Wire Shark

Travaux pratiques 2.6.2 : utilisation de Wireshark pour afficher des units de donnes de protocoleObjectifs pdagogiques Expliquer lobjectif dun analyseur de protocoles (Wireshark) Excuter une capture de base des units de donnes de protocole (PDU) laide de Wireshark Excuter une analyse de base des PDU sur un trafic de donnes rseau simple Se familiariser aux fonctionnalits et options de Wireshark telles que la capture des PDU et le filtrage de laffichage

ContexteWireshark est un analyseur de protocoles (analyseur de paquets) utilis pour dpanner les rseaux, effectuer des analyses, dvelopper des logiciels et des protocoles et sinformer. Avant juin 2006, Wireshark rpondait au nom dEthereal. Un analyseur de paquets (ou analyseur de rseaux ou de protocoles) est un logiciel permettant dintercepter et de consigner le trafic des donnes transfres sur un rseau de donnes. Lanalyseur capture chaque PDU des flux de donnes circulant sur le rseau. Il permet de dcoder et danalyser leur contenu conformment aux spcifications RFC ou autres appropries. Wireshark est programm pour reconnatre la structure de diffrents protocoles rseau. Vous pouvez lutiliser pour afficher lencapsulation et les champs spcifiques aux PDU, puis interprter leur signification. Cet outil est utile pour toutes les personnes intervenant au niveau des rseaux. Vous pouvez vous en servir dans le cadre de la plupart des travaux pratiques des cours CCNA, des fins danalyse de donnes et de dpannage. Pour en savoir plus sur cet analyseur et tlcharger le programme correspondant, accdez au site http://www.Wireshark.org

ScnarioPour pouvoir capturer des donnes, vous devez dabord vous connecter au rseau depuis lordinateur sur lequel Wireshark est install et excuter Wireshark.

Contenu protg par Copyright 19922007 Cisco Systems, Inc. Tous droits rservs. Ce document contient des informations publiques Cisco.

Page 1 sur 12

CCNA Exploration Notions de base sur les rseaux : communication sur un rseau

Travaux pratiques 2.6.2 : utilisation de Wireshark pour afficher des units de donnes de protocole

Lorsque vous lancez Wireshark, lcran ci-dessous saffiche.

Pour lancer la capture des donnes, slectionnez dabord llment Options dans le menu Capture. La bote de dialogue Options comprend tout un ensemble de paramtres et de filtres dterminant le trafic de donnes captur et le mode de capture utilis.


Page 2 sur 12



Vous devez commencer par vous assurer que Wireshark est configur pour linterface approprie. Dans la liste droulante Interface, slectionnez la carte rseau utilise. Pour un ordinateur, il sagit gnralement de la carte Ethernet connecte. Vous pouvez ensuite dfinir les Capture options. Examinez les deux options mises en relief ci-dessous.

Configuration de Wireshark permettant de capturer des paquets en mode de proximit Si vous ne slectionnez pas loption Capture packets in promiscious mode, seules les PDU destines lordinateur sont captures. Si vous la slectionnez, toutes les PDU destines lordinateur et toutes celles dtectes par la carte rseau de lordinateur sur le mme segment de rseau (cest--dire les PDU transitant par la carte rseau non destines lordinateur) sont captures. Remarque : la capture de ces PDU supplmentaires dpend du priphrique utilis pour connecter les ordinateurs finaux sur le rseau. Les rsultats danalyse Wireshark varient en fonction des diffrents priphriques (concentrateurs, commutateurs, routeurs) utiliss au cours de la formation. Configuration de Wireshark permettant de rsoudre les noms rseau Utilisez loption Enable... name resolution pour indiquer si Wireshark doit convertir les adresses rseau dtectes dans les PDU en noms. Bien que cette fonction soit utile, notez que le processus de rsolution des noms risque dajouter des PDU aux donnes captures et ainsi peut-tre de fausser lanalyse. Un certain nombre dautres paramtres de filtrage et processus de capture sont galement disponibles. Cliquez sur le bouton Start (Dmarrer) pour lancer la capture des donnes. Une fentre affiche ltat davancement.


