Sommaire: Introduction à l’analyse réseau avec travaux pratiques
1. Copyright et Licence
1.1. Méta-information
2. Analyse avec Wireshark
2.1. Quels sont les protocoles supportés ?
2.2. Quels sont les médias supportés ?
2.3. Comment accéder aux interfaces ?
3. Interface utilisateur
4. Capture d’une série de trame
5. Filtrage de l’affichage après capture
5.1. Isoler une connexion TCP
5.2. Syntaxe du filtrage à postériori
5.3. Documentation de référence sur les filtres d’affichage
6. Analyse à distance
7. Travaux pratiques : navigation Web (HTTP)
7.1. Protocoles étudiés 7.2. Marche à suivre
7.3. Analyse des protocoles
7.3.1. Protocoles capturés
7.3.2. Trame Ethernet, paquet IP et datagramme UDP
7.3.3. Service DNS
7.3.4. Connexion TCP
7.3.5. Requête HTTP GET
7.3.6. Réponse HTTP
8. Travaux pratiques : messages de contrôle internet (ICMP)
8.1. Protocoles et outils étudiés
8.2. Marche à suivre
8.3. Analyse avec ping
8.3.1. Protocoles capturés
8.3.2. Message ICMP «Echo Request»
8.3.3. Message ICMP «Echo Reply»
8.3.4. Messages ICMP restants
8.4. Analyse avec (tcp)traceroute
8.4.1. Protocoles capturés
8.4.2. Message UDP
8.4.3. Message ICMP «Time Exceeded»
8.4.4. Evolution du champ TTL
8.4.5. Variantes
9. Documents de référence
Extrait du cours
2. Analyse avec Wireshark
Avec wireshark , il est possible de capturer des paquets directement sur les interfaces du système utilisé ou de lire des fichiers de captures sauvegardées.
2.1. Quels sont les protocoles supportés ?
La liste des protocoles supportés par fournit un classement par famille de tous les protocoles dont les champs sont interprétés. Il est aussi possible d’accéder à ces informations via le menu Help → Supported Protocols.
2.2. Quels sont les médias supportés ?
Le logiciel
2.3. Comment accéder aux interfaces ?
Lorsque l’on exécute En mode super-utilisateur Partant d’une connexion avec un compte utilisateur normal, celui-ci est propriétaire exclusif de son écran (display).
3. Interface utilisateur
L’interface de l’analyseur se décompose en plusieurs barres ou fenêtres :
Barre de menus
On y retrouve la liste classique de menus. Voici une liste des fonctions remarquables accessibles à partir de ces menus.
• Le menu File sert à sauvegarder ou charger un fichier de capture réseau. Une capture peut très bien avoir été réalisée sur une sonde distante ou avec un autre outil et être analysée avec..
• Le menu Capture sert à fixer les paramètres d’une nouvelle capture réseau.
• Le menu Statistics sert à effectuer différents calculs sur les volumes de données et la répartition des protocoles.
Barre des icônes
Cette barre regroupe tous les raccourcis sur les manipulations d’une capture.
Barre de filtrage
Cette barre sert à saisir l’expression de filtrage à postériori d’une capture pour isoler tout ou partie d’un échange réseau.
Fenêtre contenant la liste des trames capturées
Sur chaque ligne on retrouve :
• le numéro du paquet,
• son temps de capture,
• sa source,
• sa destination,
• le protocole de plus haut niveau décodé,
• le résumé des champs caractéristiques de ce protocole.
5. Filtrage de l’affichage après capture
Le filtrage à postériori est certainement l’étape la plus importante dans l’analyse réseau. C’est cette opération qui permet d’isoler l’information pertinente. La granularité de la syntaxe de filtrage disponible avec Wireshark est très importante. Il est possible de retenir un champ unique parmi les 820 protocoles supportés. Voici quelques exemples de filtrage allant du plus général au plus détaillé.
5.1. Isoler une connexion TCP
Après avoir réalisé une capture, il est possible d’isoler une connexion TCP en repérant son établissement (le début) et sa libération (la fin). En cliquant sur le bouton droit de la souris après avoir sélectionné n’importe quelle trame appartenant à la connexion à isoler, il faut valider l’option Follow TCP Stream.
……….