Analyse de trafic

Licence 2 : SPI&Info
Institut Galilée
Analyse de trafic
Licence 2 : SPI&Info
Institut Galilée
Intéressez vous à l’interface Ethernet.
Notez dans votre compte-rendu
1. L’adresse MAC de votre interface Ethernet.
2. Votre adresse IP
3. Le masque du sous-réseau
1.2. Capture de trafic sous Wireshark
Chaque binôme d’étudiant réalisera un compte-rendu. Le compte rendu sera un simple fichier électronique que vous devez
envoyer avant le samedi 7 avril 2012 minuit à l’adresse mail suivante :
[email protected]
Dans ce compte-rendu, vous devez indiquer la date, les noms et prénoms du binôme, la formation et le numéro de groupe
ainsi que le numéro de binôme que vous attribuera votre enseignant. Le compte-rendu comprendra les réponses aux questions
de cet énoncé, accompagné lorsque cela est nécessaire de copies des sorties des commandes pertinentes ou de captures
d’écran. On pourra aussi joindre d'autres fichiers (extraits de logs, fichiers de configuration) avec les explications
nécessaires à leur compréhension. On prendra soin de décrire toutes les manipulations effectuées. L’énoncé étant
volontairement long pour une durée de 3 h, l’objectif premier de ce TP n’est donc pas de répondre à la totalité des questions.
Votre compte rendu doit refléter votre compréhension des fonctionnalités de base de Wireshark. N’hésitez donc pas à faire
appel à votre enseignant pour lui poser des questions pertinentes.
Lancez le logiciel Wireshark à partir du menu programmes.
Pour lancer une capture de trafic, vous devez sélectionner l’interface à partir de laquelle nous souhaitons
analyser le trafic. Un ordinateur, peut disposer de plusieurs interfaces, correspondant par exemple à des cartes
réseaux réelles (e.g. Ethernet, Wifi) ou virtuelles.
La sélection de l’interface de capture se fait à travers le menu Capture.
Vous aurez alors une fenêtre indiquant toutes les interfaces disponibles. Choissez celle de la carte Ethernet en
cliquant sur le bouton start associé à cette interface.
Vous êtes encouragés à poursuivre ce TP en dehors des heures de cours, chez vous ou en salles de TP. Le logiciel Wireshark
étant distribué gratuitement sur Internet.
1.1. Introduction à Wireshark
La capture va alors démarrer et vous aurez une fenêtre qui ressemble à la figure suivante. Pendant la capture,
lancez un navigateur et allez sur le site de google.
Dans ce T.P, nous allons d’abord analyser divers protocoles circulants dans les trames du réseau local. Pour
cela, nous allons utiliser un logiciel de capture de trafic, appelé Wireshark. Wireshark est un analyseur de
protocoles (sniffer). Celui-ci utilise directement l’interface Ethernet de votre machine pour réaliser la capture de
toutes les informations circulant sur le réseau local sur lequel vous êtes connecté. Ce logiciel est gratuit et est
téléchargeable depuis le site http://www.wireshark.org/.
Le réseau Ethernet étant de type à médium partagé, l’interface réseau voit potentiellement tout le trafic échangé
sur le réseau local. Pour lui demander de ne pas juste voir, mais d’enregistrer le trafic pour transmettre ces
trames observées au système d’exploitation (y compris celles qui ne lui sont pas destinées à la machine), un
mode promiscuité est disponible. Ce mode ne perturbe ni le trafic du réseau, ni celui de votre machine, et
permet de transformer celle-ci en analyseur multi protocolaire.
Pour pouvoir utiliser le mode promiscuité, vous devez utiliser le logiciel Wireshark avec les privilèges
administrateur. Ce TP sera donc sur une partition Windows avec les privilèges administrateur.
Pour se faire, vous devez redémarrer la machine. Vous devez être très attentif lors de la séquence de
redémarrage pour choisir la bonne partition. Au démarrage de votre PC vous devez choisir la partition : Ubuntu
– TP réseau.
Si vous vous tromper de partition vous devez redémarrer la machine.
