travaux pratiques de révision · travaux pratiques de révision ... applications, tout en...

Travaux pratiques de Révision

1. Partie 1 : Les ports logiciels

On se propose d’observer sur votre machine quels sont les ports logiciels ouverts, puis de lancer différentes applications, tout en observant l’activité d’assignation des ports réalisée par le système d’exploitation.

Ce TP est à nouveau bâti sur la configuration très simple cidessous. Tentez de la reproduire (au besoin avec des machines virtuelles. Si ce n’est pas possible, bornezvous à taper les commandes qui concernent votre seul PC :

Les deux PC PCAVP fonctionnant sous Windows XP Pro; PCAVU fonctionnant sous Windows XP ou Seven.

PCAVP est équipé de trois connexions réseau :

LAN1 → 00114378EB69 ;

LAN2 → 000FB5425CD9 ;

WiFi → 00904BDFC83A (si possible).

PCAVU est équipé d’une seule connexion réseau:

LAN → 0016D3C2B0EE.

La commande netstat permet d’obtenir des informations et statistiques à propos des connexions réseau TCP/IP en cours sur la machine. La commande peut être suivie d’un certain nombre d’options :

netstat [-a] [-b] [-e] [-n] [-o] [-p protocole] [-r] [-s] [-v] [intervalle]

Signification de ces options :

a Affiche toutes les connexions et les ports d’écoute.

b Affiche les fichiers exécutables impliqués dans la création de chaque connexion ou port d’écoute. Certains fichiers exécutables connus peuvent héberger plusieurs composants indépendants. Dans ce cas, la séquence des composants impliqués dans la création de la connexion ou du port d’écoute est affichée et le nom du fichier exécutable apparaître entre crochets [ ] en bas, le nom du composant appelé apparaît en haut, et ainsi de suite jusqu’à ce que TCP/IP soit atteint. Remarquez que cette option peut prendre du temps et échouera si vous ne disposez pas des autorisations suffisantes.

e Affiche les statistiques Ethernet. Cette option peut être combinée avec l’option s.

- 1 -© ENI Editions - All rights reserved - Arezki Abar

enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FbmkuRWRpdGlvbnMuTWVkaWFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VuaS5FZGl0aW9ucy5NZWRpYXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAAyQXJlemtpIEFiYXIgLSBiNjY2ODY4Ni1kZTY2LTRlZTAtOGZhZi1mZTc0MTExNDgzNTOsJA42+mfPiAsA-enidentnumber

Fermez toutes les applications et au moins toutes celles qui utilisent le réseau. Ouvrez une invite de commandes et essayez les déclinaisons suivantes de la commande :

C:\> netstat

La commande netstat sans attributs n’affiche que les connexions actives et vous devriez obtenir une liste de connexions vide.

Ouvrez un navigateur et tapez dans la barre d’adresses : http://www.eni.fr

Cliquez sur le lien Eni éditions puis immédiatement revenez à l’invite de commandes et tapez à nouveau la commande C:\> netstat

Cette fois, il a fallu établir un certain nombre de connexions TCP pour obtenir la page d’accueil du site eni et vous pourriez obtenir une liste ressemblant à celleci :

Dans les mêmes circonstances, essayez la déclinaison suivante C:\> netstat -n

Il n’y a plus de résolution de noms, à la place, la liste affiche les adresses IP :

n Affiche les adresses et les numéros de port au format numérique.

o Affiche l’identificateur du processus propriétaire associé à chaque connexion.

p protocole

Affiche les connexions pour le protocole spécifié ; protocole peut être une des valeurs suivantes : TCP, UDP, TCPv6 ou UDPv6. S’il est utilisé avec l’option s pour afficher les statistiques par protocole, le protocole peut être une des valeurs suivantes : IP, IPv6, ICMP, ICMPv6, TCP, TCPv6, UDP ou UDPv6.

r Affiche la table de routage.

s Affiche les statistiques par protocole. Par défaut, les statistiques sont affichées pour IP, IPv6, ICMP, ICMPv6, TCP, TCPv6, UDP et UDPv6. L’option p peut être utilisée pour spécifier un sousjeu de la valeur par défaut.

v Lorsqu’elle est utilisée avec b, cette option affichera la séquence des composants impliqués dans la création de la connexion ou du port d’écoute pour tous les fichiers exécutables.

intervalle Affiche régulièrement les statistiques sélectionnées, en faisant une pause pendant le nombre de secondes spécifié par l’intervalle entre chaque affichage. Appuyez sur [Ctrl] C pour arrêter l’affichage des statistiques. Si l’intervalle est omis, netstat n’affichera les informations de configuration actuelle qu’une seule fois.

- 2 - © ENI Editions - All rights reserved - Arezki Abar


Rafraîchissez la page du navigateur puis revenez à l’invite de commandes et essayez la déclinaison suivante C:\> netstat -an.

Cette fois, la commande affiche toutes les connexions y compris les ports qui sont « à l’écoute » (listening) sur votre machine :

Chaque ligne qui correspond à une connexion TCP comporte une colonne « Etat » parce que ce protocole de transport fonctionne en mode connecté, c’estàdire nécessite une entente préalable entre source et destinataire avant d’échanger les paquets d’information. La connexion passe donc par différents états dont deux sont essentiels, l’état d’écoute et l’état connexion établie (Established). Par exemple, une machine qui comporte un serveur Telnet et qui n’aurait pas encore de connexion Telnet établie comporterait une connexion TCP à l’état d’écoute sur le port 23. Cela ne concerne pas les connexions UDP puisque ce protocole de transport fonctionne en mode non connecté. Une connexion UDP n’a donc que deux états : soit elle n’existe pas, soit elle existe et apparaît dans la liste netstat.

En cumulant les attributs, il est possible de créer beaucoup d’autres commandes netstat qui intéressent l’administrateur. Essayez les déclinaisons suivantes qui permettent d’établir un certain nombre de statistiques :

C:\> netstat -e

C:\> netstat -es

C:\> netstat -s -p tcp

C:\> netstat -s -p udp

Essayez les déclinaisons suivantes qui permettent d’établir les liens entre processus et connexions (montrezvous patient, la sortie complète de cette commande peut demander du temps) :

C:\> netstat -abnov

Si une sortie de commande est particulièrement longue et que vous souhaitez en conserver une trace, il est possible de rediriger la sortie vers un fichier. Tapez la commande (le répertoire C:\Temp existe au préalable sur



votre machine) :

C:\> netstat -abnov > c:\temp\netstat.txt

Vérifiez le contenu du fichier. Pour chaque connexion, cette commande affiche le programme qui utilise la connexion, identifié par son numéro PID (identificateur de processus) ainsi que les DLL (Dynamic Link Library ou Bibliothèque de liens dynamiques, contient du code ou des ressources disponibles pour d’autres applications) utilisées par le programme.

Parmi les ports ouverts de la liste, il peut arriver que l’administrateur souhaite comprendre les raisons d’exister de telle ou telle connexion. Prenons pour exemple le port 445. La première piste consiste à consulter le site de l’IANA :

Consultez le site "http://www.iana.org/assignments/portnumbers" à la recherche du port bien connu 445.

Vous découvrirez ainsi que ce port est utilisé par Microsoft, les lettres DS sont l’acronyme de Directory Services rappelant le système d’annuaire de Microsoft. Une recherche dans un moteur de recherche laisse penser que ce port ouvert sans que l’on sache pourquoi inquiète beaucoup et peut même constituer une faille de sécurité prise en compte par Microsoft :

Lire la note de Microsoft http://support.microsoft.com/default.aspx?scid=kb;enus;Q320751

En simplifiant, les serveurs sous Windows 2000 qui recevaient une demande d’ouverture de connexion sur le port 445 allouaient d’emblée une part de mémoire et une part de ressource processeur. Pour provoquer un déni de services, c’estàdire empêcher le serveur de répondre aux demandes de services légitimes, il suffisait donc à la personne malveillante d’ouvrir suffisamment de connexions simultanées sur le port 445 du serveur victime.

Nous nous proposons maintenant d’exécuter le serveur Telnet sur la machine PCAVP puis d’ouvrir une session Telnet depuis le client sur la machine PCAVU, tout en observant les ports à l’aide de la commande netstat.

Fermez le navigateur. Effectuez un clic droit sur l’icône Poste de travail puis dans le menu contextuel qui s’affiche, sélectionnez l’option Gérer.

Ceci provoque l’ouverture du composant logiciel enfichable Gestion de l’ordinateur (local) dans la console MMC (Microsoft Management Console).

Développez la branche Services du thème Services et applications. Cherchez le service Telnet :

Effectuez un clic droit sur le service Telnet puis dans le menu contextuel qui s’affiche, sélectionnez Propriétés.

Dans la fenêtre Propriétés de Telnet, le champ Type de démarrage est probablement positionné sur la valeur Désactivé. Ouvrez la liste déroulante afin de choisir la valeur Manuel. Cliquez sur le bouton Appliquer.

Ceci provoque l’activation du bouton Démarrer, cliquez sur le bouton Démarrer pour activer le serveur Telnet.

Fermez la fenêtre Propriétés de Telnet. De retour dans la fenêtre Gestion de l’ordinateur, constatez que l’état du serveur est bien démarré (ligne Telnet, colonne Etat).

Revenez à l’invite de commandes et tapez la commande C:\> netstat -an.



Observez la ligne supplémentaire TCP 0.0.0.0 :230.0.0.0 :0 LISTENING.

Vous vous êtes assuré de la connectivité entre la machine PCAVP et la machine PCAVU (respectivement 192.168.1.14 et 192.168.1.11 dans cet exemple). Sur la machine distante PCAVU, ouvrez une invite de commandes puis tapez la commande C:\> telnet 192.168.1.14.

