NOM : BYADI

PRENOM :REDA
GR :1

TP N°2 –Capture du trafic avec Wireshark

1-Introduction
Wireshark est un analyseur de protocole réseau. Il permet de visualiser et de capturer
les trames, les paquets de différents protocoles réseau, filaire ou pas.

I.1 Première approche de Wireshark

La première opération est de déterminer sur quelle interface réseau effectuer la capture
des trames .

On clique sur

On va choisue un reseau sans fil

Donc voici le resultat

Wireshark permet de capturer tout les trames

1) * Une pile reseau est une mise en œuvre particulière d'un ensemble de
protocoles de communication réseau par exemple :pile OSI et pile TCP/IP .
o *→Couche(7) D’application : concerne les applications,
comme l’accès aux fichiers et le transfert de fichiers.
o →Couche(6) representation : concerne la façon dont les
systèmes différents représentent les données.
o →Couche(5) session : gère les connexions courantes entre
systèmes. Elle tient compte de l’ordre des paquets de données.
o →Couche(4) transport : Elle s’assure que le courrier est bien remis
à son destinataire. Si un paquet n’atteint pas sa destination, elle gère le
processus consistant à prévenir l’expéditeur et à solliciter l’émission
d’un autre exemplaire.
o →Couche(3) reseau :ou bien le routage qui fournit un schéma
d’adressage ici en parle de l’IP .
o →Couche(2) liaison : Il s’agit d’un ensemble de règles logicielles
gravées dans les circuits mémoire des équipements qui stipulent
comment le courrier doit être acheminé et distribué. C’est à cet endroit
que sont stockées les règles de fonctionnement d’Ethernet, de Token
 Ring, de FDDI et d’ATM. Elle s’applique à trouver un chemin pour que la
couche 1 puisse dialoguer avec la couche 3. C’est l’endroit où les
adresses des cartes réseau (adresses MAC) deviennent importantes
o →Couche(1) phisique : cette couche n’en traite que les aspects
physiques- les cartes, les câbles et les hubs véhiculant les paquets de données.
Elle spécifie ce que sont les aspects physiques, ce qu’ils sont capables de réaliser
correctement, et comment ils s’y prennent. Cette couche regroupe donc les
spécifications des câbles et des connecteurs.

2) TCP,ARP,DNS,SSDP,http,NBNS,BJNP.

II. Utiliser Wireshark pour capturer et analyser les trames Ethernet

Étape 1 : Déterminez l’adresse IP de la passerelle par défaut sur votre

ordinateur.
Pour avoir l’adresse de IP de passerelle il suffit d’ouvrer fenêtre d’invite de commandes et
on tape la commande ipconfig.

*l’adresse IP de la passerelle par défaut de mon pc :

l-adresse de la passerelle par défaut

Étape 2 : Commencez par capturer le trafic sur la carte réseau de votre

ordinateur.
a) On ouvre Wireshark.

b) Dans la barre d’outils de l’outil d’analyse de réseaux Wireshark, on va cliquer sur l’icône
Interface List (Liste d’interfaces).
Étape 3 : Examinez les trames Ethernet dans une capture Wireshark.

Étape 4 : Examinez le contenu d’en-tête Ethernet II d’une requête ARP.

1) La fonctionnalité première d’une adresse MAC est l’identification de chaque
périphérique. Elle est utilisée sur la plupart des types de réseaux en vogue de nos jours,
traditionnels (ethernet par exemple) ou mobile (Wi-Fi, Bluetooth…).
2) le protocole ARP se trouve dans la couche 2 de liaison
3) Un ordinateur connecté à un réseau informatique souhaite émettre une
trame ethernet à destination d’un autre ordinateur dont il connaît l’adresse IP et placé
dans le même sous-réseau. Dans ce cas, cet ordinateur va placer son émission en attente
et effectuer une requête ARP en broadcast de niveau 2. Cette requête est de type « quelle
est l’adresse MAC correspondant à l’adresse IP adresseIP ? ».
Puisqu’il s’agit d’un broadcast, tous les ordinateurs du segment vont recevoir la requête. En
observant son contenu, ils pourront déterminer quelle est l’adresse IP sur laquelle porte la
recherche. La machine qui possède cette adresse IP sera la seule à répondre en envoyant à
la machine émettrice une réponse ARP du type « je suis adresseIP, mon adresse MAC
est +++++ ». Pour émettre cette réponse au bon ordinateur, il crée une entrée dans
son cache ARP à partir des données contenues dans la requête ARP qu’il vient de
recevoir.

