Documente Academic
Documente Profesional
Documente Cultură
ARES (MI011)
1
0
0
1
0
1
1
0
0
1
11
00
... ...
0
1
11
00
0
1
... 10
0
...
11
00 1
...
Supports de TD+TME 1, 2, 3, 4 et 5
(version 6.1)
Olivier Fourmaux
(olivier.fourmaux@upmc.fr)
Master Informatique U.E. ARES Architecture des Réseaux
Ce premier support permet de se familiariser avec l’environnement expérimental des TD+TME de l’U.E. ARES. Nous débuterons
par quelques rappels sur l’analyse de trame. Puis nous présenterons l’environnement utilisé tout au long du semestre (la plateforme
d’expérimentation de la spécialité RES). Nous détaillerons ensuite les possibilités de capture de trafic réseau sur cette plateforme
et terminerons par la réalisation d’un exercice pratique.
❶ ❷ ❸
0000 00 50 7f 05 7d 40 00 10 a4 86 2d 0b 08 00 45 00 .P..}@.. ..-...E.
0010 02 19 17 98 40 00 40 06 6c 14 0a 21 b6 b2 c0 37 ....@.@. l..!...7
0020 34 28 84 b3 00 50 b6 94 b0 b8 24 67 89 e9 80 18 4(...P.. ..$g....
0030 16 d0 60 e4 00 00 01 01 08 0a 00 6f a7 32 00 00 ..‘..... ...o.2..
0040 00 00 47 45 54 20 2f 20 48 54 54 50 2f 31 2e 31 ..GET / HTTP/1.1
0050 .. .. .. .. .. ..
❶ la première colonne indique, avec 4 chiffres hexadécimaux, le rang du premier octet de la ligne courante dans la trame ;
❷ la seconde affiche la valeur hexadécimale de 16 octets capturés à chaque ligne (un octet est représenté par deux caractères
hexadécimaux) ;
❸ la dernière représente à chaque ligne les caractères ASCII correspondants aux 16 octets de la seconde colonne (la corres-
pondance n’est significative que lorsque du texte “imprimable” se trouve encodé dans ces octets).
00c0 .. ..
1. Représentez la structure de la trame en dessinant directement ses délimitations sur la trace à analyser.
3. Représentez la structure du paquet directement sur la trace à analyser. Quelle est la taille de ce paquet et qu’en déduisez-
vous ? Le paquet contient-il des options et quel en est l’effet sur la structure du paquet ? Précisez la source et le destinataire
du paquet.
4. Représentez la structure des données transportées par le paquet directement sur la trace. Quel est le protocole de transport
utilisé ? Quels sont les ports utilisés ? Quelle est leur signification ?
5. Il n’y a pas de documentation correspondant à la couche application à la fin du document, malgré cela, pouvez vous
observer des informations associées à ce niveau dans la trace ?
à architecture i686 avec système GNU/Linux que vous utilisez actuellement). Vous pouvez le télé-charger sur www.wireshark.org.
2 Atelier de Ressources Informatiques dédié aux enseignements du domaine Informatique de la faculté d’Ingénierie de l’UPMC.
Recherchez dans le menu “Application” le sous-menu “Réseau” ou “Internet”. Vous devez trouvez un ou plusieurs items
“Wireshark”. Sélectionnez celui qui indique une exécution sans les droits d’administrateur3 .
Une fois l’application lancée, la nouvelle fenêtre apparue est initialement vide car aucune capture n’a été réalisée ou chargée.
Une barre de menu se trouve en haut de celle-ci. Pour charger une trace à étudier, cliquez sur le menu “File” et sélectionnez
“Open”. Une fenêtre de sélection de fichier ”Open Capture Files” apparaı̂t. Choisissez le fichier :
/Infos/lmd/2011/master/ue/ares-2011oct/tme1.dmp.gz
Ne pas spécifier de filtres dans le champ “Filter” (nous y reviendrons plus loin). Désactivez : ❏ “Enable MAC name resolution”,
❏ “Enable network name resolution” et ❏ “Enable transport name resolution”. Validez avec Ouvrir : La trace d’une capture
précédemment réalisée est chargée et vous allez pouvoir l’analyser. Vous devez observer dans la fenêtre de l’application un
affichage similaire à celui présenté dans la Figure 1.
4. Vous pouvez également combiner les filtres à l’aide des opérateurs booléen usuels. Filtrez l’affichage pour ne conserver
que les trames contenant du protocole NTP et celles contenant du protocole DNS.
1. Pouvez-vous retrouver la trame analysée manuellement dans la trace que vous avez chargée ? Le cas échéant, vérifiez votre
analyse et celle réalisée par wireshark.
2. Sélectionnez toutes les trames relatives à la connexion TCP démarrant à la trame 8, puis affichez en rouge seulement
celles contenant des données HTTP.
3. Décrivez ce que vous observez dans le reste de la trace. Précisez s’il y a plusieurs connexions, et le cas échéant, leur
relation.
4. Peut-on visualiser simplement le contenu applicatif d’une connexion TCP avec wireshark ?
Pour pouvoir travailler les exercices à l’extérieur de l’université, vous pouvez recopier les traces analysées ou accéder à la page
web suivante http://www-rp.lip6.fr/~fourmaux/Traces/tracesV6.html où vous trouverez les traces à télécharger.
