travaux pratiques - utilisation de wireshark pour pratiques - utilisation de wireshark pour observer

Download Travaux pratiques - Utilisation de Wireshark pour pratiques - Utilisation de Wireshark pour observer

Post on 06-Sep-2018

212 views

Category:

Documents

0 download

Embed Size (px)

TRANSCRIPT

  • 2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco. Page 1 sur 6

    Travaux pratiques - Utilisation de Wireshark pour observer la connexion TCP en trois tapes

    Topologie

    Objectifs 1re partie : PrparerWireshark pour capturer des paquets

    Slectionnez une interface de carte rseau approprie pour la capture de paquets.

    2e partie : Capturer, localiser et examiner les paquets

    Capturez une session Web sur www.google.com.

    Localisez les paquets appropris pour une session Web.

    Examinez les informations au sein des paquets, y compris les adresses IP, les numros de port TCP et les indicateurs de contrle TCP.

    Contexte/scnario Au cours de ces travaux pratiques, vous utiliserez Wireshark pour capturer et examiner les paquets gnrs entre le navigateur de lordinateur en utilisant le protocole HTTP (Hypertext Transfer Protocol) et un serveur Web, tel que www.google.com. Lorsquune application, telle que le protocole HTTP ou FTP (File Transfer Protocol) dmarre dabord sur un hte, TCP utilise la connexion en trois tapes pour tablir une session TCP fiable entre les deux htes. Par exemple, lorsquun ordinateur utilise un navigateur Web pour naviguer sur Internet, une connexion en trois tapes est lance et une session est tablie entre lordinateur hte et le serveur Web. Un ordinateur peut avoir des sessions TCP actives, multiples et simultanes avec diffrents sites Web.

    Remarque : ce TP ne peut tre effectu avec Netlab. Ce TP suppose que vous ayez accs internet.

    Ressources requises 1 ordinateur (Windows 7, Vista ou XP, quip dun accs Internet, dun accs aux invites de commande et de Wireshark)

    1re partie : Prparer Wireshark pour capturer des paquets Dans la premire partie, vousdmarrez le programmeWireshark et slectionnezlinterfaceapproprie pour commencer capturer des paquets.

    tape 1 : Rcuprez les adresses dinterface de lordinateur.

    Dans le cadre de ces travaux pratiques, vous devez rcuprer ladresse IP de votreordinateur et ladresse physique de sa carte rseau, galement appele adresse MAC.

    http://www.google.com/

  • Travaux pratiques - Utilisation de Wireshark pour observer la connexion TCP en trois tapes

    2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco. Page 2 sur 6

    a. Ouvrez une fentre dinvite de commandes, tapez ipconfig /all et appuyez sur Entre.

    b. Notez les adresses MAC et IP associes la carte Ethernet slectionne, car il sagit de ladresse source rechercher lors de linspection des paquets capturs.

    Adresse IP de lordinateur hte : _______________________________________________________

    Adresse MAC de lordinateur hte : _____________________________________________________

    tape 2 : Dmarrez Wireshark et slectionnez linterface approprie.

    a. Cliquez sur le bouton Dmarrer de Windows et, dans le menu contextuel, double-cliquez sur Wireshark.

    b. Une fois que Wireshark dmarre, cliquez sur Interface List.

    c. Dans la fentre Wireshark: Capture Interfaces (Wireshark : interfaces de capture), activez la case cocher en regard de linterface connecte votre rseau local (LAN).

  • Travaux pratiques - Utilisation de Wireshark pour observer la connexion TCP en trois tapes

    2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco. Page 3 sur 6

    Remarque : si plusieurs interfaces sont rpertories et que vous ne savez pas quel interface vrifier, cliquez sur Details (Dtails). Cliquez sur longlet 802.3 (Ethernet), et vrifiez que ladresse MAC correspond ce que vous avez not ltape 1b. Fermez la fentre Interface Details (Dtails dinterface) aprs vrification.

    2e partie : Capturer, localiser et examiner les paquets

    tape 1 : Cliquez sur le bouton Start (Dmarrer) pour dmarrer la capture des donnes.

    a. Rendez-vous ladresse www.google.com. Rduisez la fentre Google et retournez dans Wireshark. Arrtez la capture des donnes. Le trafic captur qui saffiche doit tre similaire celui illustr ci-dessous ltape b.

    Remarque : votre instructeur peut vous fournir un site Web diffrent. Dans ce cas, tapez ladresse ou le nom du site Web ici :

    ____________________________________________________________________________________

    b. La fentre de capture est dsormais active. Localisez les colonnes Source, Destination, et Protocol.

    tape 2 : Localisez les paquets appropris pour la session Web.

