Documente Academic
Documente Profesional
Documente Cultură
Philippe Latu
philippe.latu(at)linux-france.org
http://www.linux-france.org/prj/inetdoc/
Historique des versions $Revision: 1471 $ Anne universitaire 2009-2010 Rsum L'analyseur de trafic est un outil pdagogique essentiel pour comprendre les mcanismes de fonctionnement des protocoles de communication sur les rseaux contemporains. Ce document comprend deux parties. Dans un premier temps, on trouve une introduction l'utilisation de l'analyseur Wireshark, le logiciel libre incontournable en la matire. Dans un deuxime temps, les travaux pratiques permettent de dcouvrir la richesse des informations fournies par cet analyseur. $Date: 2010-02-28 15:56:38 +0100 (dim. 28 fvr. 2010) $ $Author: latu $
1. Copyright et Licence
Copyright (c) 2000,2010 Philippe Latu. Permission is granted to copy, distribute and/or modify this document under the terms of the GNU Free Documentation License, Version 1.2 or any later version published by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A copy of the license is included in the section entitled "GNU Free Documentation License". Copyright (c) 2000,2010 Philippe Latu. Permission est accorde de copier, distribuer et/ou modifier ce document selon les termes de la Licence de Documentation Libre GNU (GNU Free Documentation License), version 1.2 ou toute version ultrieure publie par la Free Software Foundation ; sans Sections Invariables ; sans Texte de Premire de Couverture, et sans Texte de Quatrime de Couverture. Une copie de la prsente Licence est incluse dans la section intitule Licence de Documentation Libre GNU .
1.1. Mta-information
Cet article est crit avec DocBook1 XML sur un systme Debian GNU/Linux2. Il est disponible en version imprimable aux formats PDF et Postscript : intro.analyse.pdf3| intro.analyse.ps.gz4.
En mode utilisateur avec gksu L'application gksu est un frontal graphique de la commande su. Elle permet, aprs la saisie du mot de passe super-utilisateur, d'excuter une application en mode super-utilisateur. Dans notre cas, on accde directement aux interfaces physiques en mode graphique sans passer par une manipulation la console. Ce mode opratoire est propos par dfaut avec toutes les distributions GNU/Linux actuelles. En mode utilisateur avec sudo L'application sudo permet de dlguer les droits du super-utilisateur avec une granularit trs fine. L'optique de l'analyse rseau tant un cas particulier de l'administration systme, on se limitera la prsentation du fichier de configuration de l'application : /etc/sudoers.
# sudoers file. # # This file MUST be edited with the 'visudo' command as root. # # See the man page for details on how to write a sudoers file. # # Host alias specification # User alias specification # Cmnd alias specification # User privilege specification root ALL=(ALL) ALL etu ALL = NOPASSWD: /usr/bin/wireshark, /usr/bin/tshark
C'est la dernire ligne que se situe la partie intressante. L'utilisateur normal etu dispose, sur n'importe quel hte gr par ce systme (ALL), d'un accs super-utilisateur aux applications Wireshark et tshark sans avoir saisir son mot de passe. Pour lancer l'application, il faut prciser l'appel l'application sudo de la faon suivante :
$ sudo wireshark &
3. Interface utilisateur
http://www.linux-france.org/prj/inetdoc/cours/intro.analyse/images/wireshark-complet.png
Introduction l'analyse rseau L'interface de l'analyseur se dcompose en plusieurs barres ou fentres : Barre de menus On y retrouve la liste classique de menus. Voici une liste des fonctions remarquables accessibles partir de ces menus. Le menu File sert sauvegarder ou charger un fichier de capture rseau. Une capture peut trs bien avoir t ralise sur une sonde distante ou avec un autre outil et tre analyse avec Wireshark postriori. Le menu Capture sert fixer les paramtres d'une nouvelle capture rseau. Voir Section 4, Capture d'une srie de trame . Le menu Statistics sert effectuer diffrents calculs sur les volumes de donnes et la rpartition des protocoles. Barre des icnes Cette barre regroupe tous les raccourcis sur les manipulations d'une capture. Barre de filtrage Cette barre sert saisir l'expression de filtrage postriori d'une capture pour isoler tout ou partie d'un change rseau. Fentre contenant la liste des trames captures Sur chaque ligne on retrouve : le numro du paquet, son temps de capture, sa source, sa destination, le protocole de plus haut niveau dcod, le rsum des champs caractristiques de ce protocole. Fentre d'affichage de la pile des protocoles dcods