Administration réseau sous Linux/TP Tcpdump

Préalable

modifier
  • tiny et bigboss doivent être lancés (voir TP VDN)
  • le réseau de bigboss doit être configuré (lancez ~reseaux/vdn-0.6/scripts/bigbossBaseConfig si ce n'est pas déjà fait)
  • le réseau de tiny doit être configuré (voir TP Configuration réseau)
  • Un serveur FTP doit être configuré

Capture de trames ICMP via la commande ping

modifier
  1. sur bigboss, lancer tcpdump sur l'interface réseau qui relie tiny et bigboss ("-i eth0")
  2. lancer un autre terminal sur bigboss ("Shell" dans le menu de bigboss)
  3. lancer la commande ping tiny
  4. repérer dans l'affichage obtenu par tcpdump la source, la destination et le type de chaque paquet généré par les pings


  1. lancez tcpdump dans une console de bigboss pour que ce dernier récupère les trames du port 21 (source ou destination) et affiche le contenu des paquets sous forme ASCII. Redirigez la sortie de tcpdump vers un fichier nommé trames (avec ">")
  2. passez sur un autre terminal et initier une connexion ftp à partir de tiny, en entrant un login et un mot de passe
  3. une fois la connexion ftp établie, quitter tcpdump (Ctrl+C)
  4. repérez dans le fichier trames les paquets, leur adresse source, leur adresse destination, les options, l'entête, le message
  5. repérez les paquets contenant le login et le mot de passe

Utilisation de wireshark

modifier

Wireshark est un outil d'analyse de trafic réseau, disponible pour de nombreux OS et possédant une interface graphique. Lancez Wireshark.

Vous trouverez une barre d'outils et 3 fenêtres:

  • Les différents boutons permettent de créer une nouvelle analyse du réseau, d'ouvrir un fichier d'analyse, d'en fermer un, de l'imprimer, etc etc.
  • La première fenêtre répertorie les trames reçues (source, destination, type de trames). La seconde décrit le contenu d'une trame sélectionnée dans la première fenêtre. Quant à la troisième fenêtre, elle donne le code hexadécimal de la même trame.

Vous pourrez aussi trouver une liste de menus : les classiques (file, edit...), un menu capture (pour démarrer et éditer les filtres de capture) et entre autre un menu analyse (affichage des filtres d'analyse, affichage des protocoles pris en compte). La liste des protocoles est plutôt longue, jetez y un œil !

Pour le reste (notamment pour les filtres) la documentation de Wireshark est disponible à www.wireshark.org.


A

  • Commençons par faire une nouvelle analyse.
  • Lancez wireshark-gtk en tache de fond à partir de tiny.
  • Cliquez sur le premier bouton start a new live capture. Une nouvelle fenêtre, permettant d'ajouter des options, apparaît. Vous devez commencer par choisir une interface, dans notre cas la carte Ethernet (eth1). Vous pouvez créer un filtre pour n'analyser que les trames et paquets IP qui vous intéresse. Pour les autres options voir l'aide !
  • Ne créer aucun filtre et cliquez sur ok. La capture de trames commence. Connectez vous à bigboss (par http ou ftp, ou samba ou ssh...) Stoppez la capture après la réception de quelques trames.
  • Quelles sont les trames que vous avez reçues ? type, source ? que contiennent t-elles ?


B

  • Effectuez une nouvelle analyse avec wireshark en créant un filtre de capture :
src <adresse ip de tiny> and tcp port 21

... ou en utilisant un filtre dans la fenêtre principale de wireshark:

ip.src == <adresse ip de tiny> && tcp.port == 21
  • Ce filtre permet de capturer uniquement les trames provenant de tiny contenant un flux ftp. Wireshark permet de filtrer sur les adresses MAC, IP sur les ports... (voir l'aide). Connectez vous sur votre serveur ftp. Récupérez le login et le mot de passe qu'ils ont utilisés.