mettre en place des filtres, il suffit de cliquer sur le bouton « filtrer ». Il est aussi possible de filtrer depuis le menu « capture ». On accède alors à une boîte de dialogue dédiée à la construction de filtres d’affichage (voir figure 2).

Figure 2 : Mise en place des filtres

Pour lancer une capture, il suffit de sélectionner « Start » dans le menu « Capture ». La fenêtre option de Capture s’affiche (figure 3). Elle permet de définir les options à utiliser lors de la capture : interface sur laquelle est réalisée la capture, utilisation d’un filtre de capture, limitation du nombre de paquets capturés, durée de la capture, résolution de nom à l’affichage.

Figure 3 : Les options de capture

III. Captures de trames avec Wireshark

3.1) Prédéterminations

a) Le champ « type » de l’entête du protocole Ethernet indique le type de protocole qui est inséré dans le champ « données », celui-ci est codé sur 2 bits.

Figure 4 : Format de la trame Ethernet

b) Le champ « protocole » indique le numéro de protocole à qui il faut remettre le paquet :

c) Rôle du DNS : Il effectue la correspondance entre les adresses IP utilisées par les équipements pour communiquer et des noms plus simples, plus facilement mémorisables.

d) Rôle du protocole ARP : Il permet de trouver une adresse MAC à partir d’une adresse IP. Pour cela, une machine A, par exemple, va envoyer une trame de Broadcast Ethernet qui demande l’adresse MAC d’une machine B dont elle connaît l’adresse IP. La trame envoyée par A, a pour adresse destinataire FF.FF.FF.FF.FF.FF avec type 0806, avec l’adresse IP de B. Toutes les machines vont alors recevoir la requête, mais seule la machine B répond en donnant son adresse MAC.

e) Le TTL va nous indiquer la durée de vie en seconde d’un paquet IP.

f) Différences entre les protocoles TCP et UDP :- TCP est fiable et en mode orienté connexion. Il effectue un contrôle de flux ansi qu’un contrôle de congestion- UDP est non fiable, sans connexion, sans contrôle de flux ni de congestion.

Il est préférable d’utiliser UDP que TCP dans les applications en temps réels tels que les vidéoconférences.

Lors d’une connexion TCP les étapes correspondant à un échange de données sont : l’envoi d’un segment par une machine A et l’envoi d’un acquittement par une machine B en réponse.

g) Le port permet d’identifier une application : chaque application a un numéro de port attribué. C’est une destination abstraite utilisée par le protocole.

3.2) Mode opératoire

Pour la suite du TP, toutes les manipulations se feront en tant qu’administrateur de la machine. De plus, pour toutes les manipulations, il faudra sélectionner, dans Wireshark l’option « Update list of packets in real time » afin que les paquets s’affichent en temps réel.

3.3) Prise en main du logiciel Wireshark

a) Paramètres IP de votre machine

Tout d’abord, il est nécessaire de relever les paramètres réseau de la machine utilisée. Pour cela, dans la fenêtre de commande de Windows, il suffit de saisir : ipconfig /all.

Ainsi, nous pouvons voir que l’adresse de notre réseau est 10.2.44.0.

Ensuite, nous devons faire un test en bouclage local et un test pour une connexion à Internet :

Figure 5 : test en bouclage local

Figure 6 : test connexion Internet

Grâce à ces tests nous pouvons voir que notre connexion est bien fonctionnelle.

b) Mise en place des filtres avec Wireshark

Pour cette première question, il ne faut envoyer aucune trame sur le réseau (pas de connexion Internet, pas de ping …).

Il faut lancer une capture avec Wireshark en gardant toutes les options par défaut.

Dans la suite de l’exercice, nous devons créer et appliquer des filtres :

- Filtre permettant d’afficher uniquement les trames émises ou reçues par notre machine : host 10.2.44.57

- Filtre permettant d’afficher uniquement les trames TCP et UDP :

- Filtre permettant d’afficher uniquement les trames TCP et UDP émises ou reçues par notre machine :

3.4) Analyse de différentes commandes & protocoles du LAN

a) analyse de la commande ping

La commande ping utilise le protocole ICMP qui est un protocole de gestion de réseau ayant un mécanisme de rapport d’erreurs. Celui-ci est implémenté sur tous les équipements réseau.

Nous allons d’abord pinger une machine du réseau local et faire une capture des trames échangées pendant le ping :

De même nous allons pinger www.yahoo.fr:

Nous pouvons constater que les adresses IP sources sont celles de la machine qui a émis la requête et que les adresses IP de destination sont les adresses de la machine qui reçoit les requêtes.

Une adresse MAC est le « nom de famille » de la carte réseau d’une machine, elle est donc fournit d’entrée à la carte et est unique.

Une adresse IP peut être attribuée de manière manuelle ou dynamique grâce au DHCP qui permet d’attribuer des adresses IP de manière automatique.

L’adresse MAC a une portée locale tandis que l’adresse IP a une portée globale.

b) Analyse des protocoles ARP, DNS

Nous allons maintenant analyser les trames ARP et DNS. Dans la dernière capture (ping de yahoo.fr) nous pouvons voir que les trames ARP ont pour adresse MAC source commençant par DELL et une adresse MAC de destination de broadcast.

DNS utilise le protocole UDP.

c) Analyse de la commande Traceroute

Pour analyser la commande « Traceroute »

La commande tracert utilise le protocole ICMP.

Traceroute est un outil de diagnostic des réseaux qui permet de déterminer le chemin suivi par un paquet sur le réseau. Elle dresse une « cartographie » des routeurs entre une machine source et une machine de destination.

d) Test d’une connexion sur le web

Nous allons maintenant nous connecter à un site www.google.com, puis regarder les trames échangées:

Le protocole de transport utilisé dans le cadre de cette connexion est TCP.

Le protocole utilisé pour l’envoi de messages est SMTP. Celui-ci utilise TCP, qui semble avantageux car celui-ci est fiable et permet donc de mieux sécuriser ses messages.

Le numéro de port utilisé pour accéder à une application web est le 80.

Wireshark propose un outil nommé Follow TCP stream (menu tools). Pour étudier cet outil, nous allons sélectionner un segment TCP et active cet outil. Celui-ci nous permettra de visualiser le contenu de la session TCP dans sa totalité :