Télécharger - dutiq.info
Transcription
Télécharger - dutiq.info
Correction TP 07 Guillaume 9 mars 2015 NB : j’ai réalisé ce corrigé avant son application en TP, il se peut que certaines réponses soient inexactes. Vous fâchez pas :c Je vous conseille de faire le TP par vous-même et de basculer sur la correction si besoin. Mais c’est comme vous voulez. Non vraiment. Les réponses sont assez brèves, alors merci de me signaler si, pour les prochains, vous préférez des explications détaillées, ou juste de quoi savoir que vous êtes sur la bonne voie. Encore une fois, je n’ai ni relu ni vérifié la qualité de mes réponses. Tant pis :/ Table des matières 2. Manipulation du cache ARP 2.1. Utilisation de la commande arp . . Q 1. Contenu du cache . . . . . . Q 2. Entrée statique . . . . . . . Q 3. Ajout d’une entrée statique Q 4. Vider le cache . . . . . . . . Q 5. oh ! . . . . . . . . . . . . . . 2.2. Vulnérabilité de ARP . . . . . . . . Q 6. Authentification . . . . . . . Q 7. Vider le cache (encore) . . . Q 8. ping . . . . . . . . . . . . . Q 9. Passerelle par défaut . . . . Q 10. Cache poisoning . . . . . . . Q 11. L’internet est cassé . . . . . 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 2 2 3 3 3 4 4 4 4 4 5 5 7 Correction TP 07 S2/Réseaux/TP Q 12. re . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Q 13. lol limewire . . . . . . . . . . . . . . . . . . . . . . . . 3. Étude Q Q Q Q Q Q Q Q Q Q Q Q Q du 14. 15. 16. 17. 18. 19. 20. 21. 22. 23. 24. 25. 26. protocole ARP avec Wireshark who has ? . . . . . . . . . . . . . . Second ping . . . . . . . . . . . . . Etudier la trame . . . . . . . . . . Contenu . . . . . . . . . . . . . . . Destination . . . . . . . . . . . . . Broadcast . . . . . . . . . . . . . . Encapsulation . . . . . . . . . . . . Opcode . . . . . . . . . . . . . . . Port . . . . . . . . . . . . . . . . . Décapsulation . . . . . . . . . . . . Réponse . . . . . . . . . . . . . . . Ethertype . . . . . . . . . . . . . . Enfin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 7 8 9 9 9 10 10 10 10 11 11 11 11 11 12 Intro Vous avez vraiment besoin d’une intro ? :c 2. Manipulation du cache ARP 2.1. Utilisation de la commande arp Q 1. Contenu du cache Afficher et relever le contenu du cache ARP de chacune de vos interfaces réseau. Expliquez chaque colonne. Dans un invite de commande, on affiche le contenu du cache avec arp -a : Guillaume [email protected] 2 dutiq.info Correction TP 07 S2/Réseaux/TP On relève, pour chaque interface, trois colonnes : l’adresse IP, l’adresse physique, et le type de l’entrée (statique ou dynamique). Q 2. Entrée statique Quelle est la durée de vie d’une entrée statique ? Une entrée statique est supprimée au redémarrage de la machine. Q 3. Ajout d’une entrée statique Comment procède-t-on pour ajouter une entrée statique dans le cache ARP ? On utilise arp -s 0.0.0.0 00-00-00-00-00-00 en remplaçant respectivement les adresses IP et physique. Q 4. Vider le cache Vider le cache ARP de l’interface reliée à la machine de votre voisin. Afficher de nouveau le contenu pour vérifier. Relever les commandes effectuées. On peut également utiliser arp -d * pour supprimer toutes les adresses (avec le joker ∗). Guillaume [email protected] 3 dutiq.info Correction TP 07 Q 5. S2/Réseaux/TP oh ! Que se passe-t-il ? Expliquer les raisons plausibles d’un tel comportement. Après quelques instants, le cache contient à nouveau différents couples IP/physique. C’est normal : dès que l’on souhaite à nouveau communiquer avec une autre machine, une requête ARP est envoyée et l’adresse est ajoutée au cache. 2.2. Vulnérabilité de ARP Q 6. Authentification Quelles informations devez-vous fournir ? Expliquez. On doit s’authentifier au proxy de l’IUT avec son identifiant/mot de passe. C’est nécessaire pour utiliser le réseau. Q 7. Vider le cache (encore) Vider le cache ARP de l’interface reliée à la machine de votre voisin. Afficher de nouveau le contenu pour vérifier. Relever les commandes effectuées. ditto question 4 Q 8. ping Effectuer un ping vers l’adresse de la machine de votre voisin. Relever de nouveau le contenu du cache ARP. Expliquez. Guillaume [email protected] 4 dutiq.info Correction TP 07 S2/Réseaux/TP On observe l’ajout d’une entrée pour l’adresse que l’on vient de ping : pour pouvoir contacter cet hôte, on a dû envoyer une requête d’ARP afin de récupérer l’adresse physique correspondante et destiner correctement les informations. Q 9. Passerelle par défaut Quel est le rôle de la passerelle par défaut ? La passerelle par défaut permet de faire le lien entre deux réseaux de nature différente, comme le réseau local et l’internet mondial par exemple. On peut la comparer au routeur. Q 10. Cache poisoning Visualisez et relever le contenu du cache après l’ajout. On commence par relever/ajouter l’adresse de la passerelle par défaut (default gateway) dans les paramètres de réseau. Guillaume [email protected] 5 dutiq.info Correction TP 07 S2/Réseaux/TP Le changement sera visible avec un ipconfig Puis on ajoute l’entrée au cache avec la commande arp -s (adresse ip) (adresse physique) Guillaume [email protected] 6 dutiq.info Correction TP 07 Q 11. S2/Réseaux/TP L’internet est cassé Essayez ensuite, via le navigateur Web, d’accéder à Internet. Que se passe-t-il ? Quelles sont les parties du réseau rendues inaccessibles ? On ne peut plus accéder à l’internet extérieur. Q 12. re N’oubliez pas de supprimer l’entrée statique précédemment ajoutée. Essayez alors une nouvelle fois une connexion Internet et contrôlez l’état du cache ARP. Que se passe-t-il ? Après suppression de l’entrée statique (arp -d 1.2.3.4 où 1.2.3.4 correspond à l’adresse précédente), l’internet est de retour et le cache ARP est sainement mis à jour. Trop bien. Q 13. lol limewire D’après vous, quel peut être l’intérêt pour un pirate informatique d’empoisonner le cache ARP d’une victime ? En empoisonnant le cache, on peut détourner des données pour les écouter ou modifier (Man In The Middle attack (MITM), ou attaque de l’homme du milieu (HDM, mais c’est moins classe)). Guillaume [email protected] 7 dutiq.info Correction TP 07 3. S2/Réseaux/TP Étude du protocole ARP avec Wireshark Manip On commence par vider le cache avec arp -d * puis on vérifie avec arp -a. On lance la capture de trames sur Wireshark, comme dans le TP précédent. On ping l’autre machine On arrête la capture. Guillaume [email protected] 8 dutiq.info Correction TP 07 Q 14. S2/Réseaux/TP who has ? Pourquoi une requête ARP a été lancée avant que la requête “echo request” ne soit envoyée ? On a besoin de savoir à qui envoyer le ping. À l’aide du protocole ARP, on demande à qui appartient l’adresse IP souhaitée et on obtient une adresse physique en retour. Q 15. Second ping Est-ce que le second ping est précédé d’une requête ARP ? Expliquer. Non. Une fois l’adresse stockée dans le cache, on n’a pas besoin d’une nouvelle requête ARP pour savoir à qui s’adresser. Q 16. Etudier la trame Etudier dans la trace la requête ARP que votre machine a envoyé avant la requête ping. Guillaume [email protected] 9 dutiq.info Correction TP 07 Q 17. S2/Réseaux/TP Contenu Relever et expliquer les différents champs de la trame. On retouve les adresses IP et MAC de l’expéditeur, et l’adresse IP cible (celle pour laquelle on souhaite obtenir l’adresse MAC). Q 18. Destination Que peut-on dire de l’adresse MAC de destination ? Il s’agit de l’adresse de broadcast. Q 19. Broadcast Pourquoi la requête ARP a été envoyée en diffusion ? On s’adresse à tout le monde puisqu’on ne connaı̂t pas encore la destination en particulier. Q 20. Encapsulation Expliquer comment un poste arrive à détecter que la trame reçue encapsule des datagrammes ARP. Indiquez le champ et sa valeur. Il s’agit de l’Ethertype dans le PDU 1 Ethernet (champ Type, valeur 0x0806). 1. Pour rappel, le PDU (Protocol Data Unit) est formé d’une entête, et d’une charge utile (cf. TP précédent). Guillaume [email protected] 10 dutiq.info Correction TP 07 Q 21. S2/Réseaux/TP Opcode Une fois que le poste a identifié qu’il s’agit du protocole ARP, comment le processus ARP détecte que c’est une requête (indiquer le champ utilisé et sa valeur) ? C’est grâce à l’Opcode (qui vaut “request”) dans le PDU ARP. Q 22. Port Est-ce que la requête contient des numéros de ports source et destination ? Commenter. Non. ARP est un protocol de niveaux 2 (liaison) et 3 (réseau). Il ne s’agit pas d’application. Q 23. Décapsulation Expliquer le mécanisme de décapsulation détaillé quand un poste reçoit une trame qui contient un protocole ARP. Comment un poste décide que c’est lui qui doit répondre à la requête ARP ? Etudier la réponse ARP. La trame est décapsulée en enlevant le PDU Ethernet. Si la “Target IP address” correspond au poste qui reçoit la rquête, il répond. La réponse ARP (Opcode 2, soit reply), envoyée à l’expéditeur de la question, contient les adresses IP et MAC de l’expéditeur et du destinataire. Q 24. Réponse Identifier l’adresse MAC source et destination. Pourquoi la réponse n’est pas envoyée en diffusion tel que la requête ARP ? On adresse la réponse uniquement au poste qui a envoyé la requête. Q 25. Ethertype Expliquer comment un poste arrive à détecter que les trames capturées encapsulent des datagrammes ARP et en particulier une réponse qui lui est destinée. Il s’agit ici aussi de l’ethertype et de l’opcode. Guillaume [email protected] 11 dutiq.info Correction TP 07 Q 26. S2/Réseaux/TP Enfin Quel est le résultat retourné par une réponse ARP ? Où se trouve l’information au niveau du datagramme ARP ? La réponse contient les adresses IP et MAC concernées. On s’intéresse notamment à “Sender MAC address”, puisqu’il s’agit de l’adresse MAC de l’expéditeur de la réponse, soit l’adresse demandée avec la requête ARP. Guillaume [email protected] 12 dutiq.info