travaux pratiques – utilisation de wireshark pour examiner...

Download Travaux pratiques – Utilisation de Wireshark pour examiner ...touchardinforeseau.servehttp.com/ccna2014/course/files/7.2.4.3 Lab... · captures FTP et TFTP Topologie – Première

If you can't read please download the document

Upload: duongdan

Post on 06-Feb-2018

281 views

Category:

Documents


8 download

TRANSCRIPT

  • 2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco. Page 1 sur 14

    Travaux pratiques Utilisation de Wireshark pour examiner les captures FTP et TFTP

    Topologie Premire partie (FTP) La premire partie mettra laccent sur une capture TCP dune session FTP. Cette topologie est compose dun PC disposant dun accs Internet.

    Topologie Deuxime partie (TFTP) La deuxime partie mettra laccent sur une capture UDP dune session TFTP. Le PC doit disposer la fois dune connexion Ethernet et dune connexion console avec le commutateur S1.

    Table dadressage (deuxime partie)

    Priphrique Interface Adresse IP Masque de

    sous-rseau Passerelle par

    dfaut

    S1 VLAN 1 192.168.1.1 255.255.255.0 NA

    PC-A Carte rseau 192.168.1.3 255.255.255.0 192.168.1.1

    Objectifs 1re partie : Identifier les champs den-tte TCP et les oprations TCP laide de la capture de session FTP de Wireshark

    2e partie : Identifier les champs den-tte UDP et les oprations UDP laide de la capture de session TFTP de Wireshark

  • Travaux pratiques Utilisation de Wireshark pour examiner les captures FTP et TFTP

    2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco. Page 2 sur 14

    Contexte/scnario Les deux protocoles de la couche transport TCP/IP sont le protocole TCP, dfini dans le document RFC 761, et le protocole UDP, dfini dans le document RFC 768. Les deux protocoles prennent en charge les communications du protocole de couche suprieure. Par exemple, TCP permet doffrir la prise en charge de la couche transport pour les protocoles HTTP (HyperText Transfer Protocol) et FTP, entre autres. UDP fournit notamment la prise en charge de la couche transport pour le systme de noms de domaine (DNS) et TFTP.

    Remarque : la capacit comprendre les lments des en-ttes TCP et UDP ainsi que les oprations reprsentent une comptence cruciale pour les ingnieurs rseau.

    Dans la premire partie de ces travaux pratiques, vous utiliserez loutil libre ( open source ) de Wireshark pour capturer et analyser les champs den-tte de protocole TCP pour les transferts de fichiers FTP entre lordinateur hte et un serveur FTP anonyme. Lutilitaire de ligne de commande Windows permet de se connecter un serveur FTP anonyme et de tlcharger un fichier. Dans la deuxime partie de ces travaux pratiques, vous utiliserez Wireshark pour capturer et analyser des champs den-tte de protocole UDP pour les transferts de fichiers TFTP entre lhte et le commutateur S1.

    Remarque : le commutateur utilis est un Cisco Catalyst 2960s quip de Cisco IOS version 15.0(2) (image lanbasek9). Dautres commutateurs et versions de Cisco IOS peuvent tre utiliss. Selon le modle et la version de Cisco IOS, les commandes disponibles et le rsultat produit peuvent varier de ceux figurant dans les travaux pratiques.

    Remarque : vrifiez que la mmoire du commutateur a t efface et quaucune configuration initiale nest prsente. En cas de doute, contactez votre instructeur.

    Remarque : la premire partie suppose que le PC dispose dun accs Internet et ne peut pas tre effectue avec Netlab. La deuxime partie est compatible avec Netlab.

    Ressources requises premire partie (FTP) 1 PC (Windows 7, Vista ou XP, quip dun accs Internet, dun accs aux invites de commande et de Wireshark)

    Ressources requises deuxime partie (TFTP) 1 commutateur (Cisco 2960 quip de Cisco IOS version 15.0(2) image lanbasek9 ou similaire)

    1 PC (Windows 7, Vista ou XP, avec Wireshark et un serveur TFTP, tel que tftpd32, install)

    Un cble de console permettant de configurer les priphriques Cisco IOS via le port de console

    Un cble Ethernet tel quindiqu dans la topologie

    1re partie : Identifier les champs den-tte TCP et les oprations TCP laide de la capture de session FTP de Wireshark

    Dans la premire partie, vous utiliserez Wireshark pour capturer une session FTP et examiner les champs den-tte TCP.

    tape 1 : Dmarrez une capture Wireshark.

    a. Interrompez tout le trafic rseau superflu, par exemple fermez le navigateur Web, pour limiter le volume du trafic lors de la capture Wireshark.

    b. Lancez la capture Wireshark.

    tape 2 : Tlchargez le fichier Lisezmoi (Readme).

    a. partir de linvite de commandes, saisissez ftp ftp.cdc.gov.