Page 3 sur 12



Le type et le nombre de PDU captures sont indiqus au fur et mesure du droulement du processus.

Les exemples ci-dessus montrent la capture dun processus ping suivi dun accs une page Web. Cliquez sur le bouton Stop pour mettre fin la capture. Lcran principal saffiche. La fentre principale de Wireshark est constitue de trois volets.


Page 4 sur 12



Le volet suprieur de lcran prsent ci-dessus comprend un rcapitulatif des PDU (ou paquets) captures. Le contenu des deux autres volets dpend des paquets slectionns au sein de ce volet. Le volet du milieu comprend des informations dtailles sur le paquet slectionn dans le premier volet. Enfin, le volet infrieur affiche les donnes (au format hexadcimal correspondant la reprsentation binaire) issues du paquet slectionn dans le premier volet, en mettant en surbrillance les lments correspondant au champ slectionn dans le volet du milieu. Chaque ligne de la liste des paquets (premier volet) correspond une PDU (un paquet) de donnes capture. Si vous slectionnez une ligne dans ce volet, ses dtails saffichent dans les volets du milieu et infrieur. Dans lexemple ci-dessus, le volet suprieur comprend les PDU captures lors de lutilisation dune commande ping et dun accs au site http://www.Wireshark.org. Le paquet numro 1 est slectionn. Le volet du milieu affiche les dtails de ce paquet. Les protocoles et les champs de protocole du paquet slectionn sont indiqus. Ils saffichent sous la forme dune arborescence que vous pouvez dvelopper ou rduire. Le volet infrieur prsente les donnes du paquet slectionn dans le volet suprieur au format hexdump . Ce volet ne sera pas examin en dtail au cours de la prsente session de travaux pratiques. Notez toutefois que ces informations sont utiles lors des analyses plus approfondies car elles permettent de passer en revue les valeurs binaires et le contenu des PDU.


Page 5 sur 12



Vous pouvez enregistrer les informations captures pour les PDU de donnes dans un fichier. Le fichier peut ensuite tre ouvert dans Wireshark en vue dune analyse ultrieure sans quil soit ncessaire de capturer nouveau le trafic de donnes. Les informations qui saffichent lorsque vous ouvrez un fichier de capture sont identiques celles de la capture dorigine. Vous tes invit enregistrer les PDU captures lorsque vous fermez un cran de capture ou que vous quittez Wireshark.

Cliquez sur Continue without Saving (Poursuivre sans enregistrer) pour fermer le fichier ou quitter Wireshark sans enregistrer les donnes captures.

Tche 1 : capture des PDU associes un processus pingtape 1 : vrification de la topologie et de la configuration standard utilises dans le cadre des travaux pratiques et lancement de Wireshark sur un ordinateur de pod Dfinissez les options de capture comme indiqu ci-dessus, dans la prsentation, puis lancez la capture. Sur la ligne de commande de lordinateur, envoyez une commande ping ladresse IP ///dun autre priphrique connect au rseau (voir le schma de la topologie fourni pour cette session de travaux pratiques). Ici, il sagit dune commande ping envoye au serveur Eagle en spcifiant ladresse 192.168.254.254. Une fois que vous avez reu le rsultat attendu, arrtez la capture des paquets. tape 2 : observation du volet de la liste des paquets Le volet suprieur de Wireshark doit ressembler ce qui suit :

Examinez les paquets de la liste ci-dessus, notamment les paquets 6, 7, 8, 9, 11, 12, 14 et 15.


Page 6 sur 12



Localisez les paquets quivalents au sein de la liste de paquets affiche sur votre ordinateur. Si vous avez effectu ltape 1A ci-dessus, faites le lien entre les messages affichs dans la fentre de ligne de commande suite lenvoi de la commande ping et les six paquets capturs par Wireshark. Observez la liste des paquets de Wireshark et rpondez aux questions suivantes : Quel protocole est utilis avec la commande ping ? ______________________________ Quel est le nom complet du protocole ? ______________________________ Quels sont les noms des deux messages ping ? ______________________________ _____________________________________________________________________ Vous attendiez-vous obtenir les adresses IP source et de destination indiques ? Pourquoi ? ___________________________________ Oui/Non

tape 3 : slection (mise en surbrillance) du premier paquet de requte dcho de la liste laide de la souris Le volet du milieu affiche des informations dtailles sur le paquet semblables celles-ci :

Cliquez sur les quatre signes + pour dvelopper les arborescences correspondantes.


