outils de diagnostic et de scan réseau...les outils de l’administration de réseaux ¾analyseur...

Outils de Diagnostic et de Outils de Diagnostic et de ScanScan RRééseauseau

Enseignant : Mohamed MANAAEnseignant : Mohamed MANAA

2éme Mastère Professionnel NTICE-Réseaux

2006-2007

1. Problématique

2. Administration de réseaux

3. Les outils de l’administration de réseaux

4. Analyse d’une Trame Ethernet

Pas à pas

Avec Ethereal

5. Protocole SNMP

Sommaire

Problématique

Distance entre les appareils

Complexification des réseaux

Différents types de matériel

Différentes marques de matériel

Différentes versions de matériel

Mesures différentes

Nécessité d’un protocole standard

Administration de réseaux

Gestion et administration de réseaux = Network Management

Les moyens :

Surveiller = Monitoring

Agir = Control

But = maintenir un service

5 grandes fonctionnalités :


Gestion des pannes et des disfonctionnements

Gestion des configurations

Gestion des performances

Gestion de la compatibilité

Gestion de la sécurité


Gestion des pannes et des disfonctionnements

Gestion des configurations

Gestion des performances

Gestion de la compatibilité

Gestion de la sécurité

5 grandes fonctionnalités :

Gestion des pannes et des disfonctionnementsGestion des pannes et des disfonctionnements

Fonction de surveillance

« monitoring » des pannes

Protocole SNMP

Localisation des pannes et disfonctionnements

Outils de « monitoring » indiquent la localisation des

pannes

Outils systèmes et réseaux d’administration


Gestion des performancesGestion des performances

Fonction de surveillance

Statistiques de disponibilité des services

Gestion du trafic

Outils d’analyse du trafic

Étude permanente de la qualité de service QoS

« Monitoring » de l’état du réseau

Tests à l’aide d’outils d’administration


Les outils de l’administration de réseaux

Analyseur de trafic

Audit, gestion des performances, étude de la QoS

Outils de supervision et d’administration

Détection et localisation des pannes, vue d’ensemble de

l’état du réseau, administration distante

Outils systèmes et réseaux natifs

Tests de fonctionnement du réseau pour la recette

Détection et localisation des pannes et disfonctionnement

Évaluation de la QoS du réseau

Un protocole est l’ensemble des règles à respecter aux deux

extrémités communicantes d’un réseau pour qu’un transport

d’information soit possible.

Il permet de :

Chaque protocole est identifié par un numéro qui se trouve dans

l’entête du datagramme IP (troisième mot de l’entête)

Initier une communication;

Échanger des données;

Contrôler les erreurs;

Terminer une communication avec « courtoisie ».

Protocole

Outils de l’administrateur : Rappels

Numéro de port

les processus utilisant des ressources réseaux sont identifiés

grâce à leur numéro de port qui est unique.

Comme il y a une application au départ et à l’arrivée des

données, il existe un source port number et un destination port

number.

C’est le couple (Protocole-Port) qui détermine l’acheminement

des données dans votre machine.

On peut très bien avoir un même numéro de port assigné

plusieurs fois avec des protocoles différents.


Modèle OSI

Couche Physique

Couche Liaison de donnée

Couche Réseau

Couche Application

Couche Présentation

Couche Session

Couche Transport

Traitement

Transport

gère le transfert des informations entre programmes

s'occupe de la mise en forme des données

s'occupe de l'établissement, de la gestion et coordination des communications

gère la remise correcte des informations

Routage, Fragmentation, Communication entre systèmes

définit l'interface avec la carte réseau: hubs, switch, …

gère les connections matérielles


La communication en rLa communication en rééseau selon le modseau selon le modèèle OSIle OSI

NNœœud Expud Expééditeurditeur NNœœud Destinataireud Destinataire

Modèle OSI


La communication en rLa communication en rééseau selon le modseau selon le modèèle OSIle OSI

Modèle OSI


Modèle TCP/IP

C’est un protocole ouvert

Protocole indépendant du support physique du réseau

Le mode d’adressage est commun à tous les utilisateurs

Les protocoles de hauts niveaux sont standardisés

Couche Accès Réseau

Couche Internet

Couche Transport

Couche Application


Comparaison TCP/IP - OSI

Couche Physique

Couche Liaison de donnée

Couche Réseau

Couche Application

Couche Présentation

Couche Session

Couche Transport

Couche Accès Réseau

Couche Internet

Couche Transport

Couche Application

Matériel

PileArpa


Encapsulation d’IP

Accès Réseau

Internet

Transport

Application

Accès Réseau

Internet

Transport

Application

Réseau physique

Trame

Datagramme

Paquet

Message

A B


Datagramme IP


VERS : la version du protocole IP (4 bits)

HLEN : la longueur de l’en-tête en mots de 4 octets (4 bits)

TOTAL LENGTH : la taille du datagramme, en-tête plus données.

SERVICE TYPE : indique au routeur l’attitude à avoir vis à vis du

Datagramme (8 bits)

IDENTIFICATION, FLAGS et FRAGMENT OFFSET : contrôler la

fragmentation des datagrammes

TTL “ Time To Live ” : 255 secondes maximum de temps de vie pour un

datagramme sur le net (8 bits)

Datagramme IP


Datagramme IP

PROTOCOL : pour identifier le format et le contenu des données (8 bits)

HEADER CHECKSUM : pour s’assurer de l’intégrité de l’en-tête (16 bits)

SOURCE ADDRESS : Adresse IP de l’émetteur, à l’origine du datagramme

DESTINATION ADDRESS : Adresse IP du destinataire du datagramme

IP OPTIONS : pour préciser des options de comportement des couches IP

traversées et destinatrices (24 bits)

PADDING : Remplissage pour aligner sur 32 bits

DATA : jusqu’à 1500 octets de données


Routage des datagrammes

Le routage est le processus permettant à un datagramme d’être

acheminé vers le destinataire lorsque celui-ci n’est pas sur le même

réseau physique que l’émetteur

Le chemin parcouru est le résultat du processus de routage qui

effectue les choix nécessaires afin d’acheminer le datagramme

Les routeurs forment une structure coopérative de telle manière

qu’un datagramme transite de passerelle en passerelle jusqu’à ce

que l’une d’entre elles le délivre à son destinataire

Un routeur possède deux ou plusieurs connexions réseaux tandis

qu’une machine possède généralement qu’une seule connexion


Le routage direct

délivrer un datagramme à une machine raccordée au même LAN

la transmission d’un datagramme d’une station à une autre à

l’intérieur d’un même réseau.