  • Travaux pratiques Utilisation de Wireshark pour examiner les captures FTP et TFTP

    2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco. Page 3 sur 14

    b. Connectez-vous au site FTP du Centre pour le contrle et la prvention des maladies (Center for Disease Control and Prevention, CDC) avec lutilisateur anonymous et aucun mot de passe.

    c. Recherchez et tlchargez le fichier Readme.

    tape 3 : Arrtez la capture Wireshark.

    tape 4 : Affichez la fentre principale de Wireshark.

    Wireshark a captur de nombreux paquets pendant la session FTP sur ftp.cdc.gov. Pour limiter la quantit de donnes analyser, tapez tcp and ip.addr == 198.246.112.54 dans la zone Filter: entry (Filtre : saisie) et cliquez sur Apply (Appliquer). Ladresse IP, 198.246.112.54, est ladresse du serveur ftp.cdc.gov.

  • Travaux pratiques Utilisation de Wireshark pour examiner les captures FTP et TFTP

    2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco. Page 4 sur 14

    tape 5 : Analyse des champs TCP.

    Une fois que le filtre TCP a t appliqu, les trois premires trames dans le volet de la liste des paquets (section suprieure) affiche le protocole TCP de la couche transport, crant ainsi une session fiable. La squence de [SYN], [SYN, ACK] et [ACK] illustre lchange en trois tapes.

    TCP est couramment utilis au coursdune session pour contrler la transmission et larrive des datagrammes ainsi que pour grer la taille des fentres. Pour chaque change de donnes entre le client FTP et le serveur FTP, une nouvelle session TCP est dmarre. Au terme du transfert de donnes, la session TCP est ferme. Ainsi, une fois la session FTP termine, TCP excute un arrt et une dconnexion normalement.

    Dans Wireshark, des informations dtailles TCP sont disponibles dans le volet de dtails des paquets (section centrale). Slectionnez le premier datagramme TCP partir de lordinateur hte et dveloppez lenregistrement TCP. Le datagramme TCP dvelopp ressemble au volet de dtails des paquets indiqu ci-dessous.

  • Travaux pratiques Utilisation de Wireshark pour examiner les captures FTP et TFTP

    2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco. Page 5 sur 14

    Lillustration ci-dessusest un schma de datagramme TCP. Une explication de chaque champ est fournie pour rfrence :

    TCP source port number (Numro du port source TCP) appartient lhte de session TCP qui a ouvert une connexion. Il sagit gnralement dune valeur alatoire suprieure 1 023.

    TCP destination port number (Numro du port de destination TCP) permet didentifier le protocole de couche suprieure ou lapplication sur le site distant. Les valeurs comprises entre 0 et 1 023 reprsentent les ports rservs et sont associes aux services et aux applications standard (comme dcrit dans le document RFC 1700, tels que Telnet, FTP, HTTP, etc.). La combinaison de ladresse IP source, du port source, de ladresse IP de destination et du port de destination identifie de faon unique la session la fois vis vis de lmetteur et du rcepteur.

    Remarque : dans la capture Wireshark ci-dessous, le port de destination est le 21, ce qui correspond au FTP. Les serveurs FTP coutent sur le port 21 pour les connexions clientes FTP.

    Sequence number (Numro dordre) indique le numro du dernier octet dans un segment. Acknowledgment number (Numro de reu) indique loctet suivant attendu par le rcepteur. Code bits (Bits de code) ont une signification spcifique dans la gestion des sessions et dans le

    traitement des segments. Valeurs intressantes : - ACK :reu dun segment - SYN : Synchronize, uniquement dfini lorsquune nouvelle session TCP est ngocie au cours de la

    connexion en trois tapes. - FIN : Finish, requte de fermeture de la session TCP.

