Professional Documents
Culture Documents
A. Questions thoriques
1) Lorsqu'une machine veut communiquer avec une autre sur un rseau Ethernet, elle
envoie ses messages sur le rseau l'ensemble des machines et normalement seule la
machine destinataire intercepte le message pour le lire, alors que les autres l'ignorent.
Ainsi en utilisant la mthode du "sniffing", il est possible d'couter le trafic passant par
l'adaptateur rseau.
Pour pouvoir couter tout le trafic sur une interface rseau, celle-ci doit tre configure
dans un mode spcifique, le mode promiscuous . Ce mode permet d'couter tous les
paquets passant par l'interface, alors que dans le mode normal, le matriel servant
d'interface rseau limine les paquets n'tant pas destination de l'hte. Par exemple, il
n'est pas ncessaire de mettre la carte en mode promiscuous pour avoir accs aux
mots de passe transitant sur un serveur FTP, vu que tous les mots de passe sont
destination dudit serveur.
2) En absence d'utilisation des protocoles de communication chiffrs, comme SSH
(SFTP, scp), SSL (HTTPS ou FTPS) les donnes transmises sur le rseau Ethernet
peuvent tre captures et exploites par les intrus.
3) Oui, il est possible de d'observer une conversation entre deux machines B et C.
4) Notre machine sera capable de visualiser le trafic dans le cas de fonctionnement
dans le mode promiscuous et non pas dans le mode normal.
Lorsqu'une machine doit communiquer avec une autre, elle consulte sa table de
correspondance. Si l'adresse demande ne s'y trouve pas, une recherche est ralise
suivant le principe suivant:
Le module ARP envoie une requte ARP dans une trame avec une adresse
MAC de diffusion gnrale(Broadcast) pour que toutes les machines du rseau
puissent la recevoir.
La couche ARP de la machine vise reconnat que cette requte lui est destine
et rpond par une rponse ARP contenant son adresse MAC(les autres
machines l'ignorent)/
La rponse ARP est reue par l'metteur qui l'intgre dans sa mmoire cache et
peut donc envoyer directement les paquets suivant avec la bonne adresse MAC
de destination.
2) Nous devons communiquer avec une machine non existante dans la table d'ARP. Il
est possible de vrifier en tapant la commande "arp -a" qui permet de consulter la
table.
Nous choisissons l'adresse suivante : 192.168.1.65
3) Cration d'un filtre ARP
:
4)
5) Une trame ARP a t envoye vers toutes les machines du rseau "broadcast"
contenant l'adresse requise : 192.168.1.65 .
La machine mettrice attend la rponse "Tell 192.168.1.71".
6) La trame ARP capture est reconnue par la valeur du champ type "0x806"
10) L'adresse de la machine communique existe dj dans la table ARP . Les trames
ARP "request" et "reply" ne sont pas ncessaires.
2)
3)
8) Le champ rserv du FLAG est fix "0". De mme pour "DF" et "MF" .
9)La valeur du TTL est gale "100" . Cette valeur est identique celle tape dans la
requte "ping".
Les premiers paquets capturs sont de type "ICMP" pour vrifier la disponibilit de la
machine (sinon un message "destination unreachable" est retourn").
Ensuite, une requte ARP est envoye pour identifier la machine destination .