L'émetteur trouve l'adresse physique du correspondant

(Protocole ARP),

Le routage indirect

Le destinataire n'est pas sur le même LAN

Il est nécessaire de franchir une passerelle connue d'avance ou

d'employer un chemin par défaut.

Le routage indirect repose sur une table de routage IP

Routage des datagrammes


Table de Routage

Une table de routage contient

L’adresse IP d’un réseau destination

L’adresse IP de la passerelle correspondant au prochain saut

La passerelle ne connaît pas le chemin complet pour atteindre la

destination

Cette table est très fréquemment utilisée par IP (sur un serveur

plusieurs centaines de fois par secondes)

Chaque franchissement d'un routeur compte pour un saut

Outils de l’administrateur

Table de Routage

R1 R2 R3Réseau10.0.0.0

Réseau20.0.0.0

Réseau30.0.0.0

Réseau40.0.0.0

10.0.0.1 20.0.0.1 20.0.0.2 30.0.0.5 30.0.0.1 40.0.0.1

Réseaux

Router vers

10.0.0.0 20.0.0.0 30.0.0.0 40.0.0.0

20.0.0.1 direct direct 30.0.0.1

Table de routage de R2


Table de Routage

Exemple :

Route :Route : Affiche et modifie les entrées dans la table de

routage IP locale.

route [-f] [-p] [Commande [Destination] [mask MasqueSousRéseau] [Passerelle] [metric Métrique]] [if Interface]]

-f : Supprime, dans la table de routage, toutes les entrées qui ne correspondent pas à des itinéraires-p : Lorsque ce paramètre est utilisé avec la commande add, l'itinéraire spécifié est ajouté au Registre et permet d'initialiser la table de routage IP àchaque fois que le protocole TCP/IP est utilisé. Destination : Spécifie la destination réseau de l'itinéraire.


C:\>route PRINT===========================================================================Liste d'Interfaces0x1 ........................... MS TCP Loopback interface0x10003 ...00 0e 7f 7c d2 c8 ...... Carte Fast Ethernet PCI de base DP83815 National Semiconductor - Miniport d'ordonnancement de paquets======================================================================================================================================================Itinéraires actifs :Destination réseau Masque réseau Adr. passerelle Adr. interface Métrique

0.0.0.0 0.0.0.0 192.168.12.1 192.168.12.14 20127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1

192.168.12.0 255.255.255.0 192.168.12.14 192.168.12.14 20192.168.12.14 255.255.255.255 127.0.0.1 127.0.0.1 20

192.168.12.255 255.255.255.255 192.168.12.14 192.168.12.14 20224.0.0.0 240.0.0.0 192.168.12.14 192.168.12.14 20

255.255.255.255 255.255.255.255 192.168.12.14 192.168.12.14 1Passerelle par défaut : 192.168.12.1===========================================================================Itinéraires persistants :

Aucun

Table de Routage


Table de Routage


ARP (Address Resolution Protocol )

Fournir à une machine donnée l'adresse physique d'une autre

machine située sur le même réseau à partir de l'adresse IP de la

machine destinatrice

L'usage de ARP est complètement transparent pour l'utilisateur

On n’a pas besoin d'utiliser ARP à chaque échange, car le

résultat est mémorisé

En règle générale la durée de vie d'une adresse en mémoire est

de l'ordre de 20 minutes

Les messages ARP ne franchissent pas les routeurs


Poste 1 Poste 2 Poste 3 Poste 4

ARP (Address Resolution Protocol )

1. «Poste 1» Veut connaître l’adresse physique de «Poste 3»

2. «Poste 1» diffuse une requête ARP qui contient l’adresse IP

de «Poste 3» vers toutes les machines

3. «Poste 3» répond avec un message ARP qui contient la paire

(@IP,@Physique)


ARP (Address Resolution Protocol ) : Exemple

Arp :Arp : Affiche et modifie les tables de traduction d'adresses IP en

adresses physiques utilisées par le protocole de résolution

d'adresses ARP.

ARP -s inet_addr eth_addrARP -d inet_addr ARP -a [inet_addr]

-a : Affiche les entrées ARP en cours. Si inet_addr est spécifié, seules les adresses IP et physiques de l'ordinateur spécifié sont affichées. -d : Supprime l'hôte spécifié par inet_addr. inet_addr peut contenir le caractère générique * pour supprimer tous les hôtes.-s : Ajoute l'hôte et associe l'adresse Internet inet_addr avec l'adresse physique eth_addr.


C:\>arp -a

Interface : 192.168.12.14 --- 0x10003Adresse Internet Adresse physique Type192.168.12.1 00-08-a1-9d-94-f8 dynamique192.168.12.2 00-0f-fe-aa-88-0a dynamique192.168.12.7 00-50-b0-64-f1-74 dynamique

ARP (Address Resolution Protocol ) : Exemple


RARP (Reverse Address Resolution Protocol )

Permet d'obtenir son adresse IP à partir de l'adresse

physique qui lui est associée

Poste 1 Poste 2 Poste 3 Poste 4

1. «Poste 1» Veut connaître son adresse IP sur le réseau

2. «Poste 1» diffuse une requête RARP

3. «Poste 3» et «Poste 4» répond (serveurs RARP)


ICMP (Internet Control Message Protocol )

Permet d’envoyer des messages de contrôle ou d’erreur

vers d’autres machines ou passerelles

ICMP rapporte les messages d’erreur à l’émetteur initial

Types d’erreurs :

machine destination déconnectée

durée de vie du datagramme expirée

congestion de passerelles intermédiaires

Les messages ICMP sont utilisés par exemple par

l'application Ping pour tester les liaisons.