    Window size (Taille de la fentre) est la valeur de la fentre glissante qui dtermine le nombre doctets pouvant tre envoys avant dattendre le reu.

    Urgent pointer (Pointeur durgence) nest utilis quavec un indicateur URG (Urgent) : lorsque lmetteur doit envoyer des donnes urgentes au rcepteur.

    Options ne contient actuellement quune seule option, et elle est dfinie comme la taille maximale dun segment TCP (valeur facultative).

    laide de la capture Wireshark du dmarrage de la premire session TCP (bit SYN dfini sur 1), renseignez les informations concernant len-tte TCP :

    Du PC au serveur CDC (seul le bit SYN est dfini sur 1) :

    Adresse IP source :

    Adresse IP de destination :

    Numro du port source :

    Numro du port de destination :

    Numro dordre :

    Numro de reu :

    Longueur de len-tte :

    Taille de fentre :

    Dans la deuxime capture Wireshark filtre, le serveur FTP CDC reconnat la requte de lordinateur. Notez les valeurs des bits SYN et ACK.

  • Travaux pratiques Utilisation de Wireshark pour examiner les captures FTP et TFTP

    2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco. Page 6 sur 14

    Indiquez les informations suivantes concernant le message SYN-ACK.

    Adresse IP source :

    Adresse IP de destination :

    Numro du port source :

    Numro du port de destination :

    Numro dordre :

    Numro de reu :

    Longueur de len-tte :

    Taille de fentre :

    Lors de ltape finale de la ngociation visant tablir une communication, le PC envoie un accus de rception au serveur. Notez que seul le bit ACK est dfini sur 1 et que le numro de squence a t incrment 1.

  • Travaux pratiques Utilisation de Wireshark pour examiner les captures FTP et TFTP

    2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco. Page 7 sur 14

    Indiquez les informations suivantes concernant le message ACK.

    Adresse IP source :

    Adresse IP de destination :

    Numro du port source :

    Numro du port de destination :

    Numro dordre :

    Numro de reu :

    Longueur de len-tte :

    Taille de fentre :

    Combiendautresdatagrammes TCP contenaient un bit SYN ?

    _______________________________________________________________________________________

    Une fois quune session TCP est tablie, le trafic FTP peut survenir entre le PC et le serveur FTP. Le client FTP et le serveur communiquent entre eux en ignorant que le protocole TCP contrle et gre la session. Lorsque le serveur FTP envoie Response: 220 au client FTP, la session TCP sur le client FTP envoie un accus de rception la session TCP sur le serveur. Cette squence est visible dans la capture Wireshark ci-dessous.

  • Travaux pratiques Utilisation de Wireshark pour examiner les captures FTP et TFTP

    2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco. Page 8 sur 14

    Une fois la session FTP termine, le client FTP envoie une commande pour quitter . Le serveur FTP accuse rception de la fin de la session FTP avec le message Response:221 Goodbye. ce stade, la session TCP du serveur FTP envoie un datagramme TCP au client FTP, et annonce ainsi la fin de la session TCP. La session TCP du client FTP accuse rception du datagramme de fin, puis envoie la fin de sa propre session TCP. Lorsque lmetteur de la fin de la session TCP, le serveur FTP, reoit une fin en double, un datagramme ACK est envoy pour accuser rception de la fin et la session TCP est ferme. Cette squence est visible dans le schma et la capture ci-dessous.

    En appliquant un filtre ftp, la squence entire du trafic FTP peut tre examine dans Wireshark. Notez la squence des vnements au cours de cette session FTP. Le nom dutilisateur anonyme a t utilis pour rcuprer le fichier Readme. Une fois le fichier transfr, lutilisateur a mis fin la session FTP.

  • Travaux pratiques Utilisation de Wireshark pour examiner les captures FTP et TFTP

    2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco. Page 9 sur 14

    Appliquez le filtre TCP nouveau dans Wireshark pour examiner la fin de la session TCP. Quatre paquets sont transmis la fin de la session TCP. Comme la connexion TCP est bidirectionnelle, chaque sens doit se terminer indpendamment. Examinez les adresses source et de destination.

    Dans cet exemple, le serveur FTP na plus de donnes envoyer dans le flux ; il envoie un segment avec le positionnement dindicateur FIN dans la trame 63. Le PC envoie un paquet ACK pour accuser rception du paquet FIN mettant fin la session du serveur vers le client dans la trame 64.

