Utilisation de composants
logiciels pour capture de trames via une interface réseau
I. Machine de type Unix : logiciel Ethereal
A.
Installation du logiciel sur une distribution Redhat
Il
faut installer les deux paquetages rpm ethereal
& ethereal gnome (visualisation via le GUI Gnome) se trouvant
dans le menu Système, rubrique Outils de système.
Après
installation, vous pourrez lancer celui dans le menu Internet +
Applications supplémentaires+ Ethereal (il vous sera demandé de
spécifier l’interface réseau (ethx) que
vous voulez « écouter »)
B.
Utilisation du logiciel
a.
Capture d’une série de trames
Après
avoir lancé le logiciel Ethereal, suivre la séquence suivante pour capturer
une série de 60
trames
:
1.
Sélectionner Capture puis Start.
2.
Entrer le nombre de trames à capturer dans la case Stop capture after.
3.
Cliquer OK.
b.
Analyse d’une capture
Vous
obtenez après arrêt de la capture, l’écran suivant :
c.
Filtrage d’une série
Une
étape importante de l’analyse des flux réseau consiste à isoler un
échange au milieu du trafic de l’ensemble du réseau. Cette opération
est réalisée par filtrage en appliquant des règles avant ou après la
capture.
c.1.
Avant capture
Ethereal
reprend la syntaxe de filtrage d’un autre outil très connu : tcpdump. La documentation complète sur cette syntaxe
s’obtient en tapant man tcpdump à la
console
Pour
spécifier le type de paquets que l’on veut capturer, il suffit donc
de saisir un filtre dans la case Filter:
de la fenêtre Capture.
Par
exemple, pour ne capturer que les paquets IP il faut saisir :ip.
c.2.
Après capture
Une
fois la capture terminée, il est possible d’isoler par filtrage les
paquets transmis par une station.
Isoler
les paquets émis par un hôte
1.
Dans la fenêtre de capture, sélectionner un paquet émis ou reçu par la
station recherchée avec le bouton gauche de la souris.
2.
Dans la fenêtre de trame, développer le niveau Internet Protocol et pointer l’adresse de la station.
3.
Cliquer sur le bouton droit de la souris et sélectionner Match selected.
La
fenêtre de capture n’affiche plus que les paquets où l’adresse
de la station recherchée est présente.
Isoler
une connexion TCP
1.
Dans la fenêtre de capture, sélectionner un message émis ou reçu par la
station recherchée avec le bouton droit de la souris.
2.
Sélectionner Follow TCP stream
Une
nouvelle fenêtre apparaît. Elle contient les données vues de la couche
Transport. La fenêtre de capture n’affiche plus que les paquets
correspondant à la connexion TCP : établissement, transfert et libération
de connexion.
d.
Exercice : analyse d’une capture de trame lié au protocole ARP
A
l’aide de la figure ci-dessus, répondez aux questions suivantes :
Détail
Ethernet
1. L'adresse de destination est-elle une adresse physique
?
2. Quelle est l'adresse source ?
3. Quel est le type de trame Ethernet ?
4. Quel est le protocole encapsulé ?
Détail
Arp
5. Quelle est l'adresse matérielle de l'expéditeur ?
6. Quelle est l'adresse de protocole de l'expéditeur
?
7. Quelle est l'adresse matérielle de la cible ?
8. Quelle est l'adresse de protocole de la cible ?
9. Pourquoi l'adresse matérielle de la cible contient
des ff ?
II. Machine de type Windows 2000 Server : logiciel
Moniteur réseau
A Installation du
Moniteur réseau sous Windows 2000 Server
Vous devez au préalable installer le composant pilote de moniteur réseau
permettant , au niveau de l’interface réseau considérée, de rediriger
les trames vers le Moniteur réseau. Pour cela il faut installer le
protocole «Pilote de moniteur réseau» pour votre (vos) interface(s) réseau.
Ensuite, vous devez installer le programme qui est un composant de Windows
2000, rubrique Outils de gestion & d’analyse et
sélectionner Outils d’analyse réseau. Via vos outils
d’administration, pouvez dorénavant utiliser le Moniteur réseau .
B.
Utilisation du logiciel
a. Capture de trames
Via l’icône 4, vous lancer votre capture. Pour arrêter la
capture, il faut que vous cliquiez sur l’icône <.
b. Analyse d’une capture
Dès que le Moniteur réseau a capturé
des trames, vous pouvez utiliser la fenêtre de l'Observateur de trames pour
afficher leur contenu. Vous pouvez afficher les informations capturées dans
la fenêtre de l'Observateur de trames :
· en cliquant sur Arrêter et afficher dans le
menu Capture pendant la capture des données ;
· en ouvrant un fichier de capture (.cap) existant.
Pour ce faire, dans la fenêtre de capture ou la fenêtre de l'Observateur de
trames, dans le menu Fichier, cliquez sur Ouvrir.
Pour activer
l'affichage d'un volet de la fenêtre de l'Observateur de trames,
sélectionnez le volet. L'utilisation de l'option Zoom du menu Fenêtre
entraîne l'affichage plein écran du volet sélectionné dans la fenêtre de
l'Observateur de trames. Pour rétablir la taille normale du volet, cliquez
sur Zoom sur le volet dans le menu Fenêtre.
La fenêtre de l'Observateur de trames comporte trois volets :
|
Volet
|
Affiche
|
|
Détail
|
Contenu de la
trame, y compris les protocoles utilisés pour l'envoyer.
|
|
Hex
|
Représentations
hexadécimales et ASCII des données capturées.
|
|
Résumé
|
Informations
générales relatives aux trames capturées dans l'ordre de leur capture.
|
L'illustration
suivante montre les éléments clés de la fenêtre de l'Observateur de trames.
Lorsque vous affichez une capture dans la fenêtre de l'Observateur
de trames, la capture porte la mention « Capture », suivie du numéro
identifiant l'ordre des fenêtres de capture actives.
Lorsque vous ouvrez un fichier de capture (.cap) précédemment enregistré,
la barre de titre affiche le chemin d'accès au fichier de capture.
c. Filtrage
Via le menu Filtrage (touche
F8) vous obtenez l’écran suivant:
Pour réaliser un ou plusieurs filtres
voici un ensemble d’informations fournies par la société Microsoft.
Les commandes suivantes vous
permettront d'effectuer des modifications dans l'arbre de décision du
filtre d'affichage.
Protocole ==
Branche de l'arbre
de décision qui répertorie les protocoles que vous souhaitez afficher. Par
défaut, cette branche a pour valeur Protocole == N'importe lequel.
Pour modifier la liste des protocoles, double-cliquez sur la branche afin
d'ouvrir la boîte de dialogue Expression.
adresse <-> adresse
Branche de l'arbre
de décision qui répertorie les paires d'adresses d'ordinateurs que vous
souhaitez afficher. Par défaut, cette branche a pour valeur N'importe
laquelle <-> N'importe laquelle. Pour modifier la liste des
paires d'adresses, double-cliquez sur la branche pour ouvrir la boîte de
dialogue Expression.
Ajouter
Critères de l'arbre
de décision.
Expression
Cliquez pour ouvrir
la boîte de dialogue Expression que vous pouvez utiliser pour spécifier les
paires d'adresses d'ordinateurs, les protocoles, ainsi que les propriétés
de protocole que vous souhaitez afficher.
Insérer
Opérateurs logiques
de l'arbre de décision. Vous pouvez utiliser jusqu'à 4 000 opérateurs
d'arbre de décision.
ET
Cliquez pour ajouter
une branche ET à la branche actuellement sélectionnée de l'arbre de
décision.
OU
Cliquez pour ajouter
une branche OU à l'arbre de décision.
NON
Cliquez pour ajouter
une branche NON à l'arbre de décision, ou pour nier une branche de l'arbre.
Modifier
l'expression (Changer d'opérateur)
Si vous sélectionnez
une expression dans l'arbre de décision, l'étiquette figurant sur le bouton
de ce groupe est Modifier l'expression. Cliquez sur ce bouton pour
ouvrir la boîte de dialogue Expression que vous pouvez utiliser pour
modifier les données sélectionnées.
Si vous sélectionnez un opérateur logique dans l'arbre de décision,
l'étiquette figurant sur le bouton de ce groupe est Changer
d'opérateur. Cliquez sur ce bouton pour faire défiler les opérateurs
logiques proposés pour la ligne sélectionnée.
Supprimer
Critères de décision
que vous souhaitez supprimer de l'arbre.
Ligne
Cliquez pour
supprimer la ligne sélectionnée de l'arbre de décision.
Branche
Cliquez pour
supprimer la branche actuellement sélectionnée de l'arbre de décision.
Toutes
Cliquez pour
supprimer la totalité de l'arbre de décision.
Charger
Cliquez pour ouvrir
la boîte de dialogue Ouvrir que vous pouvez utiliser pour remplacer le
filtre d'affichage actif par un filtre d'affichage précédemment enregistré
dans un fichier.
Enregistrer
Cliquez pour ouvrir
la boîte de dialogue Enregistrer le filtre d'affichage que vous pouvez
utiliser pour enregistrer le filtre d'affichage actif en tant que fichier
(.df). Pour ouvrir ce filtre d'affichage
ultérieurement, vous pourrez cliquer sur le bouton Charger afin
d'ouvrir le fichier.
Exemple: filtrage des échanges DNS
Situation: On veut obtenir tous les
échanges DNS entre notre station «Locale» et l’extérieur
Les actions de filtrages à appliquer
sont:
Protocoles:
DNS (uniquement) pour cela, il suffit de désactiver tous les
protocoles puis de
n’accepter que DNS
Adresses : Station 1: Local
Station 2
: ANY
Nous devons avoir l’écran
suivant, après mise en place des filtrages:
Travaux pratiques sur les
différents analyseurs de protocoles de réseaux
Préambule : Ces travaux sont à effectuer à l’aide
d’au moins un des deux analyseurs (Unix/ Windows 2000)
1. Adressage IP de la station (avec ou sans
analyseur)
1.1. Quels sont les paramètres de l’interface réseau de votre
station ?
Il s’agit
ici de retrouver les paramètres de sa propre station dans le flot des
paquets capturés.
On doit donc
identifier les adresses MAC et IP de l’hôte sur lequel on effectue
l’analyse.
1.2. Avec quelle commande liée à TCP/IP pouvez confirmer ses
informations ?
Ces informations
ont déjà été obtenues à l’aide de la commande ifconfig
ou ipconfig /all. Il s’agit donc
d’une simple vérification.
1.3. Quels sont les paramètres de l’interface de la passerelle par
défaut ?
Pour se repérer
dans l’interconnexion réseau, il est important de connaître les
paramètres de l’interface qui fournit toutes les routes au réseau
étudié : adresses MAC, IP et nom. Avec un analyseur, on repère les
interfaces de routage en capturant les échanges qui utilisent des
protocoles de routage spécifiques : OSPF par exemple.
Ces informations
peuvent être obtenues avec la commande route -n ou
route print.
2. Encapsulation et adressage
Lancer une
capture via votre analyseur :
2.1. Relevez une trame Ethernet II et recopiez sur papier son en-tête.
Après avoir
choisi une trame Ethernet II dans une série capturée, repérer les en-têtes
des niveaux OSI et les différentes adresses utilisées pour chacun de ces
niveaux.
2.2. Quel est le type de protocole réseau utilisé ?
Repérer
l’en-tête réseau. Relever les formats des adresses source et
destination.
2.3. Relevez une requête arp. Dans quelles conditions cette
requête a-t-elle été émise ?
Relever les
différentes adresses source et destination pour déterminer la localisation
de l’hôte visé.
3. Protocole TCP
3.1. Quels sont les niveaux OSI et les protocoles correspondant aux
éléments A, B, C et D après une connexion à un serveur sur Internet ?
Compléter le
schéma ci-dessous
Précisez les
ports source & destination.
3.2. Relevez la séquence d’établissement d’une connexion
TCP. Il faut lancer une capture juste avant d’initier une connexion à
un serveur Web par exemple.
Schématiser
sur papier les étapes de l’établissement de connexion,
d’échange de données et de fin de connexion
En
s’aidant de la documentation sur la couche Transport, reprendre les
différents graphiques en y ajoutant les paramètres de séquence propre à
votre capture. Pour le logiciel Ethereal, vous pouvez suivre la connexion
TCP en se positionnant sur la première trame puis en appliquant
l’option Follow TCP Stream
4. Protocole DHCP
Détailler le
fonctionnement du protocole DHCP en effectuant une demande de bail auprès
d’un serveur DHCP. Notez les informations de configuration qui sont
fournies par le serveur
|