You are on page 1of 10

2

Commandes TCP/IP et analyse de


protocoles (IP,ARP,ICMP) sur Ethereal
et TCPdump
Med Wajih Barhoumi
Khaled Zoghlami
Anis Abida
RST- B (Gr1)

A. Questions thoriques
1) Lorsqu'une machine veut communiquer avec une autre sur un rseau Ethernet, elle
envoie ses messages sur le rseau l'ensemble des machines et normalement seule la
machine destinataire intercepte le message pour le lire, alors que les autres l'ignorent.
Ainsi en utilisant la mthode du "sniffing", il est possible d'couter le trafic passant par
l'adaptateur rseau.
Pour pouvoir couter tout le trafic sur une interface rseau, celle-ci doit tre configure
dans un mode spcifique, le mode promiscuous . Ce mode permet d'couter tous les
paquets passant par l'interface, alors que dans le mode normal, le matriel servant
d'interface rseau limine les paquets n'tant pas destination de l'hte. Par exemple, il
n'est pas ncessaire de mettre la carte en mode promiscuous pour avoir accs aux
mots de passe transitant sur un serveur FTP, vu que tous les mots de passe sont
destination dudit serveur.
2) En absence d'utilisation des protocoles de communication chiffrs, comme SSH
(SFTP, scp), SSL (HTTPS ou FTPS) les donnes transmises sur le rseau Ethernet
peuvent tre captures et exploites par les intrus.
3) Oui, il est possible de d'observer une conversation entre deux machines B et C.
4) Notre machine sera capable de visualiser le trafic dans le cas de fonctionnement
dans le mode promiscuous et non pas dans le mode normal.

B. Analyse de trafic ARP


1) Le protocole ARP permet de faire la correspondance entre les adresses logiques(IP)
et les adresses physiques(MAC).
Le protocole ARP interroge les machines du rseau pour connatre leur adresse
physique, puis cre une table de correspondance entre les adresses logiques et les
adresses physiques dans une mmoire cache.

Lorsqu'une machine doit communiquer avec une autre, elle consulte sa table de
correspondance. Si l'adresse demande ne s'y trouve pas, une recherche est ralise
suivant le principe suivant:
Le module ARP envoie une requte ARP dans une trame avec une adresse
MAC de diffusion gnrale(Broadcast) pour que toutes les machines du rseau
puissent la recevoir.
La couche ARP de la machine vise reconnat que cette requte lui est destine
et rpond par une rponse ARP contenant son adresse MAC(les autres
machines l'ignorent)/
La rponse ARP est reue par l'metteur qui l'intgre dans sa mmoire cache et
peut donc envoyer directement les paquets suivant avec la bonne adresse MAC
de destination.
2) Nous devons communiquer avec une machine non existante dans la table d'ARP. Il
est possible de vrifier en tapant la commande "arp -a" qui permet de consulter la
table.
Nous choisissons l'adresse suivante : 192.168.1.65
3) Cration d'un filtre ARP
:

4)

5) Une trame ARP a t envoye vers toutes les machines du rseau "broadcast"
contenant l'adresse requise : 192.168.1.65 .
La machine mettrice attend la rponse "Tell 192.168.1.71".

L'adresse est effectivement obtenue par une trame de rponse ARP.

6) La trame ARP capture est reconnue par la valeur du champ type "0x806"

7) L'adresse physique de la machine peut tre obtenue de la trame "Request" ou bien


de la trame "Reply".

8) Comme la figure prcdente le montre, la requte ARP a t envoye vers l'adresse


Ethernet suivante : 00:09:34:33:8a:65
9) Le datagramme ARP de rponse contient les quatre champs suivants :

L'adresse MAC de destination


L'adresse MAC de la source
L'adresse IP de la destination
L'adresse IP de la source

Ces champs permettent de raliser la correspondance entre les adresses physiques et


les adresses logiques.

10) L'adresse de la machine communique existe dj dans la table ARP . Les trames
ARP "request" et "reply" ne sont pas ncessaires.

C. Analyse de trafic ICMP


1) Cration d'un filtre ICMP

2)

3)

4) Lors de l'mission , un message ICMP de type "request" est envoy.


Lors de la rception ,un message ICMP de type "reply" est envoy.
Le champs de spcification permettant cette distinction est "Type" qui prend des
valeurs diffrentes :
La valeur "8" en cas d'mission
La valeur "0" en cas de rception.

5) La requte mise a t dcompose en 8 paquets , chaque paquet est dcompos en


2 fragments :

6) Comme indiqu dans la question 3) , Le nombre de trames gnres est gal 3.


7) Le champ "Type" de la trame Ethernet prend la valeur "800" qui signifie que c'est
un paquet IP.
A son tour , le champ "Protocole" du paquet IP prend la valeur "1" pour indiquer que
c'est un message ICMP.

8) Le champ rserv du FLAG est fix "0". De mme pour "DF" et "MF" .

9)La valeur du TTL est gale "100" . Cette valeur est identique celle tape dans la
requte "ping".

D. Analyse de trafic avec l'outil TCPdump


1) Nous pouvons effacer la cache de l'ARP en dsactivant l'interface rseau .

2) Lancer l'coute par TCPdump

3) Lancer la commande ping :

4) L'observation des paquets :

Les premiers paquets capturs sont de type "ICMP" pour vrifier la disponibilit de la
machine (sinon un message "destination unreachable" est retourn").
Ensuite, une requte ARP est envoye pour identifier la machine destination .

Enfin , la machine vise retourne la rponse contenant son adresse .


5)La table ARP de la machine destination contient effectivement l'adresse physique de
la machine source.
6) Le redmarrage de la machine est effectu.
8) Le datagramme ARP envoy est de type "Request" ce qui signifie que l'adresse
devient inconnue.
Nous pouvons conclure que le redmarrage (et donc la dsactivation de la carte)
entrane la suppression du contenu de la cache ARP.