pour la trame slectionne Avant toute opration de dveloppement des champs d'un ou plusieurs protocoles, cette fentre donne la liste la pile de protocoles dcods allant du niveau physique (en haut) jusqu'au niveau le plus haut reconnu (en bas). Le protocole de niveau le plus haut reconnu apparat est celui qui apparat dans la colonne protocole de la Fentre contenant la liste des trames captures. La premire ligne ou niveau Frame correspond une pseudo couche physique. Comme il n'est pas possible de raliser la capture directement partir des composants lectroniques qui pilotent l'interface rseau sans perturber le fonctionnement du systme, l'opration a lieu au niveau liaison l'aide de la bibliothque libpcap. A ce niveau, les informations disponibles sont : la quantit de bits capturs et la date de capture. La deuxime ligne correspond au niveau liaison. On y dtaille le type et les champs de la trame et les adresses physiques. La troisime ligne correspond au niveau rseau. On y dtaille les champs du protocole rseau reconnu : adresses logiques et indicateurs d'tat. La quatrime ligne correspond au niveau transport. On y dtaille les champs du protocole de transport reconnu : tat de la connexion, numros de ports utiliss et diverses options. La cinquime ligne correspond au niveau application. On y trouve les donnes utilisateur. Pour le dveloppement de chacun des champs de la trame, il faut cliquer sur le triangle situ gauche au niveau de chaque couche. Fentre d'affichage brut de la trame slectionne Cette fentre affiche tous les octets de la trame en hexadcimal.
Introduction l'analyse rseau 2. La ligne Capture Filter, permet de prciser un filtrage priori. La syntaxe de ce filtrage est identique celle de la commande tcpdump. La documentation est disponible partir des pages de manuels de cette commande : man tcpdump. Voici 3 exemples : ip : en spcifiant le protocole rseau analyser, on vite la capture des trames des autres protocoles de niveau rseau (IPX) et des protocoles de niveau liaison (STP, CDP, etc.). host 192.168.0.1 : en spcifiant l'adresse IP d'un hte, on ne retient que le trafic mis et reu par cette adresse. host 192.168.0.1 and host 10.0.0.1 : en spcifiant les adresses IP de 2 htes, on ne retient que le trafic entre ces 2 adresses. D'une faon plus gnrale, on peut combiner plusieurs critres avec les oprateurs logiques and et|ou or. le type : host, net et port. la direction : src et dst. le protocole : ether, fddi, tr, ip, ip6, arp, rarp, decnet, tcp et udp. En rgle gnrale, il faut limiter au maximum de filtrage priori de faon disposer du maximum d'information pour l'analyse. La syntaxe de la Section 5, Filtrage de l'affichage aprs capture offre beaucoup plus de possibilits. La rubrique Stop Capture permet de fixer plusieurs critres d'arrt en fonction du nombre de trames et|ou du volume de donnes captures. Clicker sur le bouton Valider pour lancer la capture.
3. 4.
http://www.linux-france.org/prj/inetdoc/cours/intro.analyse/images/wireshark-capture.png
Isoler une connexion TCP - vue complte9 A la suite de cette opration, Wireshark ouvre une nouvelle fentre contenant les donnes vues de la couche transport.
Cette expression est extraite de la Barre de filtrage. Elle doit tenir sur une ligne unique quelque soit sa longueur.
ip.addr : slection d'une adresse IP. eq 192.168.1.9 : valeur particulire d'adresse IP. L'oprateur eq correspond un test d'galit. Il est aussi
possible d'utiliser la syntaxe du langage C pour les tests : == : galit, != : diffrence, >= : suprieur ou gal, <= : infrieur ou gal. Les oprateurs logiques tels que and et|ou or associs aux parenthses servent composer des expressions de slection prcises. tcp.port : slection d'un numro de port du protocole TCP de la couche transport. eq 32783 : valeur particulire de port TCP. La syntaxe de test est identique pour tous les champs des diffrents protocoles reconnus.
10
http://www.linux-france.org/prj/inetdoc/cours/intro.analyse/images/wireshark-tcpstream.png http://www.linux-france.org/prj/inetdoc/cours/intro.analyse/images/wireshark-tcpdata.png
Introduction l'analyse rseau La construction interactive des filtres d'affichage peut se faire l'aide de la souris. Voici 2 exemples simplistes : Option TCP MSS Admettons que l'on veuille reprer toutes les trames captures dans lesquelles l'option MSS (Maximum Segment Size) apparat. On dveloppe alors l'en-tte TCP d'un paquet correspondant une demande de connexion pour faire apparatre cette option. En cliquant sur le bouton droit de la souris on accde au menu Prepare a Filter.
Prparation d'un filtre d'affichage la souris - vue complte11 L'expression prpare apparat dans la champ de la Barre de filtrage :
tcp.options.mss_val == 1460
Supposons maintenant que l'on veuille afficher toutes les trames ayant cette option indpendamment de sa valeur. Il suffit alors de supprimer le test :
tcp.options.mss_val
Fragmentation IP Admettons que l'on veuille observer la fragmentation IP en reprant les champs correspondants de l'en-tte des paquets IP. Tout d'abord, il faut provoquer la fragmentation IP artificiellement. On utilise deux htes avec chacun une interface ethernet et un hub. En rduisant la taille maximum des donnes transmises par paquet (Maximum Transmit Unit) sur l'interface ethernet d'un hte, on observe plus facilement les effets de la fragmentation.
__________ |_=_=_=_=_// Hub | | / \_______ |..... \ .------,~ |..... |Hote_A|' .------,~ | || |Hote_B|' \------ / | || ======/ \------ / 192.168.254.128 ======/ 192.168.254.2 Hote_A # ifconfig eth0 mtu 256 Hote_A # ping -s 128 -c 5 192.168.254.2 PING 192.168.254.2 (192.168.254.2) 128(156) bytes of data. 136 bytes from 192.168.254.2: icmp_seq=1 ttl=64 time=0.591 136 bytes from 192.168.254.2: icmp_seq=2 ttl=64 time=0.528 136 bytes from 192.168.254.2: icmp_seq=3 ttl=64 time=0.554 136 bytes from 192.168.254.2: icmp_seq=4 ttl=64 time=0.545 136 bytes from 192.168.254.2: icmp_seq=5 ttl=64 time=0.546
ms ms ms ms ms
--- 192.168.254.2 ping statistics --5 packets transmitted, 5 received, 0% packet loss, time 3999ms rtt min/avg/max/mdev = 0.528/0.552/0.591/0.036 ms
11
http://www.linux-france.org/prj/inetdoc/cours/intro.analyse/images/wireshark-preparefilter.png
On observe ensuite le rsultat sur l'affichage des trames captures. La syntaxe du filtre est :
ip.flags.df == 0
Prparation d'un filtre d'affichage la souris - vue complte12 Connaissant maintenant la syntaxe d'identification de la fragmentation IP, il sera toujours possible d'appliquer le mme filtre sur une capture beaucoup plus importante en volume.
12 13
http://www.linux-france.org/prj/inetdoc/cours/intro.analyse/images/wireshark-fragment.png http://www.wireshark.org/docs/dfref/
6. Analyse distance
Lorsque l'on exploite une infrastructure de serveurs avec plusieurs primtres rseau cloisonns, il est frquent de devoir procder des captures rseau distance. De plus, la plupart des serveurs rcents sont des lames qui n'ont ni clavier ni cran. Voici donc un exemple de scnario capture rseau ralise sur un hte distant exploite ensuite sur un poste de travail ayant une interface graphique. Dans la suite de copies d'cran suivante, on considre les lments suivants : Le poste de travail sur lequel l'analyse est effectue en mode graphique aprs collecte du fichier de capture est appel <my_laptop.myothernet>. Le serveur lame sans cran ni clavier sur lequel la capture rseau est ralise est appel <my_distant_server.mynet>. On y accde via une console scurise SSH. On suppose que les deux htes ont un compte utilisateur me. Le compte utilisateur sur le serveur doit disposer des droits ncessaire la capture de trames sur les interfaces rseau du serveur. Ces droits sont grs avec sudo. On utilise l'application tshark qui permet d'excuter l'analyse rseau directement la console sans recours une interface graphique. Cette application est fournie par le paquet Debian du mme nom. Voir le rsultat de la commande $ apt-cache show tshark pour obtenir les informations sur ce paquet. Les indications donnes ci-dessous ne peuvent se substituer aux pages de manuels de l'application. Il est vivement conseill de les consulter pour adapter l'analyse rseau ses besoins : man tshark. Connexion au serveur depuis le poste de travail Comme indiqu ci-avant, on accde au serveur via une console scurise SSH. partir le Windoze, l'outil putty permet d'effectuer la mme opration.
me@<my_laptop>:~$ ssh me@<my_distant_server.mynet> Linux <my_distant_server> 2.6.15 #1 SMP Mon Mar 13 14:54:19 CET 2006 i686 The programs included with the Debian GNU/Linux system are free software; the exact distribution terms for each program are described in the individual files in /usr/share/doc/*/copyright. Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent permitted by applicable law. No mail. Last login: Tue Mar 21 10:45:38 2006 from <my_laptop.myothernet> me@<my_distant_server>:~$
Lancement de la capture rseau dans un nouveau shell Un utilisateur normal n'ayant pas les droits suffisants pour accder directement aux interfaces rseau, on doit lancer l'analyseur de rseau via sudo : $ sudo tshark. On lance cette commande dans un nouveau shell en ajoutant le symbole & la fin de la ligne. De cette faon, on conserve la possibilit de lancer d'autres commandes sur la console obtenue lors de la connexion au serveur.
me@<my_distant_server>:~$ sudo tshark -q -i _eth0 -w distant.cap \ -a filesize:4096 tcp and ! host <my_laptop.myothernet> &
L'option -q rend la capture silencieuse. Il s'agit surtout de supprimer l'affichage du compte des paquets enregistrs pendant la capture. Cet affichage est gnant si l'on souhaite conserver la console pour effectuer d'autres manipulations en cours de capture. L'option -i _eth0 dsigne l'interface rseau sur laquelle la capture est ralise. L'option -w distant.cap dsigne le fichier dans lequel les paquets capturs sont enregistrs. Sans spcification du format de fichier avec l'option -F, les paquets capturs sont enregistrs directement (mode raw). L'option -a filesize:4096 donne le critre d'arrt de l'enregistrement. Ici, le critre retenu est la taille du fichier de capture. Cette taille est comptabilise en multiple du kilooctet (1024 octets) ; soit 4096ko dans cet exemple.
Introduction l'analyse rseau Les options suivantes correspondent au filtrage priori des paquets enregistrer. On spcifie le protocole de transport tcp et on n'enregistre pas les paquets de l'hte qui ouvert la console scurise : ! host <my_laptop.myothernet>. Sans cette dernire prcaution, l'enregistrement ne contiendra pratiquement que les changes SSH. Ces changes sont sans intrt puisqu'ils correspondent aux communications entre les deux htes utiliss pour l'analyse distante. Initiation du trafic rseau capturer. Cette commande n'est qu'un prtexte pour remplir le fichier de capture. Avec le tlchargement d'une image des sources du noyau Linux, on est sr de faire transiter un volume suffisant ;-).
me@<my_distant_server>:~$ wget \ http://kernel.org/pub/linux/kernel/v2.6/linux-2.6.16.tar.bz2 --11:14:29-- http://kernel.org/pub/linux/kernel/v2.6/linux-2.6.16.tar.bz2 => `linux-2.6.16.tar.bz2' Rsolution de kernel.org... 204.152.191.5, 204.152.191.37 Connexion vers kernel.org|204.152.191.5|:80...connect. requte HTTP transmise, en attente de la rponse...200 OK Longueur: 40 845 005 (39M) [application/x-bzip2] 100%[===============//=====================>] 40 845 005 296.19K/s ETA 00:00
Fin de la capture et visualisation du fichier Comme indiqu ci-avant, l'enregistrement s'arrte lorsque le fichier atteind la taille de 4096ko.
[1]+ Done sudo tshark -q -i _eth0 -w distant.cap \ -a filesize:4096 tcp and ! host <my_laptop.myothernet>
me@<my_distant_server>:~$ ls -lAh -rw------- 1 root latu 4,1M 2006-03-21 11:14 distant.cap -rw-r--r-- 1 latu latu 39M 2006-03-20 07:22 linux-2.6.16.tar.bz2 me@<my_distant_server>:~$ sudo chmod 640 distant.cap me@<my_distant_server>:~$ exit logout Connection to <my_distant_server.mynet> closed.
L'enregistrement sur fichier ayant t ralis avec l'identit du super-utilisateur via la commande sudo, il faut changer le masque des permissions de ce fichier ou son propritaire. Dans cet exemple, c'est le masque des permissions d'accs qui a t tendu pour que l'utilisateur normal puisse lire le fichier de capture et le transfrer sur son poste de travail. Rcupration du fichier de capture sur le poste de travail
me@<my_laptop>:~$ scp me@<my_distant_server.mynet>:~/distant.cap . distant.cap 100% 4097KB 682.8KB/s me@<my_laptop>:~$ wireshark -r distant.cap 00:06
La commande scp illustre le transfert du fichier de capture rseau via SSH. On peut effectuer la mme opration partir de Windoze avec l'outil WinSCP. Enfin, il est possible de lire le fichier de capture directement au lancement de l'analyseur rseau avec l'option -r.
10
Suivant le contexte de connexion, le volume d'information captur varie normment : connexion DSL, rseau local commut ou non, multiplicit des protocoles rseau, etc. Il est cependant prfrable d'effectuer la premire capture sans aucune restriction priori de faon avoir une image exacte du trafic. Si l'information utile est vraiment noye dans du bruit, il est toujours possible de reprendre la capture avec un filtre ; voir Section 4, Capture d'une srie de trame .
Analyser l'en-tte IP du premier message DNS mis par le client Web. 1. 2. Quelle est la taille de l'en-tte ? Quelle est la longueur totale du paquet ? Reprer le champ type de protocole dans l'en-tte. Quel est le numro et le type de protocole prsent dans les donnes du paquet ?
Analyser l'en-tte UDP du premier message DNS mis par le client Web. 1. Quels sont les numros de ports du client et du serveur ? Quelles sont les particularits de ces valeurs ? Quel est le protocole de couche application prsent dans les donnes du message ?
11
Introduction l'analyse rseau 2. Quelle est la valeur indique dans le champ longueur de l'en-tte UDP ? Correspond-elle l'information donne dans l'en-tte du paquet IP ?
Faire un croquis des piles de protocoles des couches physique application pour le client et le serveur ; identifier les units de donnes de protocoles (PDUs) et les communications de bout en bout.
On considre maintenant la rponse la requte prcdente. 1. Quelles devraient tre les adresses (MAC|Ethernet) et IP de ce paquet ? Vrifier que les adresses attendues sont prsentes. 2. Quelle est la taille du paquet IP ; du message UDP ? Cette taille est-elle plus importante que celle du paquet de requte ? Quel est l'identificateur de transaction de la rponse ? Correspond-il la requte ? Combien de rponses sont disponibles dans le message de rponse ? Comparer les rponses et leurs valeurs TTL (Time-to-live).
3. 4.
6.
Identifier la trame qui correspond au second segment TCP dans la procdure en trois tapes (three ways handshake). 1. 2. Combien de temps s'est coul entre la capture du premier et du second segment TCP ? Relever les valeurs des champs suivants de cette trame : Adresses MAC source et destination de la trame Ethernet. Adresses source et destination du paquet IP. Numros de squence et d'acquittement du segment TCP. Valeurs des indicateurs d'tat.
12
Introduction l'analyse rseau Vrifier que tout correspond aux valeurs attendues. 3. 4. Quelle est la longueur du segment TCP ? Quel est le numro de squence initial (Initial Sequence Number ou ISN mis par le serveur vers le client ? Quelle est la taille de fentre initiale ? Quelle est la taille maximale de segment (Maximum Segment Size ou MSS) ?
Identifier la trame qui correspond au dernier segment TCP dans la procdure en trois tapes (three ways handshake). 1. Combien de temps s'est coul entre la capture du second et du troisime segment TCP ? Comparer cette valeur avec celle releve entre le premier et le second segment et expliquer la diffrence. Relever les valeurs des champs suivants de cette trame : Numros de squence et d'acquittement du segment TCP. Valeurs des indicateurs d'tat. Tailles de fentre. Vrifier que tout correspond aux valeurs attendues. 3. Quelle est la longueur du segment TCP ?
2.
On considre maintenant le contenu du message HTTP GET. 1. Comparer le texte dcod dans la fentre d'affichage de la pile de protocoles avec le contenu de la fentre d'affichage brut. Compter le nombre d'octets du message et vrifier que ce nombre correspond au champ longueur de l'en-tte TCP. Quel est le prochain numro de squence attendu dans le message suivant mis par le serveur HTTP ?
2.
3.
2. 3.
On considre maintenant l'en-tte du message rponse HTTP. 1. 2. 3. Quelle est la longueur de la charge indique dans l'en-tte TCP ? Quels sont les indicateurs d'tat actifs de l'en-tte TCP ? Expliquer pourquoi. Quel est le prochain numro de squence attendu dans le message suivant mis par le client ?
