Documente Academic
Documente Profesional
Documente Cultură
Urvoy-Keller
Dans ce TP, vous allez utilisez Wireshark pour tudier diffrents scnarios d'analyse de trafic dans un contexte de supervision de rseau ou d'tudes d'attaques. Ce sera aussi l'occasion de manipuler les nombreuses fonctions avances de Wireshark. Tlcharger le fichier traces.tar.gz et dezipper/dtarer le fichier pour obtenir les traces sur lesquelles nous allons travailler.
II Dpannage
Soit un utilisateur de votre rseau (vous avez t promu ingnieur rseau flicitations!) n'arrive pas accder Internet. Il arrive en revanche accder aux ressources internes (serveurs de donnes, mail, imprimantes, etc.). Vous capturez la trace nowebaccess1.pcap sur le commutateur d'attachement de la machine de l'utilisateur. Quelques informations : l'adresse IP de la machine de l'utilisateur est 172.16.0.8 et les serveurs DNS
configurs sur la machine sont 4.2.2.2 et 4.2.2.1. Analysez la trace et donnez votre diagnostic. Il faut tre prcis et dire ce qui a priori fonctionne et ce qui ne fonctionne pas dans le rseau. Si par exemple, vous pensez qu'une machine est utilise comme passerelle, vous devez dire quels lments vous font penser cela. Notez qu'il y a plusieurs diagnostics possibles.
III Dpannage
Un autre utilisateur se plaint de ne pas pouvoir accder certains sites Web (mais pas tous). Vous capturez nouveau une trace de trafic qui s'appelle nowebaccess3.pcap. Analysez la trace et montrez qu'elle permet de montrer que le problme se situe l'extrieur du rseau de l'entreprise qui ne comprend que des machines dans la plage d'adresses 172.16/24.
La trace s'appelle tickedoffdevelopper.pcap. Chargez la dans wireshark. 1. Combien y-a-t-il de conversations au niveau IP et TCP? 2. Quels sont les protocoles de niveau applicatif prsents? 3. En vous appuyant sur votre connaissance du protocole, vous allez extraire la transmission du fichier en vous plaant sur un paquet de niveau applicatif quelconque correspondant ce transfert et en utilisant l'option 'Follow TCP stream' qui extrait les donnes au niveau applicatif. 4. Est-ce que le rseau est blmer ou non?
VI Processus d'Attaque
Parmi les machine que vous grez (vous tes toujours dans le mme rle d'ingnieur rseau), vous en avez une pour laquelle votre systme de dtection d'intrusion couine trs fort. Vous capturez du trafic sur le commutateur de rattachement de cette machine. La trace s'appelle attaque1.pcap. 1. Combien y-a-t-il de conversations au niveau IP et TCP?
2. Quels sont les services prsents sur la machine? (expliquez comment vous avez fait pour les trouver) 3. Expliquez la diffrence entre le cas ou le serveur rpond par un RST et le cas o il ne rpond pas. Pour vous aidez, faites des telnet sur la machine physique sur des ports ouverts ou non et voyez la raction de la machine au nivau TCP (Rappel (?) : on utilise netstat pour voir les ports ouverts ou non et la commande tcpdump pour voir le trafic)
VII OS fingerprinting
Des outils comme nmap (que l'on verra dans un autre TP) permettent de dterminer quel est l'OS implant sur une machine et les services ouverts sur la machine. Nmap est un outil passif : il injecte du trafic dans le rseau. Nous allons nous intresser ici aux empreintes digitales obtenues de manire passive, c'est--dire en analysant le trafic de l'utilisateur. Voici des tableaux donnant des valeurs de paramtres par dfaut typiques de certains systmes d'exploitation. En vous aidant de ces tableaux, relevez pour les 2 paquets les valeurs caractristiques et donnez une prdiction sur le systme d'exploitation implant par les machines dont des paquets ont t capturs dans la trace passiveosfingerprinting.pcap, sachant qu'il n'y aura pas de correspondance exacte.