Page 7 sur 12



Le volet se prsente alors comme suit :

Comme vous pouvez le constater, vous pouvez dvelopper encore chaque section et protocole. Consacrez un peu de temps ltude de ces informations. Il se peut que vous ne compreniez pas toutes les informations affiches ce stade du cours, mais notez toutefois celles que vous reconnaissez. Localisez les deux types de Source et Destination diffrents. Pourquoi y en a-t-il deux ? __________________________________________________________________ Quels sont les protocoles inclus dans la trame Ethernet ? _____________________________________________________________ Lorsque vous slectionnez une ligne dans ce volet, tout ou partie des informations correspondantes sont mises en surbrillance dans le volet infrieur des octets associs aux paquets. Par exemple, si vous slectionnez la deuxime ligne (+ Ethernet II) dans le volet du milieu, les valeurs correspondantes sont mises en surbrillance dans le volet infrieur.

Il sagit des valeurs binaires spcifiques ces informations concernant la PDU. Il nest pas ncessaire de comprendre toutes ces informations en dtail ce stade du cours.


Page 8 sur 12



tape 4 : slection de llment Close (Fermer) dans le menu File (Fichier) Lorsque ce message saffiche, cliquez sur Continue without Saving (Poursuivre sans enregistrer).

Tche 2 : capture des PDU associes un processus FTPtape 1 : lancement de la capture des paquets En supposant que Wireshark soit toujours en cours dexcution suite aux tapes prcdentes, cliquez sur loption Start (Dmarrer) du menu Capture de Wireshark pour lancer la capture des paquets. Tapez ftp 192.168.254.254 au niveau de la ligne de commande de lordinateur sur lequel Wireshark est excut. Une fois la connexion tablie, spcifiez l ID utilisateur anonymous sans mot de passe. Userid: anonymous Password: Vous pouvez galement utiliser lID utilisateur cisco et le mot de passe cisco. Une fois connect, tapez get /pub/eagle_labs/eagle1/chapter1/gaim-1.5.0.exe, puis appuyez sur la touche . Le processus de tlchargement du fichier partir du serveur ftp dmarre. Vous obtenez un rsultat semblable celui-ci : C:\Documents and Settings\ccna1>ftp eagle-server.example.com Connected to eagle-server.example.com. 220 Welcome to the eagle-server FTP service. User (eagle-server.example.com:(none)): anonymous 331 Please specify the password. Password: 230 Login successful. ftp> get /pub/eagle_labs/eagle1/chapter1/gaim-1.5.0.exe 200 PORT command successful. Consider using PASV. 150 Opening BINARY mode data connection for pub/eagle_labs/eagle1/chapter1/gaim-1.5.0.exe (6967072 bytes). 226 File send OK. ftp: 6967072 bytes received in 0.59Seconds 11729.08Kbytes/sec. Une fois le fichier tlcharg, tapez quit : ftp> quit 221 Goodbye. C:\Documents and Settings\ccna1> Arrtez ensuite la capture des PDU dans Wireshark.


Page 9 sur 12



tape 2 : agrandissement du volet de la liste des paquets de Wireshark et passage en revue des PDU rpertories Localisez et notez les PDU associes au tlchargement du fichier. Il sagit des PDU issues du protocole TCP de la couche 4 et du protocole FTP de la couche 7. Identifiez les trois groupes de PDU associs au transfert du fichier. Si vous avez effectu ltape ci-dessus, faites le lien entre les paquets et les messages et invites de la fentre de ligne de commande FTP. Le premier groupe correspond la phase de connexion au serveur. Fournissez quelques exemples de messages changs au cours de cette phase. ___________________________________________________________________ Localisez et notez quelques exemples de messages changs au cours de la deuxime phase, cest-dire celle de la requte de tlchargement et du transfert de donnes. __________________________________________________________________ ___________________________________________________________________ Le troisime groupe de PDU se rapporte la dconnexion. Fournissez quelques exemples de messages changs au cours de cette phase. __________________________________________________________________ ___________________________________________________________________ Localisez les changes TCP rcurrents au cours du processus FTP. Quels types doprations TCP indiquent-ils ? __________________________________________________________________ ___________________________________________________________________