3 Si le choix d’une exécution sans les droits d’administrateur n’apparait pas, choisissez l’item “Wireshark” disponible et vous aurez peut être à spécifier
ultérieurement que vous désirez une exécution en mode utilisateur. En cas d’échec, généralement lié à l’exécution proposée par votre environnement
qui essaye d’utiliser le mode administrateur (mode par défaut de la commande wireshark relative au $PATH local), vous pouvez démarrer en mode
textuel (dans un terminal) : Tapez alors la commande /usr/sbin/wireshark.
Internet Internet
via ARI via ARI ctrl console ctrl alim.
X 16 X 16 PC 1U "sonde"
Commutateur
Routeur
PC 1U "client"
PC 1U "serveur"
L’ajout de cette plateforme réseau permet de faire évoluer le poste ARI habituel d’un simple PC vers un poste d’accès et
de contrôle des différents élément de la plateforme (machines terminales, commutateurs et routeurs), tout en y conservant les
services usuels de l’ARI (accès aux comptes utilisateurs, aux logiciels habituels et à l’Internet). Cette évolution est présentée
dans la Figure 2.
Les PC utilisent le système GNU/Linux (distribution Debian). Vous devez vous connecter avec les identifiant de compte
qui correspondent au rôle attribué à chaque machine :
PC N-2 Réseaux
client de N-1 d'expérimenation
sonde de ... de N-1
serveur de ...
eth3
PC N-1 eth0
client de N
Poste ARI N-1
sonde de N-1
serveur de ...
Réseau Réseaux
eth1 eth3 eth1 d'expérimenation
admin. PC N
client de N+1
de N
Poste ARI N
sonde de N
serveur de N-1
eth3
PC N+1 eth2
Poste ARI N+1 client de ...
Réseaux
sonde de N+1
d'expérimenation
serveur de N
de N+1
PC N-2
client de ...
sonde de ...
serveur de N+1
Ainsi, pour limiter le nombre de machines sur la plateforme, chaque PC peut prendre les trois rôles en fonction du poste ARI
qui y accède : le PC N de la plateforme est le PC “client” du poste ARI N+1, il est également le PC “sonde” du poste ARI N
et le PC “serveur” du poste ARI N-1. Cette disposition est représentée sur la Figure 3 (“VLAN 2” représente le réseau sur
lequel seront effectués les exercices).
Les identifiants et mots de passe nécessaires des différents équipements seront fournis lors des séances par les
encadrants selon les besoins.
Internet
Commutateur admin.
via ARI
Binome N
PC N-1 (client)
Commutateur N
PC N (sonde)
PC ARI N
1.N 3.1
Internet (VLAN 1)
via ARI Commutateur N
2.N-1
(VLAN 2)
Réseau PC N-1 (client)
ari-31-208-N admin.
10.0/16 2.N 1.1
LAN
PC N (sonde) unique
0.N 2.N+1 2.1 10.N/16
PC ARI N
PC N+1 (serveur)
1.N VLAN 2
Internet (VLAN 1) 10.N.1/24
via ARI Commutateur N
2.N-1 1
L’option “-X” signifie que l’environnement graphique de la machine distante (fenêtres X11) sera redirigé sur le poste local. Cela
n’est pas forcément nécessaire si le contrôle est uniquement textuel.
Les PC de la plate-forme intègrent 4 interfaces Ethernet : eth0, eth1, eth2 et eth3 (voir sur la Figure 3) :
• le PC “client” (N-1) est relié au réseau du poste N par l’interface eth0
• le PC “sonde” N est relié au réseau du poste N par l’interface eth1
• le PC “serveur” (N+1) est relié au réseau du poste N par l’interface eth2
• chaque PC dispose d’une interface le reliant au réseau d’administration : eth3
La commande /sbin/ifconfig permet de vérifier la configuration des interfaces (vous pouvez préciser le nom de l’interface
à la suite). Dans les 3 terminaux précédemment lancés, exécutez cette commande. Vous devez observer un affichage similaire à
celui de la Figure 7.
Initialement l’écran est vide car aucune capture n’a été réalisée ou chargée. Cliquez sur le menu “Capture” et sélectionnez
“Interfaces...”. Une fenêtre présentant les différentes interfaces de la machine apparaı̂t (voir la Figure 8). Sélectionnez le
champ “Options” de l’interface eth1 (elle n’a pas d’adresse IPv4, seulement une adresse IPv6).
Une nouvelle fenêtre apparait (voir la Figure 9). Ne pas spécifier de filtres dans le champ “Capture Filter”. Désactivez :
❏ “Enable MAC name resolution”, ❏ “Enable network name resolution” et ❏ “Enable transport name resolution”. Démarrez
la capture avec Start : La capture démarre...
Vous pouvez observer du trafic en générant, par exemple, des demandes d’écho du PC client vers le PC serveur : Utilisez
pour cela la commande ping 10.2.2.1 dans la fenêtre 1, puis observez la capture dans la fenêtre de wireshark (voir la
Figure 10).
N’oubliez pas d’arrêter la capture avec le bouton Stop dans la fenêtre de capture.
Ce support est le premier consacré à la couche application. Il comporte quelques exercices à réaliser sans machine, l’étude
d’un document de standardisation (RFC) et l’étude des protocoles des applications suivantes : TELNET, RLOGIN, SSH, FTP,
SFTP, TFTP et HTTP. Pour illustrer nos propos, le trafic réseau de chacune de ces applications sera capturé et analysé avec
l’outil wireshark.