La machine à l’origine de la requête ARP reçoit la réponse, met à jour son cache ARP et
peut donc envoyer à l’ordinateur concerné le message qu’elle avait mis en attente.

4) Lorsqu'une machine doit communiquer avec une autre, elle consulte la table de
correspondance. Si jamais l'adresse demandée ne se trouve pas dans la table, le protocole
ARP émet une requête sur le réseau. L'ensemble des machines du réseau vont comparer cette
adresse logique à la leur
5) l’adresse MAC de la source dans la première trame est l’adresse de l’emeteur

Étape 4 : Filtrez Wireshark pour afficher uniquement le trafic ICMP.

On utilise le filtre dans Wireshark pour bloquer la visibilité du trafic indésirable. Le filtre
ne bloque pas la capture des données indésirables ; il filtre uniquement ce qui doit s’afficher
à l’écran. Pour le moment, seul le trafic ICMP doit être affiché.
Dans la zone Filter (Filtre) de Wireshark, on saisisse icmp. La case devient verte avez tapé
puis on clique sur Appliquer (Apply) pour appliquer le filtre.

Étape 5: À partir de la fenêtre d’invite de commandes, envoyez une requête

ping à la passerelle par défaut de votre ordinateur.
Étape 6 : Arrêtez la capture du trafic sur la carte réseau.

Étape 7 : Examinez la première requête Echo (ping) dans Wireshark.

 a)
Dans le volet Packet List (Liste des paquets) (section supérieure), on cliquez sur la première trame
répertoriée

La ligne devient t également être mise en surbrillance en bleu.

b)
On examine la première ligne du volet Packet Details (Détails des paquets) (section centrale)
la longueur de la trame

c) La deuxième ligne dans le volet Packet Details (Détails des paquets) indique qu’il s’agit
d’une trame Ethernet II. Les adresses MAC source et de destination sont également indiquées.

l’adresse MAC de la carte réseau de l’ordinateur l’adresse MAC de la passerelle par défaut

d) Vous pouvez cliquer sur le signe plus (+) au début de la seconde ligne afin d’obtenir des
informations supplémentaires sur la trame. Quel type de trame est affiché ?
Il affiche la trame de la destination et de la source
e) Les deux dernières lignes figurant dans la section centrale fournissent des informations sur le
champ de données de la trame. Notez que les données contiennent les informations d’adresse
IPv4 de la source et de la destination.
l’adresse IP source l’adresse IP de destination

f)
partie de la trame (hex et ASCII) dans le volet Packet Bytes (Octets des paquets) (section
inférieure). On Clique sur la ligne Internet Control Message Protocol dans la section centrale
et on examine ce qui est mis en surbrillance dans le volet Packet Bytes (Octets des paquets).

Étape 8: Redémarrez la capture de paquets dans Wireshark.

Étape 9 : Dans la fenêtre d’invite de commandes, envoyez une requête ping à

www.cisco.com.
Étape 10 : Arrêtez la capture des paquets.
Adresse mac

Adresse IP

* Dans le deuxième ping , la seule adresse qui a changé est l’adresse IP de destination car
chaque adresse MAC est sensée être unique au monde, par contre les adresse IP sont
changeable

III. Utiliser Wireshark pour capturer le trafic HTTP

A) et b)
c)

Adresse ip destination
e)