TP n2

me

anne Gnie Informatique

Gnie Rseaux & Tlcom

31/10/2013

Pr. KHAMLICHI

TP 3 : Rseaux WireShark
Objectifs pdagogiques
Expliquer lobjectif dun analyseur de protocoles (Wireshark)
Excuter une capture de base des units de donnes de protocole (PDU) laide de Wireshark
Excuter une analyse de base des PDU sur un trafic de donnes rseau simple
Se familiariser aux fonctionnalits et options de Wireshark telles que la capture des PDU et le filtrage
de laffichage

Contexte
Wireshark est un analyseur de protocoles (analyseur de paquets) utilis pour dpanner les rseaux,
effectuer des analyses, dvelopper des logiciels et des protocoles et sinformer. Avant juin 2006,
Wireshark rpondait au nom dEthereal. Un analyseur de paquets (ou analyseur de rseaux ou de
protocoles) est un logiciel permettant dintercepter et de consigner le trafic des donnes transfres
sur un rseau de donnes. Lanalyseur capture chaque PDU des flux de donnes circulant sur le
rseau. Il permet de dcoder et danalyser leur contenu conformment aux spcifications RFC ou
autres appropries. Wireshark est programm pour reconnatre la structure de diffrents protocoles
rseau. Vous pouvez lutiliser pour afficher lencapsulation et les champs spcifiques aux PDU, puis
interprter leur signification.
Pour en savoir plus sur cet analyseur et tlcharger le programme correspondant, accdez au site
http://www.Wireshark.org

Scnario
Pour pouvoir capturer des donnes, vous devez dabord vous connecter au rseau depuis
lordinateur sur lequel Wireshark est install et excuter Wireshark.

Pour lancer la capture des donnes, slectionnez dabord llment Options dans le menu Capture.
La bote de dialogue Options comprend tout un ensemble de paramtres et de filtres dterminant le
trafic de donnes captur et le mode de capture utilis.

Vous devez commencer par vous assurer que Wireshark est configur pour linterface approprie.
Dans la liste droulante Interface, slectionnez la carte rseau utilise. Pour un ordinateur, il sagit
gnralement de la carte Ethernet connecte. Vous pouvez ensuite dfinir les Capture options.
Examinez les deux options mises en relief ci-dessous.

Configuration de Wireshark permettant de capturer des paquets en mode de proximit

Si vous ne slectionnez pas loption Capture packets in promiscious mode, seules les PDU destines
lordinateur sont captures. Si vous la slectionnez, toutes les PDU destines lordinateur et toutes
celles dtectes par la carte rseau de lordinateur sur le mme segment de rseau (cest--dire les
PDU transitant par la carte rseau non destines lordinateur) sont captures. Remarque : la
capture de ces PDU supplmentaires dpend du priphrique utilis pour connecter les ordinateurs
finaux sur le rseau. Les rsultats danalyse Wireshark varient en fonction des diffrents
priphriques (concentrateurs, commutateurs, routeurs) utiliss au cours de la formation.
Configuration de Wireshark permettant de rsoudre les noms rseau Utilisez loption Enable... name
resolution pour indiquer si Wireshark doit convertir les adresses rseau dtectes dans les PDU en
noms. Bien que cette fonction soit utile, notez que le processus de rsolution des noms risque
dajouter des PDU aux donnes captures et ainsi peut-tre de fausser lanalyse. Un certain nombre
dautres paramtres de filtrage et processus de capture sont galement disponibles.
Pour raliser une capture, il est ncessaire de slectionner dabord une interface rseau. Allez dans
le menu Capture et choisissez Interfaces. Une nouvelle fentre souvre et vous prsente
lensemble des interfaces rseau de lordinateur. Choisissez celle qui est active (celle qui possde
ladresse IP que vous avez spcie) en cliquant sur le bouton start.

Exercice 1 : Capture de paquets TCP avec Wireshark

Excutez WireShark sur chaque machine et dmarrez une capture sur linterface rseau
active.
1- Que se passe-t-il lorsque si on excute une commande ping sur une autre machine ?
Et si une machine distante excute la commande ping sur une autre machine ?
a. Quel protocole est utilis avec la commande ping ?
b. Quel est le nom complet du protocole ?
c. Quels sont les noms des deux messages ping ?
2- Ouvrez un navigateur Web et accder ladresse suivante : "http://localhost"
3- Observez les paquets capturs
a. Identifier louverture dune connexion TCP avec le serveur Apache
i. Quels sont les numros de squences initiaux utiliss ?
ii. quels sont les ports utilises du ct serveur et du ct client ?
b. Combien de segments TCP sont envoys ? Quelles sont leurs tailles ?
c. Identifier les valeurs de taille de fentre TCP utilises.

Exercice 2 : Capture de paquets UDP/ICMP

1- Redmarrer la capture de paquets avec WireShark
2- Utiliser loutil en ligne de commande traceroute avec localhost comme destination
3- Observer les paquets capturs
a. Identifier les paquets UDP et/ou ICMP utiliss par Traceroute

b. quel est le port de destination des sondes UDP ?

c. quel est le type des messages ICMP changs ?
4- Utiliser loutil en ligne de commande ping avec localhost comme destination
5- Observer les paquets capturs
a. Identifier les paquets utiliss par Ping.
b. Quels sont les types de message ICMP changs ?

Exercice 3 : Etude de DHCP

L'objectif de cette partie est dtudier Arp et DHCP dans WireShark

Effacer toutes les entres de la table arp (arp -d x.x.x.x), sur un PC voisin, aprs avoir lanc
une capture WireShark chez vous, demandez vos collgues d'arrter et de redmarrer les
fonctions rseau (ifdown eth0 ; ifup eth0).
En fonction de la trace WireShark, dcrire en dtails le protocole DHCP. Sur quel protocole
s'appuie-t-il ? Quelles informations sont-elles transmises, par qui, dans quel ordre ?

Exercice 4 : utilisation des outils satistics

Analyse en utilisant fow graphs

Effacez la table ARP, lancez une capture et lancez une session http (web). Aprs capture,
donnez le dtail de tous les protocoles utiliss au cours de l'change via l'outil flow graphs

Analyse du trafic

Faites une capture sur 5 minutes, en gnrant le plus de trafic diffrenci possible. Utilisez
l'outil IO Graphs avec diffrents filtrages et indiquez les trafics capts.
Sur la mme capture, utilisez les outils Conversation, Endpoints, et protocol hierarchy. En
fonction des rsultats, faites un bilan complet avec, d'une part, l'analyse du trafic, et d'autre
part, les indications sur les niveaux de protocoles utiliss.