Scribd Logo
Upload

Welcome to Scribd!

  • TP 2 Technologie IP FGHHGGGGGGGGGGGGGGGGGBVHBJHBJHBJNJNNHHHHHN

    Uploaded by

    Wajih Barhoumi
    99 views10 pages
    aaaaaaaaaaaaaaaaaaaaaaaaacccccccccccvvvvvvvvvvvvvvvvvvvvvghhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhzxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxcnvrnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn

    Original Title

    TP 2 Technologie IP fghhgggggggggggggggggbvhbjhbjhbjnjnnhhhhhn

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document
    aaaaaaaaaaaaaaaaaaaaaaaaacccccccccccvvvvvvvvvvvvvvvvvvvvvghhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhzxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxcnvrnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    99 views10 pages

    TP 2 Technologie IP FGHHGGGGGGGGGGGGGGGGGBVHBJHBJHBJNJNNHHHHHN

    Uploaded by

    Wajih Barhoumi
    aaaaaaaaaaaaaaaaaaaaaaaaacccccccccccvvvvvvvvvvvvvvvvvvvvvghhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhzxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxcnvrnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 10

    2

    Commandes TCP/IP et analyse de


    protocoles (IP,ARP,ICMP) sur Ethereal
    et TCPdump
    Med Wajih Barhoumi
    Khaled Zoghlami
    Anis Abida
    RST- B (Gr1)

    A. Questions thoriques
    1) Lorsqu'une machine veut communiquer avec une autre sur un rseau Ethernet, elle
    envoie ses messages sur le rseau l'ensemble des machines et normalement seule la
    machine destinataire intercepte le message pour le lire, alors que les autres l'ignorent.
    Ainsi en utilisant la mthode du "sniffing", il est possible d'couter le trafic passant par
    l'adaptateur rseau.
    Pour pouvoir couter tout le trafic sur une interface rseau, celle-ci doit tre configure
    dans un mode spcifique, le mode promiscuous . Ce mode permet d'couter tous les
    paquets passant par l'interface, alors que dans le mode normal, le matriel servant
    d'interface rseau limine les paquets n'tant pas destination de l'hte. Par exemple, il
    n'est pas ncessaire de mettre la carte en mode promiscuous pour avoir accs aux
    mots de passe transitant sur un serveur FTP, vu que tous les mots de passe sont
    destination dudit serveur.
    2) En absence d'utilisation des protocoles de communication chiffrs, comme SSH
    (SFTP, scp), SSL (HTTPS ou FTPS) les donnes transmises sur le rseau Ethernet
    peuvent tre captures et exploites par les intrus.
    3) Oui, il est possible de d'observer une conversation entre deux machines B et C.
    4) Notre machine sera capable de visualiser le trafic dans le cas de fonctionnement
    dans le mode promiscuous et non pas dans le mode normal.

    B. Analyse de trafic ARP


    1) Le protocole ARP permet de faire la correspondance entre les adresses logiques(IP)
    et les adresses physiques(MAC).
    Le protocole ARP interroge les machines du rseau pour connatre leur adresse
    physique, puis cre une table de correspondance entre les adresses logiques et les
    adresses physiques dans une mmoire cache.

    Lorsqu'une machine doit communiquer avec une autre, elle consulte sa table de
    correspondance. Si l'adresse demande ne s'y trouve pas, une recherche est ralise
    suivant le principe suivant:
    Le module ARP envoie une requte ARP dans une trame avec une adresse
    MAC de diffusion gnrale(Broadcast) pour que toutes les machines du rseau
    puissent la recevoir.
    La couche ARP de la machine vise reconnat que cette requte lui est destine
    et rpond par une rponse ARP contenant son adresse MAC(les autres
    machines l'ignorent)/
    La rponse ARP est reue par l'metteur qui l'intgre dans sa mmoire cache et
    peut donc envoyer directement les paquets suivant avec la bonne adresse MAC
    de destination.
    2) Nous devons communiquer avec une machine non existante dans la table d'ARP. Il
    est possible de vrifier en tapant la commande "arp -a" qui permet de consulter la
    table.
    Nous choisissons l'adresse suivante : 192.168.1.65
    3) Cration d'un filtre ARP
    :

    4)

    5) Une trame ARP a t envoye vers toutes les machines du rseau "broadcast"
    contenant l'adresse requise : 192.168.1.65 .
    La machine mettrice attend la rponse "Tell 192.168.1.71".

    L'adresse est effectivement obtenue par une trame de rponse ARP.

    6) La trame ARP capture est reconnue par la valeur du champ type "0x806"

    7) L'adresse physique de la machine peut tre obtenue de la trame "Request" ou bien


    de la trame "Reply".

    8) Comme la figure prcdente le montre, la requte ARP a t envoye vers l'adresse


    Ethernet suivante : 00:09:34:33:8a:65
    9) Le datagramme ARP de rponse contient les quatre champs suivants :

    L'adresse MAC de destination


    L'adresse MAC de la source
    L'adresse IP de la destination
    L'adresse IP de la source

    Ces champs permettent de raliser la correspondance entre les adresses physiques et


    les adresses logiques.

    10) L'adresse de la machine communique existe dj dans la table ARP . Les trames
    ARP "request" et "reply" ne sont pas ncessaires.

    C. Analyse de trafic ICMP


    1) Cration d'un filtre ICMP

    2)

    3)

    4) Lors de l'mission , un message ICMP de type "request" est envoy.


    Lors de la rception ,un message ICMP de type "reply" est envoy.
    Le champs de spcification permettant cette distinction est "Type" qui prend des
    valeurs diffrentes :
    La valeur "8" en cas d'mission
    La valeur "0" en cas de rception.

    5) La requte mise a t dcompose en 8 paquets , chaque paquet est dcompos en


    2 fragments :

    6) Comme indiqu dans la question 3) , Le nombre de trames gnres est gal 3.


    7) Le champ "Type" de la trame Ethernet prend la valeur "800" qui signifie que c'est
    un paquet IP.
    A son tour , le champ "Protocole" du paquet IP prend la valeur "1" pour indiquer que
    c'est un message ICMP.

    8) Le champ rserv du FLAG est fix "0". De mme pour "DF" et "MF" .

    9)La valeur du TTL est gale "100" . Cette valeur est identique celle tape dans la
    requte "ping".

    D. Analyse de trafic avec l'outil TCPdump


    1) Nous pouvons effacer la cache de l'ARP en dsactivant l'interface rseau .

    2) Lancer l'coute par TCPdump

    3) Lancer la commande ping :

    4) L'observation des paquets :

    Les premiers paquets capturs sont de type "ICMP" pour vrifier la disponibilit de la
    machine (sinon un message "destination unreachable" est retourn").
    Ensuite, une requte ARP est envoye pour identifier la machine destination .

    Enfin , la machine vise retourne la rponse contenant son adresse .


    5)La table ARP de la machine destination contient effectivement l'adresse physique de
    la machine source.
    6) Le redmarrage de la machine est effectu.
    8) Le datagramme ARP envoy est de type "Request" ce qui signifie que l'adresse
    devient inconnue.
    Nous pouvons conclure que le redmarrage (et donc la dsactivation de la carte)
    entrane la suppression du contenu de la cache ARP.

    You might also like