1
0
0
1
0
1
1
0
00
1 1
... ...
11 0
00
... 10
0
...
1 1
...
1. Qu’est-ce qu’un protocole applicatif ?
2. Quels programmes accédant au réseau utilisez-vous couramment ? Savez-vous quels sont les protocoles applicatifs que ces
programmes utilisent ?
3. Sur quel modèle de communication s’appuient principalement les applications actuelles ? Comment identifier les rôles des
participants pour les applications citées précédement ?
4. Décrivez les grandes catégories d’applications utilisant les réseaux. Pour chacune d’elles, indiquez les besoins en termes
de débit, de tolérance à la variation ce débit, de sensibilité aux pertes et de contraintes temporelles.
2 Connexion à distance
2.1 Rappels
1. Quel est l’utilité des applications de connexion à distance (remote login) ?
2. Quelles contraintes peuvent poser ce type d’application ? Citez des exemples.
3. Quel type de service réseau doivent utiliser ces applications ? Et quel type d’informations vont être échangées ?
8
TELNET TELNET
Client Server
10 9 2 3
tty 7
App.
6
1 4 5
Le protocole TELNET est l’un des plus ancien de l’environnement TCP/IP (RFC 854). Il doit donc fonctionner avec un existant
très important et permettre la négociation de nombreux paramètres optionnels (généralement à l’ouverture de la communication)
pour s’adapter aux besoins des deux extrémités.
L’hétérogénéité potentielle des deux hôtes impliqués dans l’échange nécessite un service de terminal virtuel, c’est à dire un
encodage commun à travers le NVT (encodage proche à de l’ASCII 7bits pour les caractères imprimables), évitant d’avoir à
connaı̂tre la correspondance des caractères entre chaque type de destinataires (ce point est important car le NVT est également
l’encodage habituel des applications textuelles de l’IETF).
Le protocole TELNET repose sur une connexion réseau TCP (port serveur 23) afin de garantir la fiabilité de l’échange.
Le contrôle est dit In-band (dans la même connexion) : les données circulent simultanément aux informations de négociation
dans la connexion. Comme la plupart des protocoles anciens de TCP/IP, il n’intègre aucun mécanisme de sécurité (pas de
confidentialité).
Dans l’analyse qui va suivre, vous allez analyser les deux phases caractéristiques du protocole TELNET : négociation puis
échange de données.
Dans la capture réalisée, essayez de trouver la signification des différents paramètres négociés en observant seulement la
partie présentant les octets en hexadécimal de wireshark.
2.2.4 Trace TELNET longue distance (facultatif... à traiter de manière autonome si vous êtes nettement en avance
par rapport au reste du groupe)
A partir d’une trace contenant une heure de trafic longue distance entre le Lawrence Berkeley Laboratory et le reste du monde
en janvier 1994, retrouvez des exemples de communications TELNET.
Ces traces1 , initialement au format tcpdump (le même que celui par défaut de wireshark), ont été converties en ASCII en
prenant soin de renuméroter les adresses IP et de supprimer le contenu des paquet.
8.430376 22 21 23 33281 1
8.437539 3 4 3930 119 47
8.442644 4 3 119 3930 15
En voici un extrait : 8.454895 26 11 4890 23 1
8.459398 5 2 14037 23 0
8.469004 4 23 4464 119 512
La première colonne contient une estampille temporelle relative au début de la capture (exprimée en secondes), les deux
colonnes suivantes sont les adresses sources et destinations renumérotées par ordre d’apparition, ensuite se trouvent les numéros
de port puis la taille des données (en octets).
Chargez la trace tme2-lbl.txt.gz, soit à partir du répertoire /Infos/lmd/2011/master/ue/ares-2011oct, soit sur la
page http://www-rp.lip6.fr/~fourmaux/Traces/tracesV6.html, vers un répertoire local (ex : /tmp)2 . Puis à l’aide des
outils UNIX standard (awk, perl, sed...), isolez un des flots TELNET et identifiez ses caractéristiques typiques. Ne demandez
pas à votre encadrant d’aide sur ces outils, il est là pour répondre à vos questions liées au réseau.
1. Réalisez un chronogramme rapide des échanges TELNET réalisés. Que pouvez vous dire de l’interactivité ?
2. Pouvez vous faire des hypothèses sur le type d’information échangée ?
1 The trace lbl-pkt-4 ran from 14 :00 to 15 :00 on Friday, January 21, 1994 (times are Pacific Standard Time) and captured 1.3 million TCP packets,
the dropping about 0.0007 of the total. The tracing was done on the Ethernet DMZ network over which flows all traffic into or out of the Lawrence
Berkeley Laboratory, located in Berkeley, California. The raw trace was made using tcpdump on a Sun Sparcstation using the BPF kernel packet filter.
Timestamps have microsecond precision. The trace has been ”sanitized” using the sanitize scripts. This means that the host IP addresses have been
renumbered, and all packet contents removed. The trace was made by Vern Paxson (vern@ee.lbl.gov). The trace may be freely redistributed.
2 La taille de la trace étant particulièrement importante, si vous travaillez sur votre compte qui est monté par NFS vous obtiendrez des temps de
\0 0X80 (URG)
rlogin
Client
(window size info) rlogin
Server
Password:
tty
x
y Pseudo tty
Le protocole RLOGIN est un autre protocole pour établir des connexions de contrôle à distance. Il est intimement lié au monde
UNIX avec les RPC (Remote Procedure Call). Il est également beaucoup plus simple que TELNET : pas de négociation initiale,
quelques commandes in-band pour, par exemple, redimentionner la taille de la fenêtre etc. Pour les besoins de fiabilité, une
connexion TCP vers le port serveur 513 est utilisée. Aucun mécanisme n’assure la confidentialité de l’échange.
Dans l’analyse qui va suivre, vous allez étudier le protocole RLOGIN en essayant d’effectuer les mêmes interactions au niveau
de l’utilisateur.
2.3.3 Trace RLOGIN longue distance (facultatif... à traiter de manière autonome si vous êtes en avance)
1. Toujours par rapport à la trace tme2-lbl.txt.gz chargée précédemment, identifiez des communications RLOGIN.
• Terminez la capture. Filtrez le trafic afin de ne conserver que celui relatif à SSH (filtre = ssh). Enregistrez la trace
filtrée pour pouvoir la ré-utiliser ultérieurement. Ne quittez pas l’application afin de pouvoir démarrer l’analyse qui suit.
2.4.3 Trace SSH longue distance (facultatif... à traiter de manière autonome si vous êtes en avance)
1. Par rapport à la trace tme2-lbl.txt.gz chargée précédement, identifiez des communications SSH.
Dans cette section nous allons travailler sur un RFC (Request For Comment) produit par les groupes de travail de l’IETF
(Internet Engineering Task Force) afin d’assurer la standardisation des protocoles de l’Internet. Le RFC 959 présente une forme
classique et donne un aperçu de ce type de document. Récupérez le RFC 959 sur le site dédié de l’IETF :
• démarrez un navigateur et accédez à la page http://www.rfc-editor.org/ :
• cliquez sur RFC SEARCH et précisez le terme “FTP” pour démarrer la recherche
• sélectionnez le document RFC 959 dans le résultat de la recherche
Ouvrez ce document et parcourez en rapidement le contenu, puis répondez aux questions suivantes :
1. Que pouvez-vous dire sur la forme du document ? Quelles sont les différentes sections abordées dans ce document ?
2. Précisez l’architecture de communication de FTP. Pourquoi dit-on que les informations de contrôle circulent ”hors-bande” ?
3. Quelles sont les différentes commandes à la disposition du client ?
4. Pouvez-vous citer les différents types d’erreur que peut signaler FTP ? Comment les informations d’erreur sont-elles
transmises ?
1. Par définition, qui initie la communication entre le client et serveur ? Peut-on l’observer dans la capture ?
2. Quelle commande du protocole FTP identifie l’utilisateur ? Dans la capture, quelle information pouvez-vous observer sur
celui-ci ?
3. Quelle est la commande qui authentifie ensuite l’utilisateur ? Le mot de passe apparait-il en clair sur le réseau ?
4. Quel est l’intérêt de la commande suivant l’authentification ?
5. A quoi sert la commande PORT ? Analysez ses paramètres. Pourquoi est-elle émise à ce point de l’échange ?
6. La commande LIST permet d’obtenir la liste des fichiers du répertoire courant au niveau du serveur. Pourquoi est-elle
suivie de deux messages envoyés par le serveur ?
7. Quelles sont les autres commandes que vous observez ? A quoi servent-elles ?
8. A quel moment de la transaction ont lieu les transferts de fichiers ?
3.1.5 FTP longue distance (facultatif... à traiter de manière autonome si vous êtes en avance)
1. Par rapport à la trace tme2-lbl.txt.gz chargée précédement, identifiez des communications FTP avec les connexions
FTP et FTP-DATA associées.
2. Tracez le chronogramme.
3. Que pouvez vous dire de l’interactivité par rapport à TELNET ?
• Vérifiez que le serveur SCP ou SFTP (sshd ou sftp-server) tourne sur l’hôte 10.0.2.N+1 (fenêtre 3)
• Lancez l’analyseur (sudo wireshark) sur l’interface eth1 de l’hôte 10.0.2.N (fenêtre 2)
• Démarrez un client SCP ou SFTP sur l’hôte 10.0.2.N-1 et récupérez à partir du serveur le fichier précédemment transféré
(fenêtre 1)
– tapez scp serveur@10.N.2.1:<fichier_distant> <fichier_local> ou sftp 10.N.2.1
– identifiez-vous avec le login serveur et le mot de passe correspondant puis, si besoin tapez, les quelques commandes
exécutées précédemment lors de la capture FTP (sftp)
• Observez la capture dans la fenêtre de wireshark.
• Terminez la capture. Filtrez le trafic afin de ne conserver que celui relatif à SCP ou SFTP (filtre = ssh). Enregistrez
la trace filtrée pour pouvoir la ré-utiliser ultérieurement. Ne quittez pas l’application afin de pouvoir démarrer l’analyse
qui suit.
1
0
ACK X
11 10
00 2o 2o
111111
000000
...
DATA Y 000000
111111
000000
111111
2o 2o 0−511o
ACK Y
3.3 Protocole TFTP 2o 2o
• A partir du poste ARI N, connectez-vous sur les 3 hôtes correspondants de la plateforme (si ce n’est déjà fait).
• Vérifiez que le serveur TFTP (atftpd) tourne sur l’hôte 10.0.2.N+1 et que le répertoire est configuré pour réaliser les
transferts (fenêtre 3)
• Lancez l’analyseur (sudo wireshark) sur l’interface eth1 de l’hôte 10.0.2.N (fenêtre 2)
• Utiisez le client TFTP sur l’hôte 10.0.2.N-1 (fenêtre 1)
– tapez atftp 10.N.2.1
– envoyez un fichier au serveur avec la commande put
– terminez l’échange avec la commande quit
to abc.com Hyperlink
Browser to xyz.com
program
The Internet
4.1 Exercices (sans machine)
1. Expliquez les étapes nécessaires à la récupération d’une page web. Supposez que vous souhaitiez récupérer une page
composée d’un fichier HTML contenant deux objets de taille réduite stockés sur le même serveur. En négligeant les
temps de transmission de ces objets, indiquez le délai nécessaire pour obtenir la page. Illustrez vos réponses avec un
chronogramme.
2. Quelles optimisations prévues par HTTP 1.1 utilisent les serveurs web actuels pour réduire la latence des échanges ? En
reprenant l’exemple précédent, illustrez vos réponses avec des chronogrammes.
3. Une autre possibilité pour réduire le temps de réponse est l’utilisation de la mise en mémoire cache. Décrivez où intervient
ce mécanisme et pour quels types d’objets il est intéressant.
4.2.3 Modification de la page web du compte serveur (facultatif... à traiter si vous êtes en avance)
Pour capturer un peu plus d’informations relatives aux échanges HTTP, vous pouvez rendre opérationnelle la page web du
compte serveur de 10.0.2.N+1. Pour cela, créez le répertoire public html avec les droits adéquats dans le répertoire de
ce compte serveur (mkdir ~/public_html puis chmod 755 ~/public_html).
Dans le répertoire public html peuvent être mis des fichiers qui seront accessibles directement via le navigateur à l’URL
suivante : http://10.N.2.1/~serveur/. Créez une page web très simple composée de :
• 1 pages HTML simpliste (voir sur le web comment tapez les quelques lignes de texte nécessaire)
• 3 petites images (à tranférer via SCP du poste ARI vers le même répertoire).
Réalisez à nouveau la capture de la section 4.2.1 en accédant cette fois à la page que vous venez de créer avec le navigateur
(http://10.N.2.1/~serveur/) et répondez ensuite aux questions de la section 4.2.2.
Ce support est le second consacré à la couche application. Il comporte quelques exercices à réaliser sans machine et l’étude
des protocoles des applications suivantes : SMTP, POP, IMAP, DNS et SNMP. Pour illustrer nos propos, le trafic réseau de
chacune de ces applications sera capturé et analysé avec l’outil wireshark.
SMTP
Nous allons détailler les différents mécanismes et protocoles associés à l’émission et à la réception d’un message électronique. En
particulier, nous étudierons deux approches qui diffèrent au niveau de la proximité du client : soit basée sur SMTP/POP/IMAP
(client local), soit sur HTTP (web-mail).
1. Quelles sont les commandes du protocole SMTP observées lors de l’émission d’un courrier ? Pouvez-vous indiquer leur
utilité et le type de réponse produite ?
2. Quelles sont les contraintes imposées à la forme du courrier ? Expliquez la structure de ce dernier et détaillez les champs
qui composent son en-tête.
3. Que pensez-vous des possibilités d’identification du protocole SMTP ?
Sans la plateforme... En cas de problème d’accès à la plateforme ou pour réviser, téléchargez la trace tme3-smt.dmp
(similaire à celle capturée précédemment) soit à partir du répertoire /Infos/lmd/2011/master/ue/ares-2011oct, soit sur la
page http://www-rp.lip6.fr/~fourmaux/Traces/tracesV6.html, puis l’analyser avec le logiciel wireshark.
2. Que pensez-vous de la confidentialité lorsque vous consultez votre courrier de cette manière ?
Sans la plateforme... En cas de problème d’accès à la plateforme ou pour réviser, téléchargez la trace tme3-wm1.dmp
(similaire à celle capturée précédemment) soit à partir du répertoire /Infos/lmd/2011/master/ue/ares-2011oct, soit sur la
page http://www-rp.lip6.fr/~fourmaux/Traces/tracesV6.html, puis l’analyser avec le logiciel wireshark.
1. Quelles sont les commandes utilisées par le protocole POP lors de la récupération d’un courrier ? Pouvez-vous indiquer
leur utilité et le type de réponse produit ?
2. A votre avis, quelles seraient les réponses du serveur POP s’il y avait plusieurs messages en attente ?
3. Quelles sont les différences entre le message envoyé précédement et celui reçu ici ?
Sans la plateforme... En cas de problème d’accès à la plateforme ou pour réviser, téléchargez la trace tme3-pop.dmp
(similaire à celle capturée précédemment) soit à partir du répertoire /Infos/lmd/2011/master/ue/ares-2011oct, soit sur la
page http://www-rp.lip6.fr/~fourmaux/Traces/tracesV6.html, puis l’analyser avec le logiciel wireshark.