    Si lordinateur a dmarr rcemment et quil ny a eu aucune activit en lien avec des accs Internet, vous pouvez consulter le processus entier dans le rsultat captur, y compris le protocole ARP (Address Resolution Protocol), le systme de noms de domaine (DNS) et la connexion TCP en trois tapes. Lcran de capture dans ltape 1 de la deuxime partie affiche tous les paquets que lordinateur doit obtenir pour accder www.google.com. Dans ce cas, lordinateur disposait dj dune entre ARP pour la passerelle par dfaut ; par consquent, il a commenc par la requte DNS afin de rsoudre www.google.com.

    a. La trame 11 affiche la requte DNS depuis lordinateur vers le serveur DNS, en essayant de rsoudre le nom de domaine www.google.com sur ladresse IP du serveur Web. Lordinateur doit disposer de ladresse IP avant de pouvoir envoyer le premier paquet au serveur Web.

    Quelle est ladresse IP du serveur DNS que lordinateur a interrog ? ____________________

    b. La trame 12 est la rponse du serveur DNS avec ladresse IP de www.google.com.

  • Travaux pratiques - Utilisation de Wireshark pour observer la connexion TCP en trois tapes

    2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco. Page 4 sur 6

    c. Recherchez le paquet appropri pour le dbut de votre connexion en trois tapes. Dans cet exemple, la trame 15 correspond au dbut de la connexion TCP en trois tapes.

    Quelle est ladresse IP du serveur Web de Google ? __________________________________

    d. Si vous avez de nombreux paquets qui ne sont pas lis la connexion TCP, il peut tre ncessaire dutiliser la fonction de filtre de Wireshark. Saisissez tcp dans la zone de saisie du filtre dans Wireshark et appuyez sur Entre.

    tape 3 : Examinez les informations au sein des paquets, y compris les adresses IP, les numros de port TCP et les indicateurs de contrle TCP.

    a. Dans notre exemple, la trame 15 correspond au dbut de la connexion en trois tapes entre lordinateur et le serveur Web de Google. Dans le volet de la liste des paquets (section suprieure de la fentre principale), slectionnez la trame. Cette action met en surbrillance la ligne et affiche les informations dcodes de ce paquet dans les deux volets infrieurs. Examinez les informations du protocole TCP dans le volet de dtails des paquets (section centrale de la fentre principale).

    b. Cliquez sur licne + gauche du protocole TCP (Transmission Control Protocol) dans le volet de dtails des paquets pour dvelopper laffichage des informations TCP.

    c. Cliquez sur licne + gauche des indicateurs. Examinez les ports source et de destination ainsi que les indicateurs qui sont dfinis.

    Remarque : il vous faudra peut-tre modifier la taille des fentres du haut et du milieu dans Wireshark pour afficher les informations ncessaires.

  • Travaux pratiques - Utilisation de Wireshark pour observer la connexion TCP en trois tapes

    2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco. Page 5 sur 6

    Quel est le numro du port source TCP ? __________________________________

    Comment classifieriez-vous le port source ? ________________________________

    Quel est le numro du port de destination TCP ? _____________________________

    Comment classifieriez-vous le port de destination ? ___________________________

    Quel indicateur est dfini ? (plusieurs rponses possibles) ______________________

    Sur quoi le numro dordre relatif est-il dfini ? _______________________________

    d. Pour slectionner la trame suivante dans la connexion en trois tapes, slectionnez Go (Excuter) dans le menu Wireshark et slectionnez Next Packet In Conversation (Paquet suivant dans la conversation). Dans cet exemple, il sagit de la trame 16. Cest la rponse du serveur Web Google la requte initiale de dmarrage dune session.

    Quelles sont les valeurs des ports source et de destination ? ___________________________________

  • Travaux pratiques - Utilisation de Wireshark pour observer la connexion TCP en trois tapes

    2014 Cisco et/ou ses filiales. Tous droits rservs. Ceci est un document public de Cisco. Page 6 sur 6

    Quels indicateurs sont-ils dfinis ? ________________________________________________________

    Sur quoi les numros dordre relatif et daccus de rception sont-ils dfinis ?

    ____________________________________________________________________________________

    e. Enfin, examinez le troisime paquet de la connexion en trois tapes dans lexemple. Cliquez sur la trame 17 dans la fentre du haut pour afficher les informations suivantes dans cet exemple :

    Examinez le troisime et dernier paquet de la connexion.

    Quel indicateur est dfini ? (plusieurs rponses possibles) _____________________________________

    Les numros dordre relatif et daccus de rception sont dfinis sur 1 comme point de dpart. La connexion TCP est dsormais tablie, et la communication entre lordinateur source et le serveur Web peut commencer.

    f. Fermez le programme Wireshark.

    Remarques gnrales 1. Des centaines de filtres sont disponibles dans Wireshark. Un rseau de grande taille peut avoir de nombreux

    filtres et de nombreux types de trafic. Dans la liste, quels sont les trois filtres qui peuvent tre les plus utiles pour un administrateur rseau

Recommended

View more >