Analyse de protocoles

SI2 – 2013/2014

SI2 - 2016/2017 4 janvier 2017

Préambule:
Wireshark (anciennement Ethereal) est un logiciel libre d'analyse de protocole, ou « packet sniffer », utilisé dans le dépannage et l'analyse de réseaux informatiques, le développement de protocoles, l'éducation et la rétro-ingénierie, mais aussi le piratage.
Wireshark est multiplate-forme, il fonctionne sous Windows, Mac OS X, Linux, Solaris, ainsi que sous FreeBSD.
Wireshark reconnait 759 protocoles.
(Source Wikipédia).

Travail préalable :

Adresse du F.T.P. : ftp://172.21.26.1 et ftp://172.21.27.1
1. Télécharger la machine virtuelle winXp ou win7 ou Win8? à partir du serveur FTP de la salle
2. La lancer et la configurer
3. Télécharger wireshark à partir du serveur FTP de la salle
4. Installer wireshark dans la machine virtuelle
5. Lancer wireshark
6. appeler le professeur

---

Exercice 1

1. Lancer le logiciel Wireshark et la capture sur votre interface.

2. Récupérer l’adresse IP de votre machine en utilisant la commande dans le terminal : ipconfig

………….. . ………….. .………….. .…………..

3. Demandez à votre voisin-e de lancer la commande ping avec votre adresse IP.
Par exemple, si vous avez l’adresse 192.168.27.167, il devra taper la commande suivante dans un terminal : ping 192.168.27.167

Qu’observez-vous sur votre fenêtre Wireshark ?
Notez ici les trames principales que vous capturez.

No
Time
Source
Destination
Protocol

En fonction de ce que vous observez, quelle est l’adresse IP de votre voisin-e ?

………….. . ………….. .………….. .…………..

4. Quel est le nom du protocole capturé par Wireshark lors du ping ?

………………………
5. Vous pouvez filtrer l’affichage pour n’obtenir que les captures de ce protocole en tapant son nom dans la case Filter, puis en appuyant sur Apply.


En double-cliquant sur une ligne, vous retrouvez tout le contenu du paquet.
En analysant l’un des paquets filtrés retrouvez l’adresse MAC de la carte réseau de votre machine puis celle de votre voisin.

Votre adresse MAC :
…….. . …….. .…….. .…….. .…….. .……..
Celle de votre voisin-e :
…….. . …….. .…….. .…….. .…….. .……..

Vérifiez vos réponses avec la commande ipconfig.

---

Exercice 2

1. Ouvrir le navigateur web Mozilla Firefox.

2. Dans Wireshark, filtrer uniquement les paquets concernant le protocole DNS.

3. Connectez-vous à l’adresse internet du site sur lequel vous travaillez : http://lycee-voillaume.net

4. La première capture observée par Wireshark concerne le protocole DNS (Domain Name System) celui-ci permet de récupérer l’adresse IP du site correspondant à l’URL saisie par l’utilisateur.
A quelle adresse IP cette requête est envoyée ?

………….. . ………….. .………….. .…………..

De quelle machine s’agit-t-il ?
Où est-t-elle située à votre avis ?
.
.

5. En observant les paquets échangés, retrouvez l’adresse IP du serveur de lycee-voillaume.net.

………….. . ………….. .………….. .…………..

Vérifier votre réponse, en tapant cette adresse IP dans le navigateur web :
http://xxx.xxx.xxx.xxx

Précisez la classe de cette adresse I.P.
Il y a une méthode beaucoup plus simple pour obtenir l'adresse I.P. du serveur, décrivez là.

Address Resolution Protocol (ARP, protocole de résolution d’adresse) est un protocole effectuant la traduction d’une adresse de protocole de couche réseau (en général une adresse I.P.) en une adresse MAC. Il se situe à l’interface entre la couche réseau (couche 3 du modèle O.S.I.) et la couche de liaison (couche 2 du modèle O.S.I.).
Le protocole A.R.P. est nécessaire au fonctionnement d’I.P. utilisé au-dessus d’un réseau de type ethernet. (Source Wikipédia)

---

Exercice 3

1. Dans le logiciel Wireshark, filtrer la capture pour le protocole A.R.P. S’il reste des paquets, réinitialisez la capture en cliquant sur Restart the running live capture.

2. Dans un terminal, afficher le contenu de la table ARP avec la commande : arp -a
Notez-ici le contenu du cette table :
.
.

Pour obtenir de l’aide sur arp, quelles commandes devez- vous saisir ?:


. Affichez le contenu de la table arp avec les adresses IP au lieu des noms de machines.
Quelle commande devez-vous saisir ?

………………….

4. Lancer la commande ping avec l’adresse IP d’un autre voisin (différent de celui de l’exercice 1).
Notez les paquets capturés par Wireshark dans le tableau suivant :

No
Time
Source
Destination
Protocol
Info


Relancez la commande arp. Que constatez-vous ?
Notez ici ce que vous observez comme différences :
.
.
.

5. En vous aidant de la page de manuel, supprimez l’entrée ARP correspondant à la machine de votre nouveau voisin (Cette commande nécessite les privilèges administrateur).
Quelle commande devez-vous saisir ?

………………….

Que constatez-vous dans la table ARP ? Notez ici les différences :
.
.
.

6. Ajoutez manuellement la machine de votre voisin dans la table ARP.
Quelle commande devez-vous saisir ?

---

Compléments :

http://openmaniak.com/fr/wireshark_filters.php

ether proto \arp
http://www.malekal.com/2010/12/05/wireshark-sniffanalyse-reseau/
https://www.wireshark.org/docs/dfref/
http://blog.nicolargo.com/2011/05/capturer-et-analyser-un-trafic-reseau-avec-wireshark.html

………………….
Compléments 2 :

• http://www.tplpc.com/tutoriels/dossier-37-01075.html
• https://lafibre.info/tcpip/realiser-une-capture-wireshark-pas-a-pas/
• http://inetdoc.developpez.com/tutoriels/analyse-reseau-wireshark/
• http://www.machaon.fr/isn/reseaux/Fiche-Wireshark.pdf

---

---