Sans la plateforme... En cas de problème d’accès à la plateforme ou pour réviser, téléchargez la trace tme3-ima.dmp
(similaire à celle capturée précédemment) soit à partir du répertoire /Infos/lmd/2011/master/ue/ares-2011oct, soit sur la
page http://www-rp.lip6.fr/~fourmaux/Traces/tracesV6.html, puis l’analyser avec le logiciel wireshark.
1. Vérifiez les actions que vous pouvez réaliser de cette manière avec POP.
2. Vérifiez les actions que vous pouvez réaliser de cette manière avec IMAP.
3. Si vous réalisez une capture, quels filtres allez-vous utiliser ?
Sans la plateforme... En cas de problème d’accès à la plateforme ou pour réviser, téléchargez la trace tme3-wm2.dmp
(similaire à celle capturée précédemment) soit à partir du répertoire /Infos/lmd/2011/master/ue/ares-2011oct, soit sur la
page http://www-rp.lip6.fr/~fourmaux/Traces/tracesV6.html, puis l’analyser avec le logiciel wireshark.
1.5 Analyse longue distance (facultatif... à traiter de manière autonome si vous êtes en avance)
A partir de la trace contenant une heure de trafic longue distance entre le LBL et le reste du monde en janvier 1994, vous
pouvez retrouver des exemples de communications SNMP, POP et IMAP. Pour cela, chargez la trace tme2-lbl.txt.gz, soit
à partir du répertoire /Infos/lmd/2011/master/ue/ares-2011oct, soit sur la page http://www-rp.lip6.fr/~fourmaux/
Traces/tracesV6.html, vers un répertoire local (ex : /tmp)4. A l’aide des outils UNIX standard (awk, perl, sed...), isolez
un des flots intéressants et analysez-en les caractéristiques.
4 La taille de la trace étant particulièrement importante, si vous travaillez sur votre compte qui est monté par NFS vous obtiendrez des temps de
10 pc24.cs.keio.ac.jp
Serveur
198.237.57.24
Q: pc24.cs.keio.ac.jp ? DNS local A: IP=198.237.57.24
1
0
1 0
0 1 1
0
1 10 9
1 0
0 110
Q: pc24.cs.keio.ac.jp ? Q: pc24.cs.keio.ac.jp ?
2 8
A: jp.= Q: pc24.cs.keio.ac.jp ?
Q: pc24.cs.keio.ac.jp ?
200.3.28.7, 4
55.120.18.2, A: ac.jp.= 6
...
77.181.1.1,
3 77.180.4.1, A: keio.ac.jp.=
...
198.237.19.1,
5 80.4.90.1, Serveur
... keio.ac.jp.
2 Annuaire Serveur racine
7 198.237.19.1
1. Chaque machine de l’Internet est généralement associée à un serveur de nom local et un serveur de nom de référence
(authoritative). Quel est le rôle joué par chacun d’eux au sein du système DNS ?
2. A partir d’une machine utilisateur qui comporte un navigateur (client web) et agent de messagerie (client mail), vous
souhaitez surfer sur le site web d’une institution (par exemple votre université), puis envoyer un e-mail vers le serveur
mail de celle-ci. Quelles entités vont avoir à recourir au système DNS, et en particulier, à demander des résolutions qui
impliquent le serveur de référence de l’institution ? Le serveur web et le serveur de courrier de cette institution peuvent-ils
partager le même nom (par exemple toto.upmc.org)?
3. En surfant sur le Web, vous cliquez sur un lien menant à une page qui vous intéresse. Votre machine ne connaı̂t pas
l’adresse IP correspondant à l’URL de la page demandée et celle-ci ne se trouve pas dans le cache de votre navigateur. Si
n serveurs DNS sont visités de manière itérative avant d’obtenir l’adresse IP recherchée, en combien de temps peut-on
escompter voir apparaı̂tre la page (le temps de transmission de l’objet est négligeable) ? Faites un chronogramme pour
illustrer vos réponses.
0040 66 72 00 00 01 00 01 fr.....
2. La configuration du serveur BIND5 sur la machine 10.0.2.N+1 est visible dans le fichier /etc/bind/named.conf.local.
Celui-ci indique les deux zones contrôlées localement :
Analysez le contenu de ces deux fichiers et expliquez leur utilité. Précisez ce qu’il est nécessaire de modifier si l’on souhaite
déclarer une nouvelle machine sur le serveur.
3. Comment générer des échanges DNS ? Citez au moins 4 possibilités que vous testerez dans la capture suivante.
Printer
Managed
node A
B A
LAN
1. Pour un administrateur réseau, quel est l’intérêt d’utiliser des outils de gestion du réseau ? Citez plusieurs possibilités.
2. Représentez sur un schéma intégrant quelques éléments à administrer les mécanismes de bases de l’administration de
réseau (éléments applicatifs, messages échangés...) :
3. Définissez les termes suivants : Station d’administration, Equipement administré, Agent d’administration, Base d’infor-
mation de gestion (MIB), Structure des informations de gestion (SMI) et Protocole de gestion du réseau.
4. Quels sont les PDU utilisés par SNMP ? Quels messages sont utilisés pour des requêtes/réponses ou des envois spontanés ?
Quel est la différence entre ces deux types d’échanges ? Quels en sont les avantages et les inconvénients ?
5. A votre avis, pour quelles raisons utilise-t-on UDP plutôt que TCP pour le transport des PDU SNMP ?
6. Dans la suite, un administrateur souhaite gérer les routeurs du réseau de son entreprise grâce au protocole SNMP. Ce
réseau fonctionne sous TCP/IP et interconnecte plusieurs réseaux locaux à l’aide de routeurs dont le service SNMP est
activé.
(a) Proposez un mécanisme pour découvrir les différentes machines présentes sur le réseau local de la station d’adminis-
tration :
(b) Expliquez comment vérifier qu’une machine est bien un routeur (la MIB-II standard définit un objet simple ipForwarding).
(c) Comment obtenir le nom de ces routeurs (la MIB-II standard définit l’objet system.sysName de type chaı̂ne de
caractère...) ?
(d) Sachant que la MIB-II propose un objet table ipAddrTable qui référence toutes les interfaces d’une machine avec
leurs paramètres IP (addresse IP, masque de réseau, adresse de diffusion...), précisez comment obtenir toutes les
adresses IP (champ ipAdEntAddr) d’un routeur.
(e) Précisez comment modifier la valeur du masque de réseau (champ ipAdEntNetMask) associé à l’interface 3 d’un
routeur (les entrées de l’objet table ipAddrTable sont indexées par le numéro de cette interface).
(f) Connaissant les informations précédentes disponibles dans la MIB-II, proposez un mécanisme général pour découvrir
tous les routeurs du réseau de l’entreprise. Indiquez les limitations de votre approche.
(g) Quelles limitations notez-vous à cette approche ?
• A partir du poste ARI N, connectez-vous seulement sur 10.0.2.N, à travers deux terminaux (fenêtre 1 pour échanger
du trafic SNMP et fenêtre 2 pour lancer wireshark).
• Lancez l’analyseur (sudo wireshark) sur l’interface eth3 de l’hôte 10.0.2.N afin de pouvoir capturer le trafic de la
sonde vers le réseau d’administration (fenêtre 2)
• Utilisez les commandes Net-SNMP (snmpget, snmpgetnext, snmpwalk...) sur la sonde vers le commutateur 10.0.1.N
via le réseau d’administration (fenêtre 1)
– tapez snmpget -c public 10.0.1.N system.sysDescr.0
– puis tapez snmpgetnext -c public 10.0.1.N interfaces.ifTable.ifEntry.ifType.1
– puis tapez snmpwalk -c public -v 1 10.0.1.N interfaces.ifTable
• Observez la capture dans la fenêtre de wireshark.
• Terminez la capture. Filtrez le trafic afin de ne conserver que celui relatif à SNMP (filtre = snmp). Enregistrez la
trace filtrée pour pouvoir la ré-utiliser ultérieurement. Ne quittez pas l’application afin de pouvoir démarrer les analyses
qui suivent.
1
0
0
1
0
1
0
1
11
00
... ...
11
00
00 0
11 1
11
00
00 0
11
... 1
0
00
1
...
1 1
...
1 Rappels sur la couche transport (sans machine)
1. Un client web souhaite accéder à un document dont il connait l’URL. L’adresse IP du serveur concerné est initialement
inconnue. Quels protocoles de la couche application sont requis pour satisfaire cette requête ?
2. Quels protocoles de la couche transport sont nécessaires pour satisfaire cette même requête ?
1. Comment TCP mesure-t-il le délai aller-retour (RT Tmesure ) pour un segment donné ?
2. Montrez que l’effet d’une valeur mesurée pour le RT T se réduit exponentiellement avec le temps.
3. Quelle est l’intérêt d’utiliser cette formule comparée à une moyenne mobile dans laquelle le RT T est la moyenne calculée
sur une fenêtre de longueur L ?
4. Quelles sont les conséquences d’une valeur de α proche de 1 et proche de 0 ?
5. Quelles sont les précautions à prendre lors de la mesure du délai aller-retour d’un segment donné ?
6. A votre avis, quel est l’utilité de l’option TCP timestamp ? Pourquoi est-il conseillé d’utiliser cette option (on pourra
consulter le RFC 1323 pour plus de détails) ?
1. Analysez manuellement (sans wireshark) la trame présentée ci-dessus. Utilisez directement le support de TD+TME
pour entourer les différents champs sur les traces.
2. Quelles informations peut-on déduire des ports contenus dans le datagramme ci-dessus ?
3. UDP est dit minimaliste en terme de fonctionnalité. En observant les champs présents dans l’en-tête, pensez-vous que
leur nombre soit réduit au maximum ?
0040 a7 21 00 00 00 00 01 03 03 00 .!...... ..
1. Analysez manuellement (sans wireshark) la trame présentée ci-dessus. Utilisez directement le support de TD+TME
pour entourer les différents champs sur les traces.
2. Quels sont les bits de contrôle (TCP flags) positionnés ? Que signifient-ils ?
3. Identifiez les hôtes impliqués dans cet échange. Quels vont être leurs rôles respectifs dans la suite ?
4. Quelles informations peut-on déduire des ports contenus dans les segments ci-dessus ?
5. Rappelez le fonctionnement des numéros de séquence de TCP. Justifiez les valeurs présentes dans ce segment.
6. Pouvez-vous observer des options dans l’en-tête TCP ? Si oui, que signifient-elles ?
1. Tracez précisément le chronogramme correspondant à cet échange (respectez impérativement l’échelle des temps pour
réussir à visualiser l’évolution des échanges).
2. Nous souhaitons étudier la demi-connexion correspondant à l’émission de données du serveur (192.55.52.40.www) vers
le client (10.33.182.178.33971). Complétez le tableau suivant (numéros de séquence relatifs) :
action base de la pointeur fin de la taille de la commentaire
fenêtre d’émission fenêtre fenêtre
réception A — — — 5840 win 5840
émission B 0 (610765288) 1 5840 — SYN, +1 pas d’émission
réception C 1 1 5841 5840 ACK
réception D 1 1 5841 5840 ACK
émission E 1 1391 5841 —
réception F 1391 2781 9731 8340 ACK, win 8340, une émission intercalée
...
tcptahoe.seq
800.0000
tcptahoe.cwnd
700.0000
600.0000
500.0000
400.0000
300.0000
200.0000
100.0000
TCP est utilisé pour le transport fiable de données dans l’Internet. Nous avons précédemment étudié la gestion des connexions
et mécanismes TCP. Dans les exercices suivants, nour allons nous intéresser à un autre comportement fondamental de TCP : le
contrôle de congestion.
1. Supposons que limiteSS soit à 5000 octets, fenCong est à 6000 octets, et la taille d’un paquet est de 500 octets.
Un émetteur envoie douze paquets de 500 octets dans une période RTT, et reçoit douze acquittements (un pour chaque
paquet). Que deviennent les valeurs de limiteSS et fenCong ? Comment s’appellent ces changements de valeurs ?
2. Supposons que limiteSS soit toujours à 5000 octets, que fenCong est maintenant à 14.000 octets, que l’émetteur
envoie 14.000/500 = 28 paquets, et que l’émetteur reçoive une indication de congestion avant de recevoir le premier
acquittement. Que deviennent les valeurs de limiteSS et fenCong ? Comment s’appellent ces changements de valeurs ?
3. Nous venons de voir comment augmente et diminue fenCong en fonction de l’absence ou la présence d’indicateurs de
congestion. Comment s’appelle cet algorithme ? Sur quel principe repose cet algorithme ?
4. Au démarrage, et après avoir reçu une indication de congestion, la valeur de fenCong est plus petite que la valeur de
limiteSS. Décrivez la manière permettant d’augmenter fenCong quand celle-ci est inférieure à limiteSS, en fonction de
l’exemple suivant. Supposons que limiteSS soit égal à 3000 octets et que fenCong soit égal à 500 octets, la taille d’un
paquet. L’émetteur a plusieurs paquets prêts à être envoyés. Combien de paquets envoie l’émetteur pendant la première
période RT T ? S’il reçoit des acquittements pour tous ses paquets, que devient la valeur de fenCong ? Combien de paquets
envoie l’émetteur pendant la deuxième période RT T ? S’il reçoit des acquittements pour tous ses paquets, que devient la
valeur de fenCong ? En général, comment évolue la taille de fenCong ?
5. Comment s’appelle la période pendant laquelle fenCong est plus petit que limiteSS ?
6. Que devient la valeur de limiteSS si l’émetteur reçoit une indication de congestion pendant que fenCong est plus petit
que limiteSS ?
1. En négligeant la période pendant laquelle fenCong est plus petit que limiteSS, montrez que le débit moyen d associé à
une connexion TCP est égal à :
3 W ∗ M SS
d=
4 RT T
où W est la taille de la fenêtre (en segment) au moment de la congestion, M SS la taille d’un segment (supposée
maximale), et RT T est le délai aller-retour (supposé constant durant la période de la transmission).
2. Montrez que le taux de pertes p est égal à :
1
p= 3
8W
2 + 43 W
3. Montrez que si le taux de pertes observé par une connexion TCP est p alors, son débit moyen d peut être approximé par :
1, 22 ∗ M SS
d= √
RT T p
4. Quels autres paramètres peuvent influer sur le débit d’une connexion TCP ?
5. Quelle utilité voyez-vous à la relation calculée dans la dernière formule de d ?
1. Dans un premier temps, nous supposons que nous n’avons pas de fenêtre de contrôle de congestion. Dans ce cas montrez
que la latence L = 2RT T + O/R.
2. Nous supposons maintenant une fenêtre de congestion statique de taille fixe égale à W . Calculez la latence dans ce
premier cas : W S/R < RT T + S/R
1 Latence d’une requête HTTP : laps de temps pour la création de la connexion et la récupération de l’intégralité de l’objet demandé.
3. Nous supposons toujours une fenêtre de congestion statique de taille fixe égale à W . Calculez la latence dans ce second
cas : W S/R > RT T + S/R
4. Comparez la latence obtenue avec une fenêtre de contrôle de congestion dynamique (slow-start) avec celle sans contrôle
de congestion.
5. Application numérique :
K’ est le nombre de fenêtres envoyées avant de passer au second cas (log2(1 + RT T ∗ R/S)). Considérez trois cas :
(a) S= 512 octets, RT T = 100 msec, O=100 Koctets (=200S) ;
(b) S= 512 octets, RT T = 100 msec, O=5 Koctets (=10S) ;
(c) S= 512 octets, RT T = 1 seconde, O=5 Koctets (=10S).