PING :PING : Vérifie la connectivité IP d'un ordinateur utilisant le

protocoles TCP/IP

ICMP (Internet Control Message Protocol ) : Exemple

-t : Spécifie que la commande Ping continue d'envoyer des messages Requête d'écho à destination jusqu'à son interruption.-a : Spécifie que la résolution de nom inversé est faite sur l'adresse IP de destination. -n : Spécifie le nombre de messages Requête d'écho envoyés. La valeur par défaut est 4.-l : Spécifie la longueur, en octets, du champ Données dans les Requête d'écho envoyés. La valeur par défaut est 32. La taille maximale est 65 527.

PING [-t] [-a] [-n Nombre] [-l Taille] [-f] [-i TTL] [-v TOS] [-r Nombre] [-s Nombre] [[-j ListeHôte | -k ListeHôte]]

[-w DélaiAttente] [NomCible]


C:\>ping 192.168.12.1

Envoi d'une requête 'ping' sur 192.168.12.1 avec 32 octets de données :

Réponse de 192.168.12.1 : octets=32 temps<1ms TTL=128Réponse de 192.168.12.1 : octets=32 temps<1ms TTL=128Réponse de 192.168.12.1 : octets=32 temps<1ms TTL=128Réponse de 192.168.12.1 : octets=32 temps<1ms TTL=128

Statistiques Ping pour 192.168.12.1:Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%),

Durée approximative des boucles en millisecondes :Minimum = 0ms, Maximum = 0ms, Moyenne = 0ms

PINGPING



C:\>ping -n 8 192.168.12.1

Envoi d'une requête 'ping' sur 192.168.12.1 avec 32 octets de données :

Réponse de 192.168.12.1 : octets=32 temps=3 ms TTL=128Réponse de 192.168.12.1 : octets=32 temps=1 ms TTL=128Réponse de 192.168.12.1 : octets=32 temps<1ms TTL=128Réponse de 192.168.12.1 : octets=32 temps<1ms TTL=128Réponse de 192.168.12.1 : octets=32 temps<1ms TTL=128Réponse de 192.168.12.1 : octets=32 temps<1ms TTL=128Réponse de 192.168.12.1 : octets=32 temps=1 ms TTL=128Réponse de 192.168.12.1 : octets=32 temps=1 ms TTL=128

Statistiques Ping pour 192.168.12.1:Paquets : envoyés = 8, reçus = 8, perdus = 0 (perte 0%),

Durée approximative des boucles en millisecondes :Minimum = 0ms, Maximum = 3ms, Moyenne = 0ms

PINGPING



PINGPING



NetstatNetstat :: Affiche les connexions TCP actives et les ports sur

lesquels l'ordinateur écoute, il affiche aussi la table de routage

IP et les statistiques Ethernet


-a : Affiche toutes les connexions TCP actives ainsi les ports TCP et UDP utilisés par l'ordinateur pour l'écoute -e : Affiche des statistiques Ethernet, comme le nombre d'octets et de paquets envoyés et reçus. Ce paramètre peut être combiné à -s.-n : Affiche les connexions TCP actives, mais les numéros de port et les adresses sont au format numérique et aucune tentative n'est effectuée pour déterminer les noms

Netstat [-a] [-e] [-n] [-o] [-p protocole] [-r] [-s] [intervalle]


C:\>netstat

Connexions actives

Proto Adresse locale Adresse distante EtatTCP Serveur:1027 localhost:ms-sql-s ESTABLISHEDTCP Serveur:1031 localhost:ms-sql-s ESTABLISHEDTCP Serveur:ms-sql-s localhost:1027 ESTABLISHEDTCP Serveur:ms-sql-s localhost:1031 ESTABLISHEDTCP Serveur:1160 192.168.12.1:netbios-ssn ESTABLISHED

NetstatNetstat



C:\>netstat -a

Connexions actives

Proto Adresse locale Adresse distante EtatTCP Serveur:epmap 0.0.0.0:0 LISTENINGTCP Serveur:microsoft-ds 0.0.0.0:0 LISTENINGTCP Serveur:1025 0.0.0.0:0 LISTENINGTCP Serveur:1029 0.0.0.0:0 LISTENINGTCP Serveur:ms-sql-s 0.0.0.0:0 LISTENINGTCP Serveur:1027 localhost:ms-sql-s ESTABLISHEDTCP Serveur:1028 0.0.0.0:0 LISTENINGTCP Serveur:1031 localhost:ms-sql-s ESTABLISHEDTCP Serveur:ms-sql-s localhost:1027 ESTABLISHEDTCP Serveur:ms-sql-s localhost:1031 ESTABLISHEDTCP Serveur:netbios-ssn 0.0.0.0:0 LISTENINGTCP Serveur:1160 192.168.12.1:netbios-ssn ESTABLISHEDUDP Serveur:microsoft-ds *:*UDP Serveur:isakmp *:*UDP Serveur:4500 *:*UDP Serveur:ntp *:*UDP Serveur:1040 *:*UDP Serveur:1168 *:*UDP Serveur:1900 *:*UDP Serveur:ntp *:*UDP Serveur:netbios-ns *:*UDP Serveur:netbios-dgm *:*UDP Serveur:1900 *:*

NetstatNetstat


C:\>netstat -eStatistiques de l'interface

Reçus Emis

Octets 5092640 587344Paquets unicast 6187 4953Paquets non monodiffusion 999 767Rejets 0 0Erreurs 0 0Protocoles inconnus 62

NetstatNetstat


NetstatNetstat


TracertTracert :: Détermine l'itinéraire vers une destination par la

transmission de messages ICMP (messages Requête d'écho

Internet Control Message Protocol) en augmentant de façon

incrémentielle les valeurs des champs TTL (Time to Live, Durée

de vie).


Tracert [-d] [-h TronçonsMaximaux] [-j ListeHôtes][-w Temporisation] [NomCible]

-d : Empêche la commande tracert de convertir en noms les adresses IP des routeurs intermédiaires.-h : Spécifie le nombre maximal de tronçons de l'itinéraire pour rechercher la cible. La valeur par défaut est 30 tronçons.


C:\>tracert www.yahoo.fr

Détermination de l'itinéraire vers www.euro.yahoo.akadns.net [217.12.3.11]avec un maximum de 30 sauts :

1 2821 ms 330 ms 129 ms 193.95.42.2492 130 ms 119 ms 1101 ms 193.95.42.2533 146 ms 149 ms 130 ms 172.17.1.54 140 ms 861 ms 189 ms 193.95.77.105 139 ms 139 ms 139 ms gw-gnet-ati.tn [193.95.0.1]6 140 ms 149 ms 129 ms 193.95.1.1267 140 ms 140 ms * 193.95.1.98 * 781 ms 230 ms 62.216.146.1019 200 ms 210 ms 3384 ms ae-0.pat1.the.yahoo.com [195.66.224.129]

10 427 ms 189 ms 190 ms ge-1-1-0.msr1.ukl.yahoo.com [217.12.0.229]11 190 ms 180 ms 190 ms ge-3-1.bas-a1.ukl.yahoo.com [217.12.2.200]12 240 ms 199 ms 180 ms alteon1.34.ukl.yahoo.com [217.12.6.6]13 200 ms 179 ms 190 ms www2.vip.ukl.yahoo.com [217.12.3.11]

Itinéraire déterminé.

TracertTracert



TracertTracert



TracerouteTraceroute ((sous Linuxsous Linux) :) : permet de donner la liste des

routeurs entre la machine sur laquelle on lance la commande et

la machine cible.


traceroute [-dnrv] [-w attente] [-m max_ttl] [-p port#][-q nrequetes] [-t tos] [-s adr_src]

[-g adr] machine [longueur]

-n : permet de ne pas faire les traductions "adresses IP / nom de machine" et permet un affichage plus rapide -m : Initialise la valeur maximale du paramètre time_to_live du paquet IP-r : N'utilise pas la table de routage du système et envoie le paquet directement vers le réseau local.


Autres commandes

NBTStatNBTStat : : Affiche les statistiques du protocole NetBIOS sur

TCP/IP, les tables de noms NetBIOS associées à l'ordinateur local

et aux ordinateurs distants ainsi que le cache de noms NetBIOS.

NBTStat [-a NomDistant] [-A AdresseIP] [-c] [-n] [-r] [-R] [-RR] [-s] [-S] [Intervalle]

-a : Affiche la table de noms NetBIOS d'un ordinateur distant, NomDistantétant le nom NetBIOS de l'ordinateur distant.-A : Affiche la table de noms NetBIOS d'un ordinateur distant spécifié par son adresse IP (en notation décimale pointée). -c : Affiche le contenu du cache de noms NetBIOS, la table de noms NetBIOSet les adresses IP correspondantes


C:\>nbtstat -a 192.168.12.1

Connexion au réseau local:Adresse IP du noeud : [192.168.12.14] ID d'étendue : []

Table de noms NetBIOS des ordinateurs distants

Nom Type Etat---------------------------------------------SVRSFAX <00> UNIQUE InscritSVRSFAX <20> UNIQUE InscritPUBLINET <00> Groupe InscritPUBLINET <1C> Groupe InscritPUBLINET <1B> UNIQUE InscritSVRSFAX <03> UNIQUE InscritINet~Services <1C> Groupe InscritPUBLINET <1E> Groupe InscritADMINISTRATEUR <03> UNIQUE InscritIS~SVRSFAX.....<00> UNIQUE InscritPUBLINET <1D> UNIQUE Inscrit..__MSBROWSE__.<01> Groupe Inscrit

Adresse MAC = 00-08-A1-9D-94-F8

Autres commandes

NBTStatNBTStat


C:\>nbtstat -n

Connexion au réseau local:Adresse IP du noeud : [192.168.12.14] ID d'étendue : []

Table nom local NetBIOS

Nom Type Statut---------------------------------------------SERVEUR <00> UNIQUE InscritSERVEUR <20> UNIQUE InscritPUBLINET <00> Groupe Inscrit

Autres commandes

NBTStatNBTStat


Autres commandes

NBTStatNBTStat


NslookupNslookup :: Affiche des informations que vous pouvez utiliser

pour diagnostiquer l'infrastructure DNS (Domain Name System).

Autres commandes

nslookup [-SousCommande ...][[Ordinateur| [-Serveur]]]

SousCommande : Spécifie une ou plusieurs sous-commandes nslookupcomme options de la ligne de commande.Ordinateur : Recherche des informations pour Ordinateur en utilisant le serveur de noms DNS actuel par défaut, si aucun autre serveur n'est spécifié. Serveur : Spécifie le serveur à utiliser comme serveur de noms DNS. Si vous omettez le paramètre Serveur, le serveur de noms DNS par défaut est utilisé.


IpconfigIpconfig :: Affiche toutes les valeurs de la configuration du réseau TCP/IP

et actualise les paramètres DHCP (Dynamic Host Configuration Protocol)

et DNS (Domain Name System). Utilisé sans paramètres, Ipconfig affiche

l'adresse IP, le masque de sous-réseau et la passerelle par défaut de

toutes les cartes.

Autres commandes

Ipconfi [/all] [/renew [Carte]] [/release [Carte]] [/flushdns] [/displaydns] [/registerdns] [/showclassid Carte] [/setclassid

Carte [IDClasse]]Paramètres

/all : Affiche la configuration TCP/IP complète de toutes les cartes. Sans ce paramètre, Ipconfig affiche uniquement l'adresse IP, le masque de sous-réseau et les valeurs de la passerelle par défaut de chaque carte.


IpconfigIpconfig

Autres commandes


carte configurée de manière à obtenir automatiquement une adresse IP

carte configurée avec une adresse IP

C:\>ipconfig /all

Configuration IP de Windows

Nom de l'hôte . . . . . . . . . . : ServeurSuffixe DNS principal . . . . . . :Type de n?ud . . . . . . . . . . : InconnuRoutage IP activé . . . . . . . . : NonProxy WINS activé . . . . . . . . : Non

Carte Ethernet Connexion au réseau local:

Suffixe DNS propre à la connexion :Description . . . . . . . . . . . : National Semiconductor Corp. DP83815

/816 10/100 MacPhyter PCI AdapterAdresse physique . . . . . . . . .: 00-0E-7F-7C-D2-C8DHCP activé. . . . . . . . . . . : NonAdresse IP. . . . . . . . . . . . : 192.168.12.14Masque de sous-réseau . . . . . . : 255.255.255.0Passerelle par défaut . . . . . . : 192.168.12.1

IpconfigIpconfig

Autres commandes


IpconfigIpconfig

Autres commandes


Action Unix Windows

Afficher les routes netstat

Tester si une adresse IP répond ping

Faire une résolution DNS nslookup

Gérer les tables ARP arp

Afficher le chemin vers une autre machine traceroute tracert

Afficher la configuration réseaux ifconfig winipcfg ou ipconfig

Ajouter des routes route


Trame Ethernet

6 6 2 46 à 1500 48

Préambule de synchronisation

Adresse de la destination

Adresse de la sourceType des données

Checksum

Encapsulation Ethernet Données encapsulées

Analyse du trafic

Une trame a une longueur minimale (72) et une longueur maximale

(1526). Si les données ne sont pas assez longues (46 octets) des

caractères de remplissage sont ajoutés (“ padding ”)

Le préambule Sert à la synchronisation

Adresses d’origine et de destination sont celles respectivement de la

machine émettrice et de la machine destinatrice

Le champ “ type ” est deux octets qui désignent le type des données

encapsulées (0800 : IP / 0806 : ARP / 0835 : RARP / …)

Trame Ethernet

Analyse d’une Trame Ethernet

Adresse 8 octets 8 octets

0000

0010

0020

0030

0040

00 09 5b 9a c4 94 00 90

00 34 68 db 40 00 40 06

08 8f 80 02 03 e1 cd 9c

3e 96 8d 1c 00 00 01 01

C4 ef

4b 16 5d 24 08 00 45 00

74 dd c0 a8 00 02 93 d2

f7 13 49 6f bd 4c 80 10

08 0a 00 0e ff e0 39 d0

Indications :

le préambule Ethernet n’a pas été capturé

le type d’une trame IP est 0800

le type d’une trame TCP est 06, d’une trame UDP est 12


Analyse pas à pas

Analyse pas à pas


0000

0010

0020

0030

0040

00 09 5b 9a c4 94 00 90

00 34 68 db 40 00 40 06

08 8f 80 02 03 e1 cd 9c

3e 96 8d 1c 00 00 01 01

C4 ef

4b 16 5d 24 08 00 45 00

74 dd c0 a8 00 02 93 d2

f7 13 49 6f bd 4c 80 10

08 0a 00 0e ff e0 39 d0


00 09 5b 9a c4 94 : adresse MAC destination ;

00 90 4b 16 5d 24 : adresse MAC source ;

08 00 : suite de la trame : IP/TCP ;

Analyse pas à pas


0000

0010

0020

0030

0040

00 09 5b 9a c4 94 00 90

00 34 68 db 40 00 40 06

08 8f 80 02 03 e1 cd 9c

3e 96 8d 1c 00 00 01 01

C4 ef

4b 16 5d 24 08 00 45 00

74 dd c0 a8 00 02 93 d2

f7 13 49 6f bd 4c 80 10

08 0a 00 0e ff e0 39 d0

0x45 = 01000101 ;

Version : 0100 = 4 (IPv4) ;

Longueur entête : 0101 = 5 mots de 32 bits (20 octets) ;


Analyse pas à pas


0000

0010

0020

0030

0040

00 09 5b 9a c4 94 00 90

00 34 68 db 40 00 40 06

08 8f 80 02 03 e1 cd 9c

3e 96 8d 1c 00 00 01 01

C4 ef

4b 16 5d 24 08 00 45 00

74 dd c0 a8 00 02 93 d2

f7 13 49 6f bd 4c 80 10

08 0a 00 0e ff e0 39 d0

Service type : 0x00 ;

Longueur totale : 0x0034 = 52 octets ;


52 octets +14 octets entête Ethernet = taille totale de la trame

66 octets ;

Analyse pas à pas


0000

0010

0020

0030

0040

00 09 5b 9a c4 94 00 90

00 34 68 db 40 00 40 06

08 8f 80 02 03 e1 cd 9c

3e 96 8d 1c 00 00 01 01

C4 ef

4b 16 5d 24 08 00 45 00

74 dd c0 a8 00 02 93 d2

f7 13 49 6f bd 4c 80 10

08 0a 00 0e ff e0 39 d0

identification : 0x68db ;

flags (3 bits) : 0x4000 = 0100 0000 0000 0000 ;

bit DF (don’t fragment) = vrai;

bit MF (more fragment) = faux;

fragment offset : 0x4000 = 0100 0000 0000 0000 = 0 : numéro 0 ;


Analyse pas à pas


0000

0010

0020

0030

0040

00 09 5b 9a c4 94 00 90

00 34 68 db 40 00 40 06

08 8f 80 02 03 e1 cd 9c

3e 96 8d 1c 00 00 01 01

C4 ef

4b 16 5d 24 08 00 45 00

74 dd c0 a8 00 02 93 d2

f7 13 49 6f bd 4c 80 10

08 0a 00 0e ff e0 39 d0

TTL : 0x40=64 ;

PROTO : 0x06=6=TCP ;

Header Checksum : 0x74dd ;


Analyse pas à pas


0000

0010

0020

0030

0040

00 09 5b 9a c4 94 00 90

00 34 68 db 40 00 40 06

08 8f 80 02 03 e1 cd 9c

3e 96 8d 1c 00 00 01 01

C4 ef

4b 16 5d 24 08 00 45 00

74 dd c0 a8 00 02 93 d2

f7 13 49 6f bd 4c 80 10

08 0a 00 0e ff e0 39 d0

adresse IPv4 de la source : 0xc0a80002=192.168.0.2 ;

adresse IPv4 du destinataire : 0x93d2088f=147.210.8.143 ;


