Amal Lazreg
1 DNI 1
A. Questions théoriques
1- Le principe de capture de trames dans un réseau Ethernet repose sur l'utilisation d'un
dispositif appelé "analyseur de protocole". Ce dispositif est généralement un logiciel
ou un matériel qui est capable d'intercepter et d'analyser le trafic réseau passant à
travers un segment de réseau Ethernet. Ainsi, la machine peut capturer et analyser
tout le trafic réseau passant à travers ce segment, ce qui peut être utile pour le
dépannage, la surveillance ou l'analyse de la sécurité du réseau.
2- Un réseau Ethernet est un réseau non sécurisé.
3- Un commutateur (switch) empêche généralement d'observer une conversation entre
deux machines B et C, tandis qu'un concentrateur (hub) permet de visualiser
facilement cette communication. Les interrupteurs séparent les
les ports, dirigeant le trafic uniquement vers le destinataire approprié, tandis que les
concentrateurs diffusent le trafic à tous les ports, permettant une observation plus
aisée.
4- Si les trames envoyées sont en mode Broadcast (adresse de diffusion), la machine
peut visualiser le trafic provenant d'une autre machine sur le même réseau. La
machine à sniffer agit comme un pont ou une passerelle pour l'autre appareil.
B. Analyse de trafic ARP
1- La machine remplit les champs suivants lors de la génération d'une trame ARP :
l'adresse IP source et de destination, l'adresse MAC source et l'opération (requête ou
réponse). Elle encapsule ensuite ce paquet ARP dans une trame Ethernet avec les
adresses MAC de source et de destination.
en utilisant généralement l'adresse de diffusion pour que la trame soit transmise à
toutes les machines du réseau. Finalement, elle transmet la trame au réseau.
L'adresse MAC de la machine destination est inconnue.
1
�2- On va Choisir une adresse IP destination par suite on va émettre une requête ARP :
L’adresse IP destination : [Link]
3-
4- Ping [Link]
5-
6-
Dans l'en-tête Ethernet de Wireshark, le champ "Type" est utilisé pour identifier le
protocole encapsulé dans la trame. Une valeur de 0x0806 dans ce champ indique que c'est
une trame ARP et que le code d'identification est égal à 0806 en hexadécimale.
7- l’adresse Ethernet source (94 :e2 :3c :eb :1d :7d)
2
�8- L’adresse Ethernet destination sur 6 octets est ( ff : ff : ff : ff : ff : ff ) c’est une adresse
broadcast, la trame est donc émise vers toutes les machines du réseau.
9- Lorsqu'une machine envoie une requête ARP pour savoir l'adresse MAC d'une autre
machine, la réponse ARP de cette dernière contient l'adresse MAC de cette dernière
machine. L'analyse de cette réponse, l'extraction de l'adresse MAC de l'expéditeur et la
mise à jour de la table ARP avec cette association facilitent la tâche.
les futurs échanges avec cette machine.
10-
11- Il est envisageable de configurer deux machines avec la même adresse IP sur le même
réseau, mais cela entraînera inévitablement des conflits et des problèmes de réseau.
Les adresses IP uniques de chaque machine sur le réseau sont la base des protocoles de
communication TCP/IP. Si deux ordinateurs ont la
Cela peut entraîner une mauvaise communication, une perte de paquets, une
indisponibilité des services réseau et d'autres problèmes avec la même adresse IP.
En conséquence, il est crucial de ne pas configurer deux machines avec la même
adresse IP sur le même réseau. Pour assurer une communication réseau fiable et
efficace, chaque machine doit posséder une adresse IP distincte.
C. Analyse de trafic ICMP et http
1-
2-
3
�3-
4- Les champs "Type" et "Code" dans les en-têtes ICMP sont les champs spécifiques qui
m'ont permis de déduire cette valeur. Le champ "Type" dans les paquets ICMP de type
8 an une valeur de 8, indiquant qu'il s'agit d'une demande d'écho. Le champ "Type"
dans les paquets ICMP de type 0 an une
La valeur 0 indique une réponse vocale. Cependant, il n'y a pas de messages ICMP de
type 0 reçus dans cette capture.
5- la requête ping a été envoyée sous forme d'un seul paquet IP
6- Un total de deux trames ont été générées par la commande "ping". Le paquet ICMP
Echo Request envoyé par la machine source était la première trame, et le paquet ICMP
Echo Reply reçu par la machine source était la deuxième trame. Cela correspond à la
sortie de la commande "ping", qui affiche 1.
transmis et un colis reçu.
4
�7- Le type de protocole encapsulé est identifié en examinant d'abord le nom Ethernet. Le
type 0x0800 indique un paquet IP. L'analyseur trouve le protocole suivant, avec la
valeur 1 indiquant ICMP, en inspectant le nom IP. Par conséquent, il arrive à la
conclusion qu'un message ICMP est encapsulé dans le paquet IP.
L'outil peut interpréter le contenu encapsulé et déterminer la structure des paquets
réseau grâce à cette analyse en cascade.
8-
9- TTL (Time To Live)=64 pour les requêtes de reply et TTL=128 pour les requêtes de
request.