    Dans la trame 65, le PC envoie un paquet FIN au serveur FTP pour mettre fin la session TCP. Le serveur FTP rpond par un paquet ACK pour accuser rception du paquet FIN envoy par le PC dans la trame 67. prsent, la session TCP est interrompue entre le serveur FTP et le PC.

    2e partie : Identifier les champs den-tte UDP et les oprations UDP laide de la capture de session TFTP de Wireshark

    Dans la deuxime partie, vous utiliserez Wireshark pour capturer une session TFTP et examiner les champs den-tte UDP.

    tape 1 : Installez cette topologie physique et prparez la capture TFTP.

    a. tablissez une connexion console et une connexion Ethernet entre PC-A et le commutateur S1.

    b. Si ce nest dj fait, configurez manuellement ladresse IP du PC sur 192.168.1.3. Il nest pas obligatoire de dfinir la passerelle par dfaut.

  • Travaux pratiques Utilisation de Wireshark pour examiner les captures FTP et TFTP

    2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco. Page 10 sur 14

    c. Configurez le commutateur. Attribuez ladresse IP 192.168.1.1 VLAN 1. Vrifiez la connectivit avec le PC en envoyant une requte ping 192.168.1.3. Le cas chant, procdez un dpannage. Switch>enable Switch#conf t Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#host S1 S1(config)#interface vlan 1 S1(config-if)#ip address 192.168.1.1 255.255.255.0 S1(config-if)#no shut *Mar 1 00:37:50.166: %LINK-3-UPDOWN: Interface Vlan1, changed state to up *Mar 1 00:37:50.175: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to up S1(config-if)# end S1# ping 192.168.1.3 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.1.3, timeout is 2 seconds:

    !!!!!

    Success rate is 100 percent (5/5), round-trip min/avg/max = 1/203/1007 ms

  • Travaux pratiques Utilisation de Wireshark pour examiner les captures FTP et TFTP

    2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco. Page 11 sur 14

    tape 2 : Prparez le serveur TFTP sur le PC.

    a. Sil nexiste pas encore, crez un dossier sur le bureau de lordinateur appel TFTP. Les fichiers du commutateur seront copis cet emplacement.

    b. Dmarrez tftpd32 sur le PC.

    c. Cliquez sur Browse (Parcourir) et remplacez le rpertoire actuel par C:\Users\user1\Desktop\TFTP en remplaant user1 par votre nom dutilisateur.

    Le serveur TFTP doit tre similaire celui-ci :

    Notez que Current Directory (Rpertoire actuel) indique lutilisateur et linterface du serveur (PC-A) avec ladresse IP 192.168.1.3.

    d. Testez la possibilit de copier un fichier en utilisant TFTP partir du commutateur vers le PC. Le cas chant, procdez un dpannage. S1# copy start tftp Address or name of remote host []?192.168.1.3 Destination filename [s1-confg]?

    !!

    1638 bytes copied in 0.026 secs (63000 bytes/sec)

    Si vous voyez que le fichier a t copi (comme dans les rsultats ci-dessus), vous tes prt passer ltape suivante. Dans le cas contraire, effectuez un dpannage. Si vous obtenez lerreur %Error opening tftp (Permission denied), vrifiez dabord que votre pare-feu ne bloque pas le protocole TFTP et que vous effectuez la copie vers un emplacement pour lequel votre nom dutilisateur dispose des autorisations appropries, comme lordinateur de bureau.

    tape 3 : Capture dune session TFTP dans Wireshark

    a. Ouvrez Wireshark. partir du menu Edit (Edition), choisissez Preferences etcliquez sur le signe (+) pour dvelopper Protocols. Faites dfiler vers le bas, puis slectionnez UDP. Activez la case cocher

  • Travaux pratiques Utilisation de Wireshark pour examiner les captures FTP et TFTP

    2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco. Page 12 sur 14

    Validate the UDP checksum if possible (Valider la somme de contrle UDP si possible) et cliquez sur Apply (Appliquer). Cliquez ensuite sur OK.

    b. Dmarrez une capture Wireshark.

    c. Excutez la commande copy start tftp sur le commutateur.

    d. Arrtez la capture Wireshark.

    e. Dfinissez le filtre sur tftp. Les informations affiches doivent tre similaires celles figurant ci-dessus : Ce transfert TFTP permet danalyser les oprations UDP de la couche transport.