tape 3 : analyse des informations dtailles sur les paquets Slectionnez (mettez en surbrillance) un paquet de la liste associ la premire phase du processus FTP. Observez ses dtails dans le volet du milieu. Quels sont les protocoles encapsuls dans la trame ? ___________________________________________________________________ Slectionnez les paquets contenant le nom dutilisateur et le mot de passe. Examinez la partie mise en surbrillance dans le volet des octets. Que pouvez-vous en dduire sur la scurit de ce processus de connexion FTP ? ___________________________________________________________________ Slectionnez un paquet associ la deuxime phase.


Page 10 sur 12



partir de nimporte quel volet, localisez le paquet comportant le nom du fichier. Le nom de fichier est : ______________________________ Slectionnez un paquet comportant le contenu du fichier ; notez le texte brut visible dans le volet des octets. Dans les volets des informations dtailles et des octets, slectionnez puis examinez quelques paquets changs au cours de la troisime phase correspondant au tlchargement du fichier. Quest-ce qui diffrencie le contenu de ces paquets ? ___________________________________________________________________ Une fois termin, fermez le fichier Wireshark en choisissant loption Continue without Saving (Poursuivre sans enregistrer).

Tche 3 : capture des PDU associes un processus HTTPtape 1 : lancement de la capture des paquets En supposant que Wireshark soit toujours en cours dexcution suite aux tapes prcdentes, cliquez sur loption Start (Dmarrer) du menu Capture de Wireshark pour lancer la capture des paquets. Remarque : vous navez pas besoin de dfinir les options de capture si vous effectuez cette tape la suite des tapes prcdentes de cette session de travaux pratiques. Ouvrez un navigateur Web sur lordinateur sur lequel vous excutez Wireshark. Saisissez lURL du serveur Eagle de example.com ou bien ladresse IP 192.168.254.254. Une fois la page Web tlcharge dans son intgralit, arrtez la capture des paquets dans Wireshark. tape 2 : agrandissement du volet de la liste des paquets de Wireshark et passage en revue des PDU rpertories Localisez et identifiez les paquets TCP et HTTP associs au tlchargement de la page Web. Notez les similarits qui existent entre cet change de messages et celui du processus FTP. tape 3 : mise en surbrillance dun paquet HTTP du volet suprieur portant la mention (text/html) au niveau de la colonne Info Dans le volet des dtails de paquet (volet du milieu), cliquez sur le signe + situ en regard de Linebased text data: html" Quel type dinformations saffiche-t-il lorsque vous dveloppez cet lment ? ___________________________________________________________________ Examinez la partie mise en surbrillance dans le volet des octets. Elle indique les donnes HTML transportes par le paquet. Une fois termin, fermez le fichier Wireshark en choisissant loption Continue without Saving (Poursuivre sans enregistrer).

Tche 4 : rflexionExaminez les informations dencapsulation relatives aux donnes rseau captures fournies par Wireshark. Faites-les correspondre aux modles de couche TCP/IP et OSI. Il est important que vous puissiez reconnatre et associer les deux protocoles reprsents et les ///types de couche de protocole et dencapsulation des modles aux informations fournies par Wireshark.


Page 11 sur 12



Tche 5 : travaux pratiques avancsDiscutez de lutilit des analyseurs de protocoles tels que Wireshark dans le cadre des oprations suivantes : (1) et (2) Identification du trafic des donnes demandes par les utilisateurs sur un rseau Rsolution dun problme de tlchargement de page Web sur le navigateur dun ordinateur

_____________________________________________________________________________ _____________________________________________________________________________ _____________________________________________________________________________ _____________________________________________________________________________ _____________________________________________________________________________ _____________________________________________________________________________ _____________________________________________________________________________

Tche 6 : nettoyageSauf indication contraire de la part du formateur, quittez Wireshark et arrtez votre ordinateur de faon approprie.


Page 12 sur 12