13
Introduction l'analyse rseau On considre maintenant le corps du message rponse HTTP. 1. 2. Quel est le code dans le message de rponse ? Slectionner ce code avec la souris dans la fentre d'affichage de la pile de protocoles et comparer avec ce qui est affich sur la page du navigateur Web. Cette opration revient suivre la dmarche prsente dans la Section 5.1, Isoler une connexion TCP .
Commande traceroute 1. 2. 3. 4. 5. Lancer Wireshark. Lancer la capture des trames sans restrictions d'adresses, de protocoles ou de volume. Lancer une console et taper une commande du type traceroute www.phrack.org. Bien sr, le choix de l'adresse contacter est totalement libre. Arrter la capture lorsque l'invite de commande rapparat la console. Sauvegarder le fichier de capture.
La plage de ports UDP utilise par dfaut par la commande traceroute est de plus en plus frquemment bloque par les quipements d'interconnexion. Il est alors utile d'envisager l'emploi de la commande tcptraceroute avec laquelle on peut fixer les ports source et destination. Commande tcptraceroute 1. 2. 3. 4. 5. Lancer Wireshark. Lancer la capture des trames sans restrictions d'adresses, de protocoles ou de volume. Lancer une console et taper une commande du type tcptraceroute -p 1024 www.phrack.org 80. Bien sr, le choix de l'adresse contacter est totalement libre. Arrter la capture lorsque l'invite de commande rapparat la console. Sauvegarder le fichier de capture.
14
Introduction l'analyse rseau Il est probable que les paquets ICMP soient prcds d'un jeu de question/rponse DNS. 2. Relever l'adresse IP renvoye avec la rponse DNS.
tude du message ICMP. 1. 2. Quel est le type de message ICMP ? Quel est l'identificateur de message ? Quel est le numro de squence ? Slectionner la souris les octets de donnes du message de requte. Comparer ces donnes avec celles affiches dans la fentre d'affichage brut.
tude du message ICMP. 1. Quel est le type de message ICMP ? Comparer l'identificateur de message et le numro de squence du message de rponse avec les valeurs du message de requte. Slectionner la souris les octets de donnes du message de requte. Comparer ces donnes avec celles affiches dans le message de requte.
2.
15
Introduction l'analyse rseau Comparer l'adresse IP destination releve avec celle de la rponse DNS. Noter les valeurs caractristiques de l'en-tte IP en vue d'une utilisation ultrieure. 2. Combien d'octets de donnes sont prsents dans ce message de requte ? Noter la squence de caractres prsente dans la troisime fentre.
tude du message ICMP. 1. Quel est le type de message ICMP ? Les champs Type, Code et Checksum sont suivis par plusieurs octets zro puis par l'en-tte IP du message ICMP Echo Request. Comparer les valeurs caractristiques de cet en-tte avec celles notes ci-avant. 2. Est-ce que le message ICMP contient de nouveaux octets de donnes ?
8.4.5. Variantes
Il est possible de reprendre les questions ci-dessus en utilisant diffrentes options des commandes traceroute et|ou tcptraceroute. Analyse uniquement base de messages ICMP avec l'option -I : traceroute -I www.phrack.org. Analyse base de segments TCP en prcisant le numro de port vis : tcptraceroute www.phrack.org 80. Cette dernire variante est trs utile pour vrifier si un service est ouvert ou non.
9. Documents de rfrence
Guide de l'utilisateur Le Wireshark User's Guide14 est la rfrence la plus complte sur l'utilisation de notre analyseur de trafic favori ! Protocoles Le fichier PDF TCP/IP and tcpdump Pocket Reference Guide15 est une antische sur les champs des enttes des protocoles essentiels ; un document indispensable pour la pratique de l'analyse rseau. Travaux pratiques Le support Configuration d'une interface de rseau local16 prsente les oprations de configuration d'une interface rseau et propose une exploitation des protocoles TCP/IP et ICMP sans recours un analyseur rseau.
14 15
16
Introduction l'analyse rseau Le chapitre Using Ethereal - Chapter 4 of Ethereal packet sniffing17 est un extrait de livre consacr la version antrieure de l'analyseur de trafic rseau. Le site Ethereal Labs18 prsente d'autres travaux pratiques bass sur Ethereal, la version antrieure de l'analyseur de trafic rseau.
17 18
http://searchenterpriselinux.techtarget.com/searchEnterpriseLinux/downloads/284_EPS_04.pdf http://gaia.cs.umass.edu/ethereal-labs/
17