    Dans Wireshark, des informations dtailles UDP sont disponibles dans le volet de dtails des paquets Wireshark. Slectionnez le premier datagramme UDP partir de lordinateur hte, et dplacez le pointeur de la souris vers le volet de dtails des paquets. Il peut savrer ncessaire de modifier le volet de dtails des paquets et de dvelopper lenregistrement UDP en cliquant sur la zone de dveloppement du protocole. Le datagramme UDP dvelopp doit tre semblable au schma ci-dessous.

    La figure ci-dessous reprsente un schma de datagramme UDP. Les informations den-tte sont peu nombreuses par rapport au datagramme TCP. De mme que pour le protocole TCP, chaque datagramme UDP est identifi par les ports source et de destination UDP.

  • Travaux pratiques Utilisation de Wireshark pour examiner les captures FTP et TFTP

    2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco. Page 13 sur 14

    laide de la capture Wireshark du premier datagramme IDP, renseignez les informations concernant len-tte UDP. La somme de contrle est une valeur hexadcimale (base 16), identifie par le code 0x prcdent :

    Adresse IP source :

    Adresse IP de destination :

    Numro du port source :

    Numro du port de destination :

    Longueur du message UDP :

    Somme de contrle UDP :

    De quelle manire UDP vrifie-t-il lintgrit du datagramme ?

    ____________________________________________________________________________________

    ____________________________________________________________________________________

    Examinez la premire trame renvoye par le serveur tftpd. Renseignez les informations relatives len-tte UDP :

    Adresse IP source :

    Adresse IP de destination :

    Numro du port source :

    Numro du port de destination :

    Longueur du message UDP :

    Somme de contrle UDP :

    Remarque : le datagramme UDP de retour possde un port de source UDP diffrent. Toutefois, ce dernier sert au transfert TFTP restant. Comme la connexion nest pas fiable, seul le port source dorigine utilis pour commencer la session TFTP sert grer le transfert TFTP.

    Notez galement que la somme de contrle UDP est incorrecte. Ceci provient trs probablement du dchargement de somme de contrle UDP. Pour plus dinformations sur la raison de cet vnement, effectuez une recherche sur UDP checksum offload (dchargement de somme de contrle).

  • Travaux pratiques Utilisation de Wireshark pour examiner les captures FTP et TFTP

    2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco. Page 14 sur 14

    Remarques gnrales Cestravauxpratiquesontpermisdanalyser les oprations des protocoles TCP et UDP partir de sessions FTP et TFTP captures. En quoi le protocole TCP gre-t-il la communication diffremment du protocole UDP ?

    _______________________________________________________________________________________

    _______________________________________________________________________________________

    _______________________________________________________________________________________

    _______________________________________________________________________________________

    Dfi tant donn que les protocoles FTP et TFTP ne sont pas scuriss, toutes les donnes transfres sont envoyes en texte clair. Ceci comprend les ID dutilisateurs, les mots de passe ou le contenu des fichiers en texte clair. Lanalyse de la session FTP de couche suprieure permet didentifier rapidement lID dutilisateur, le mot de passe ainsi que les mots de passe du fichier de configuration. Lanalyse des donnes TFTP de couche suprieure est un peu plus complexe. Toutefois, le champ de donnes peut tre examin et les informations dID dutilisateur et de mot de passe pour la configuration peuvent tre extraites.

    Nettoyage Sauf indication contraire de votre instructeur :

    1) Supprimez les fichiers qui ont t copis sur votre ordinateur.

    2) Supprimez les configurations sur le commutateur S1.

    3) Supprimez ladresse IP manuelle du PC et restaurez la connectivit Internet.

    1re partie : Identifier les champs den-tte TCP et les oprations TCP laide de la capture de session FTP de Wireshark2e partie : Identifier les champs den-tte UDP et les oprations UDP laide de la capture de session TFTP de Wireshark

    Text1: Text2: Text3: Text4: Text5: Text6: Text7: Text8: Text9: Text10: Text11: Text12: Text13: Text14: Text15: Text16: Text17: Text18: Text19: Text20: Text21: Text22: Text23: Text24: Text25: Text26: Text27: Text28: Text29: Text30: Text31: Text32: Text33: Text34: Text35: Text36: Text37: Text38: Text39: