Réseaux d'entreprise::Travaux pratiques d'analyse du trafic réseau

Outil d'analyse

tcpdump (ou WireShark, qui est une version avec une interface graphique) est un outil permettant de capturer un trafic réseau.

Le fait de pouvoir capturer un trafic sur une interface réseau n'est pas tout le temps autorisé, c'est pourquoi vous allez travailler sur des captures déjà faites.

tcpdump permet de faire cela en utilisant so option -r suivie du nom du fichier contenant la capture.

Ce qui transite sur un réseau est toujours un peu indigeste au premier abord. Il faut donc procéder par étape et se s'aider pour cela de certaines options de tcpdump.

Sur solaris, il peut y avoir plusieurs versions de tcpdump installées. Celle que vous devez utiliser est celle se trouvant dans le répertoire /opt/csw/sbin/.

Options principales

Bien entendu, comme toute commande qui se respecte, tcpdump dispose d'un manuel complet, auquel je vous invite à vous reporter. Cependant, pour faciliter le démarage, je vous propose ici une petite liste des options principales :

-n, permet de ne pas essayer de résoudre les adresses IP (via DNS), les adresses Ethernet (via la base OUI), les numéros de port (via le fichier /etc/services). Ceci permet une analyse plus rapide et sans interprétation.
-e, demande d'afficher la partie Liaison de données de l'information relative à une trame. En pratique, pour ce qui nous regarde, ça permet de voir les informations relatives à Ethernet.
-X, demande un affichage des données de la trame en plus des en-têtes. Cet affichage se fait en ASCII et en hexadécimal.

Expressions

En plus des options qui modifient la façon dont il affiche les données, il est possible de passer des expressions qui vont modifier ce qu'il affiche, pour n'en sélectionner qu'une partie.

Par exemple, si l'on désire n'avoir que le rafic concernant la machine dont l'adresse IP est 192.168.1.1, il est possible d'écrire :

#> tcpdump -r dump.pc host 192.168.1.1

De même, si l'on ne veut que s'intéresser au trafic entrant sur le port 80, on peut écrire :

#> tcpdump -r dump.pc dst port 80

Analyses

Je vous propose quatre fichiers à analyser :

Il est conseillé des les prendre dans l'ordre, leur difficulté allant croissante.

Enregistrez sur votre poste chacun de ces fichiers et passez les à la moulinette de tcpdump pour déterminer :

De quel type d'échange s'agit-il ?
Quelles sont dans le cadre de l'échange considéré, les machines mises en jeu ?
Que peut on apprendre sur données qui ont été transmises ?