Ensuite, rentrez le login et le mot de passe que vous fournira votre enseignant.
Vous devez d’abord récupérer les informations de votre configuration réseau. Pour se faire lancez l’invite de
commande Windows :
• Allez dans le menu démarrer
• Tapez cmd dans executer
• Ensuite tapez ipconfig /all
1/4
Cette fenêtre se décompose en trois sous-fenêtres. Celle du dessus indique la liste des trames capturées. Elle
indique le numéro de capture, la date de capture (heure), l’adresse de l’émetteur, celle du récepteur, le protocole
correspondant à l’information capturée et la sémantique de l’information transportée par la trame.
2/4
Licence 2 : SPI&Info
Institut Galilée
La seconde fenêtre indique l’encapsulation protocolaire. On peut y voir le paquet du plus haut niveau
encapsulé, successivement dans des unités de données de plus bas niveau. Par exemple, un datagramme TCP,
dans un paquet IP, lui-même dans une trame Ethernet. On peut sélectionner chaque paquet et y voir les divers
champs.
Licence 2 : SPI&Info
•
•
Institut Galilée
Analysez les messages échangés.
Comment est envoyé le mot de passe d’ouverture de session FTP ? est-il crypté ?
Enfin, la sous-fenêtre en bas, affiche la même information, mais cette fois-ci sous forme hexadecimale.
Pour arrêter la capture, vous devez sélectionner l’option Stop disponible dans le menu Capture
Un tutorial illustrant les fonctionnalités essentielles de Wireshark est disponible sur le lien URL suivant :
http://openmaniak.com/fr/wireshark.php.
Vous devez notamment vous y referez pour les filtres de capture, les filtres d’affichage et les statistiques.
1.3. Questions :
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Quels sont les différents protocoles que vous pouvez observer dans la capture réalisée ?
Sélectionnez un paquet TCP. Quels sont les protocoles qui encapsulent ce paquet ?
Sélectionnez un paquet HTTP. Quels sont les protocoles qui encapsulent ce paquet ?
Alors qu’un message HTTP est encapsulé dans un datagramme TCP, pourquoi Wireshark indique dans
sa colonne protocole HTTP et non pas TCP ? Que pouvez-vous en déduire sur la signification du champ
Protocole.
A l’aide du manuel, réalisez un filtre de capture. Quelle est la syntaxe utilisée pour ces filtres ?
Décrivez un filtre qui ne récupère que les paquets TCP.
Décrivez un filtre qui ne récupère que les paquets IP dont l’adresse destination est celle de votre
machine.
Utilisez un filtre de coloriage pour afficher en rouge les paquets IP et en bleu les paquets ARP
Utilisez le filtre d’affichage, pour distinguer les paquets UDP des paquets TCP.
Grâce au menu statistiques indiquez pour chaque type de protocole le nombre de conversations.
Représentez, sous forme d’une courbe, le volume des données HTTP échangées en fonction du temps.
Proposez une courbe basée sur le nombre de paquets par pas de temps et une autre indiquant le nombre
d’octets par pas de temps.
Représenter une autre courbe avec une autre couleur pour le trafic arp.
Filtrez le trafic pour ne visualiser que le trafic TCP et sélectionnez l’option Flow Graph dans le menu
statistiques. A quoi sert cette fonctionnalité ?
Sélectionnez une session TCP. Reportez le numéro de port source, destination, les numéros de séquence
initiaux et finaux (dans les deux sens). En déduisez le nombre d’octets transmis dans chaque sens.
Refaite une nouvelle capture. Lancez une invite de commande. Tapez :
o ftp ftp.lip6.fr
o pour le login tapez anonymous
o et le mot de passe rentrez votre adresse email.
o Tapez ls
o Tapez cd pub
o Tapez cd rfc
o Tapez cd rfc
o Tapez get rfc99.txt
o Ensuite quit
A quoi sert cette application ftp ?
Quel est le résultat de l’opération que vous venez de réaliser ?
Revenez sur la fenêtre Wireshark. Filtrez le trafic pour ne récupérer que les paquets du protocole FTP.
3/4
4/4