Analyse pas à pas


0000

0010

0020

0030

0040

00 09 5b 9a c4 94 00 90

00 34 68 db 40 00 40 06

08 8f 80 02 03 e1 cd 9c

3e 96 8d 1c 00 00 01 01

C4 ef

4b 16 5d 24 08 00 45 00

74 dd c0 a8 00 02 93 d2

f7 13 49 6f bd 4c 80 10

08 0a 00 0e ff e0 39 d0

port source : 0x8002 = 32770 ;

port destination : 0x03e1 = 993 (imaps) ;

numéro de séquence : 0xcd9cf713 = 3449616147 ;

numéro d’acquittement : 0x496fbd4c = 1232059724;


Analyse pas à pas


0000

0010

0020

0030

0040

00 09 5b 9a c4 94 00 90

00 34 68 db 40 00 40 06

08 8f 80 02 03 e1 cd 9c

3e 96 8d 1c 00 00 01 01

C4 ef

4b 16 5d 24 08 00 45 00

74 dd c0 a8 00 02 93 d2

f7 13 49 6f bd 4c 80 10

08 0a 00 0e ff e0 39 d0

Drapeaux : 0x10 = 00010000

URG (urgent) : faux ; ACK (acquittement) : vrai ;

PSH (push) : faux ; RST (réinitialisation) : faux ;

SYN (demande de connexion) : faux ; FIN (interruption) : faux;


Analyse pas à pas


trame d’acquittement du protocole TCP

utilise le port 32770 de la machine 192.168.0.2 et le

port imaps 993 de la machine 147.210.8.143

Avec des outils de capture : Ethereal


Protocole SNMP (Simple Network Management Protocol)

Avantages :Avantages :

Protocole très simple, facile d’utilisation

Permet une gestion à distance des différentes machines

Indépendant de l’architecture des machines administrées

Il est très performant au niveau de gestion et de la

surveillance des machines

Disposer d’une cartographie du réseau

Fournir un inventaire précis de chaque machine

Mesurer la consommation d’une application

Signaler les disfonctionnements

SNMP Permet de :SNMP Permet de :

SGMP (Simple Gateway Monitoring) utilisé pour la supervision

des passerelles entre réseaux TCP/IP

SNMPv1 a été introduit en 1988.

SNMPv2 a apporté quelques améliorations en matière de

sécurité (1992)

SNMPv3 a été créée en 2002 pour standardiser le protocole

HistoriqueHistorique

Protocole SNMP

Structure :Structure :

Chaque entité peut fonctionner en tant que manager ou/et agent

C'est l'interface installée sur chaque équipement

Comprend la base MIB

Chargé de superviser un équipement

Manager :

Agent :

C‘est l’interface de l'administrateur

interroger les agents ("getRequest", "getNext", etc.)

affecter des variables dans les agents ("setRequest")

Protocole SNMP

FonctionnalitFonctionnalitéés :s :

getget--requestrequest :: demande d’obtention de la valeur d’une variable

getget--nextnext :: demande de la valeur de la variable suivante

getget--responseresponse :: réponse à une demande

SetSet--requestrequest :: permet de modifier les données d’un agent

traptrap :: notification d’événement (permet de transmettre une alarme)

SNMP utilise 5 types d'opSNMP utilise 5 types d'opéération : ration :

exemple : snmp_get-next -h station2 IpRouteDest.0

retourne l’identification de la variable qui suit la variable IpRouteDest.0

Utilise la syntaxe ASN-1 (Abstract Syntax Notation)

Protocole SNMP


ManagerManager

Écoute sur le port UDP 162

AgentAgent

Écoute sur le port UDP 161

get-request

get-response

get-next

set-request

trap

get-response

get-response

Protocole SNMP


Les requêtes et les réponses ont le même format

Version Communauté PDU (Packet Data Unit)

Version :Version : Version du SNMP ( 0 pour SNMPv1 et 3 pour SNMPv3)

CommunautCommunautéé :: permet de créer des domaines d’administration. Par

défaut, la communauté est « PUBLIC »

PDU :PDU : Packet Data Unit : Informations utiles (les valeurs

demandées ou les réponses à des demandes)

Protocole SNMP


PDUType

RequestID

ErrorStatus

ErrorIndex

Variable Ending Lst

ObjectName Value

PDU type : décrit le type de requête

Type de PDU Nom

0 Get-request

1 Get-next

2 Set-request

3 Get-response

4 Trap

Protocole SNMP


PDUType

RequestID

ErrorStatus

ErrorIndex

Variable Ending Lst

ObjectName Value

Request ID : Identificateur de requête; permet de faire

correspondre une requête avec une réponse

Error Status : Le type d’erreur; aucune erreur ne s’est produite

0 (zéro)Réponses Description

NoAccess Accès non permis

WrongLengh Erreur de longueur

WrongValue Valeur erronée

Protocole SNMP


PDUType

RequestID

ErrorStatus

ErrorIndex

Variable Ending Lst

ObjectName Value

Error Index : Position de l’erreur (quelle variable a causé l’erreur)

Variable Einding lst : Liste de variable

ObjectName : Identificateur de la variable (une suite de nombre)

Value : La valeur de la variable tel que décrit par l’identificateur

Protocole SNMP

Simple Network Management ProtocolVersion: 1 Community: public PDU type: GET Request Id: 0x34339329 Error Status: NO ERROR Error Index: 0 Object identifier 1: 1.3.6.1.2.1.1.3.0 (SNMPv2-MIB::sysUpTime.0) Value: NULL


Exemple :

Protocole SNMP

La MIB (Management Information Base)La MIB (Management Information Base)

Protocole SNMP

Base de données contenant les informations sur les éléments

du réseau à gérer

Collection structurée d’objets

Chaque nœud doit maintenir une MIB qui reflète l’état des

ressources gérées

C’est une base de données virtuelle

La structure des données est normalisée SMI (Structure

Management Information)

MIBMIB : Structure : Structure

CCITT (Comité Consultatif International

Télégraphique et Téléphonique)

Organisée hiérarchiquement

La structure est normalisée

Chaque niveau de la hiérarchie est

repéré par un index numérique

Exemple : Internet

ObjectIdentifier ::={ISO(1) org(3)

dod(6) 1}

1.3.6.1

Protocole SNMP

Des types simples :INTEGER, OCTET STRING,

OBJECTIDENTIFIER, NULL, SEQUENCE, SEQUENCE OF

Des types applicatifs [RFC]

OBJECT-------------Atindex {atEntry 1}Syntax : INTEGERDefinition : The interface number for the physical addressAccess : read-writeStatus : mandatory


Protocole SNMP

SMI décrit la structure de la MIB et des objets

Chaque objet :

- un nom (OID)

- une syntaxe SMI (ASN-1) qui définit :

son type

son codage

- un droit d'accès read/write


Protocole SNMP

system(1) système

system(1).sysDescr(1) description du système

system(1).sysUpTime(3) durée de marche

interfaces(2) interfaces

interfaces(2).ifNumber(1) nombre d'interfaces

interfaces(2).ifTable(2).3... décrit l'interface numéro 3

interfaces(2).ifTable(2).3.ifSpeed(5) débit de l'interface numéro 3

at(3) translation d'adresses

ip(4) IP

ip(4).ipForwarding(1) vaut 1 si forwarde et 2 sinon

ip(4).ipFragFails(18) nombre de paquets dont le réassemblement a échoué

icmp(5) ICMP

icmp(5).icmpInDestUnreachs(3) nombre de ICMP destination unreachable reçus

tcp(6) TCP

tcp(6).tcpCurrEstab(9) nombre de connexions établies

udp(7) UDP

MIB : Regroupement des variables :MIB : Regroupement des variables :

Protocole SNMP

CatCatéégories MIB du MIT (Management Information gories MIB du MIT (Management Information TreeTree))

Catégorie Contenu

System Informations système sur l’agent supervisé (nom, système d’exploitation …)

Interfaces Interfaces réseaux (type, état, débit, charge, trafic, …)

At La table d’adresses IP pour les correspondances avec les adresses physiques.

Ip Informations sur l’Internet Protocol (adresse(s) IP des interfaces, …). Issues de la table ARP

ICMP Les statistiques du protocole ICMP

TCP Les paramètres TCP, les statistiques, la table de connexion

UDP Les statistiques UDP

Protocole SNMP

Nom Catégorie Sémantique

sysUpTime system Durée depuis le démarrage

ifNumber interfaces nombre d'interfaces d'accès

ifMtu interfaces MTU(maximum transfer unit) d'une interface d'accès

ipInReceives ip nombre de datagrammes reçus

ipFragsOKs ip nombre de fragments correctement reçus

ipRouteTable ip table de routage

tcpRtoMin tcp durée minimale du temporisateur de retransmission

udpInDatagrams udp nombre de paquets UDP reçus

MIB : Exemples de variablesMIB : Exemples de variables

Protocole SNMP

ASN.1 ASN.1 (Abstract Syntax Notation)

Langage formel permettant une notation rigoureuse

•Deux fonctions principales pour SNMP

–Description des messages de communication

–Description des objets SNMP

•Types d’objets SNMP sous ASN-1

Données simples (integer, octet string, object identifier)

Données dites « simplement construites » (sequence,

sequence of)

Données applicatives (IpAddress, NetworkAddress,

Counter, TimeTicks)

Protocole SNMP

DDééclarations ASN.1clarations ASN.1

Types de données:

Type Signification

INTEGER Entier

BIT STRING Chaîne de bits

OCTET STRING Chaîne d’octets

NULL Aucun type

OBJECT IDENTIFIER Identificateur d’objet

SEQUENCE Équivalent à une structure en C

SEQUENCE OF Tableau monodimensionnel

CHOICE Union d’une certaine liste de types

Protocole SNMP

ASN.1 : ExemplesASN.1 : Exemples

IpAddress ::= -- type de données représentant une adresse IP

OCTET STRING (SIZE 4)

NetwokAddress ::= --adresse réseau

CHOICE {internet IpAddress}

<list> ::= SEQUENCE { <type 1>...<type n>}

<table> ::= SEQUENCE OF <list>

Protocole SNMP

ipAddrTable ::= SEQUENCE OF IpAddrEntry

IpAddrEntry ::= SEQUENCE {

ipAdEntAddr IpAddress, -- @IP de l’interface

ipAdEntIfIndex INTEGER, -- numéro de l’interface

correspondante

ipAdEntNetmask IpAddress, -- “netmask” associé

ipAdEntBcastAddr IpAddress, -- @IP de diffusion

ipAdEntReasmMaxSize INTEGER(0...65535) -- longueur max. du

datag.

}

ASN.1 :ASN.1 : Exemple (information sur les interfaces dExemple (information sur les interfaces d’’une station)une station)

Protocole SNMP

ÉÉmission dmission d’’un message SNMPun message SNMP

construction de la PDU via ASN.1,

ajout d'un nom de communauté, adresse source, adresse

destination, numéro de version,

envoi de datagramme contenant l'objet ASN.1 spécifié

Protocole SNMP

réception du message

analyse du message

message ASN.1 correct ? => non fin

version OK ? => non fin

Examen de la communauté et des données contenues dans le message

OK ?

oui :

examen de la PDU reçue (analyse syntaxique)

OK ?

oui :

construction d'une nouvelle PDU correspondant à la requête reçue.

construction du message et envoi

non :

Signale l'erreur d'authentification

Archive l'erreur et trap éventuel

RRééception dception d’’un message SNMPun message SNMP

Protocole SNMP

SNMPv1 (ancien standard) : Première version apparue en 1988.

SNMPsec : Ajout de sécurité par rapport à la version 1

SNMPv2p : Ajout de nouveau type de données.

SNMPv2c : Amélioration des opérations du protocole

SNMPv2u : Implémente la version 2c en ajoutant la sécurité

utilisateurs.

SNMPv2* : Combinaison des meilleures parties de v2u et v2p.

SNMPv3 : Nouveau standard / Renforcement de La sécurité.

Les diffLes difféérentes versions de SNMPrentes versions de SNMP

Protocole SNMP

SNMP v2SNMP v2

Extensions apportées

– portée: administration de ressources arbitraires et non plus

seulement des ressources réseaux (applications de gestion,

systèmes et communications manager à manager)

– taille, vitesse et performance: avantages de v1 conservés

avec en plus le pseudo transfert de masse (bulk-transfert)

– sécurité: rehaussement de la sécurité

– développement et compatibilité: fonctionne avec TCP/IP,

OSI et d’autres architectures de communication

Protocole SNMP

Primitive GetBulkRequest

– minimise le nombre d’échanges pour la récupération d’une

information

– possibilité de sélectionner plusieurs successeurs dans l’ordre

lexicographique

Primitive InformRequest

– commande utilisée pour l’envoi d’informations administratives

entre managers

MIB Manager to Manager (M2B)

SNMP v2SNMP v2

Protocole SNMP

SNMP v3SNMP v3

– unifier les versions précédentes de SNMP

– Conserver la compatibilité avec les versions antérieures

– choix des profils d’utilisateurs

– choix des mécanismes de sécurité

Objectifs

Il est basé sur deux concepts :

USM ( User-based Security Model )

VACM ( View-based Access Control Model )

Protocole SNMP

La sécurité s’effectue sur 4 niveaux

– Authentification: utilisation d’un algorithme à clé secrète

– Chiffrement: utilisation de l’algorithme DES (Data

Encryption Standard)

– Intégrité: utilisation de MD5 pour générer une emprunte du

message et s’assurer de son intégrité (destruction, altération,

réécriture)

– Vérification des contrôles d’accès

SNMP v3SNMP v3

Protocole SNMP

USM (User Security Model)

Ce module de sécurité se compose en 3 opérations :

L’authentification

Le cryptage

L’estampillage du temps

SNMP v3SNMP v3

Protocole SNMP

Deux méthodes :

HMAC-MD5-96

HMAC-SHA-96(HMAC = Keyed-Hashing for Message Authentication)

USM (User Security Model) : L’authentification

Donnée Mot de passe

MD5

Code de Hachage

Donnée Code de Hachage

Donnée Code de Hachage

Donnée Mot de passe

MD5

Code de Hachage 2

ÉÉmetteurmetteur RRéécepteurcepteur

SNMP v3SNMP v3

Protocole SNMP

USM (User Security Model) : L’estampillage du temps

SNMP v3SNMP v3

Protocole SNMP

Trame effective sur un temps restreint

S’il y a une différence supérieur à 150 ms entre la

date de création de la trame et son traitement, elle est

détruite. Cette donnée est paramétrable.

Empêche la réutilisation d’une trame (inhibe le système

contre le « replay attack »)

Permet le contrôle d’accès au MIB.

Possibilité de restriction d’accès en lecture et/ou écriture

pour un groupe ou par utilisateur.

VACM (View Access Control Model)

SNMP v3SNMP v3

Protocole SNMP

Installation : Windows XPInstallation : Windows XP

Dans le panneau de configuration :

1. Ajout/suppression de logiciels,

2. Ajouter ou supprimer des composants Windows,

3. Sélectionnez "Outils de gestion et d'analyse",

4. Cliquez sur "Détails",

5. Cochez "SNMP (Protocole simplifié de gestion de réseaux)"

Protocole SNMP

Clique du bouton droit sur "Poste de travail" dans le menu "Démarrer"

Gérer

Développez "Service et applications" et repérez "Service SNMP"


Protocole SNMP


Protocole SNMP

Dans le panneau de configuration :

1. Ajout/suppression de logiciels,

2. Ajouter ou supprimer des composants Windows,

3. Sélectionnez "Outils de gestion et d'analyse",

4. Cliquez sur "Détails",

5. Cochez "SNMP (Protocole simplifié de gestion de réseaux)"

Installation : Windows 2000Installation : Windows 2000

Protocole SNMP

Installation : Windows 2000Installation : Windows 2000

Protocole SNMP

Dans panneau de configuration

1. Choisir "Outils d'administration"

2. Choisir Services

3. Choisir Service SNMP.

4. Choisir l‘onglet Agent.

5. Saisir Contact et Emplacement.

6. Choisir l'onglet INTERRUPTIONS.

7. Cliquer OK.

8. Rendez le service SNMP automatique.

9. Arreter et demarrer le service

Il suffit d'installer les paquets NET-SNMP et NET-SNMP UTILS,

avec l'outil que vous préférez.

La configuration est un peu plus compliqué sous Linux.

1. Commencez par sauvegarder le fichier /etc/snmp/snmpd.conf

2. Créez ensuite un nouveau fichier /etc/snmp/snmpd.conf

comme suit :

Installation : LinuxInstallation : Linux

Protocole SNMP

syscontact [email protected] ENIS# 1° créer des relations entre les communautés et des noms de sécurité# nom.secu source communautecom2sec Local localhost xPzrWf #privatecom2sec LocalNet 10.0.0.0/24 public # 2° créer des relations entre des noms de groupes et les noms de sécurité# nom.groupe version nom.secugroup RWGroup v1 Local group ROGroup v1 LocalNet#3° Créer les diverses vues qui seront autorisées aux groupes # view tout included .1 #4° Indiquee les accès aux vues suivant les groupes # nom.groupe contexte modele.secu niveau.secu prefixe lecture ecriture notification access ROGroup "" v1 noauth exact tout none noneaccess RWGroup "" v1 noauth exact tout tout none

Installation : LinuxInstallation : Linux

Protocole SNMP

Outils Windows : Outils Windows : LoriotproLoriotpro

Protocole SNMP

Outils Linux : SambaOutils Linux : Samba

Protocole SNMP

Autres modAutres modèèles dles d’’administrationadministration

CMIS (Common Management Information System) et le

protocole CMIP

DME (Distributed Management Envionment)

ODMA (Open Distributed Management Architecture)

OMA (Object Management Architecture)

Protocole SNMP

outils de diagnostic et de scan réseau...les outils de l’administration de réseaux ¾analyseur...

Documents