Répondez oui à la question de sécurité concernant l’envoi du mot de passe sur le réseau. Aux questions login et password, utilisez les identifiants que vous utilisez habituellement sur la machine PCAVP et normalement l’ouverture de session devrait réussir en affichant le message de bienvenue :

=====================================

Bienvenue à Microsoft Telnet Server.

=====================================

Ayez bien à l’esprit que tout ce que vous entreprendrez sur cette console Telnet ouverte sur la machine PCAVU est en réalité entrepris sur la machine PCAVP. Vous êtes physiquement sur la machine PCAVU mais virtuellement sur la machine PCAVP.

Depuis la session cliente Telnet, tapez la commande C:\> netstat -ano.

Le résultat de cette commande pourrait ressembler à celuici :

Observez la ligne supplémentaire TCP 192.168.1.14:23 192.168.1.11:1382 ESTABLISHED.

Observez également que la ligne TCP 0.0.0.0 :230.0.0.0 :0 LISTENING est toujours présente car le serveur Telnet a accepté d’ouvrir une session avec le client de la machine 192.168.1.11 mais reste disponible pour ouvrir d’autres sessions. Rien ne vous empêche de le vérifier en ouvrant une seconde invite de commandes, sur l’une quelconque des deux machines puis en ouvrant une nouvelle session Telnet vers le serveur PCAVP.

Observez enfin l’identificateur de processus attaché à cette connexion. Effectuez un clic droit dans la barre des tâches de Windows puis dans le menu contextuel, sélectionnez Gestionnaire des tâches.

Dans la fenêtre Gestionnaire des tâches de Windows qui s’affiche, allez dans Sélectionner des colonnes… du menu Affichage.

Dans la fenêtre Sélection de colonnes qui s’affiche, cochez la case PID puis confirmez.

De retour dans la fenêtre Gestionnaire des tâches, cliquez sur l’entête de colonne PID afin de provoquer le tri des



processus selon cette valeur. Identifiez la ligne qui correspond au PID attaché à la connexion Telnet :

Sur la machine PCAVU, ouvrez une nouvelle invite de commandes et tapez la commande C:\> netstat -an.

Observez la ligne supplémentaire TCP 192.168.1.11:1354 192.168.1.14:23 ESTABLISHED évidemment à l’inverse de la ligne observée sur PCAVP.

Ces quelques outils sont utiles à l’administrateur mais aussi à l’utilisateur soucieux de vérifier qu’un processus qui tourne sur sa machine est bien légitime. Il existe en téléchargement d’excellents utilitaires qui permettent la visualisation des connexions et des numéros de ports. Ils ont l’avantage d’offrir une visualisation en temps réel et permettent en outre de résilier directement une connexion. Exemple : tcpview disponible sur le site suivant http://technet.microsoft.com/enus/sysinternals/bb897437.aspx

2. Partie 2 : Mise en œuvre d’un serveur et d’un client DHCP

Récupérez l’excellent TFTPD32 (version 3.28 au moment où ces lignes sont écrites) sur le site suivant : http://tftpd32.jounin.net/tftpd32_download.html ou bien à partir du serveur ftp de la salle, dans le répertoire logiciels.

Tftpd32 embarque entre autres des serveurs TFTP et DHCP, ainsi qu’un client TFTP. La partie TFTP sera mise à profit lorsqu’il faudra manipuler les fichiers image et de configuration des routeurs. Nous nous proposons de vérifier maintenant le fonctionnement du protocole DHCP.

Comme à notre habitude maintenant, ce TP est à nouveau bâti sur la configuration très simple cidessous.



Les deux PC fonctionnent sous Windows XP ou l'un sur XP l'autre sous Seven. On reprendra les mêmes PC déjà utilisés.

PCAVP est équipé de trois connexions réseau :

LAN1 → 00114378EB69 ;

LAN2 → 000FB5425CD9, peut être désactivée pour ce TP ;

WiFi → 00904BDFC83A, peut être désactivée pour ce TP ;

PCAVU est équipé d’une seule connexion réseau :

LAN → 0016D3C2B0EE

PCAVP joue le rôle du serveur DHCP sur l’adresse 192.168.1.1. PCAVU est donc le client DHCP.

Sur PCAVP, effectuez un clic droit sur l’icône Favoris Réseau et dans le menu contextuel qui s’affiche, choisissez Propriétés.

Parvenu dans la fenêtre Connexions réseau, effectuez un clic droit sur la connexion LAN1 et sélectionnez Propriétés.

Dans la fenêtre Propriétés de LAN1, onglet Général, sélectionnez l’élément Protocole Internet (TCP/IP) puis cliquez sur le bouton Propriétés.

PCAVP joue le rôle du serveur, réglez les valeurs ainsi :

@IP : 192.168.1.1 ;

Masque : 255.255.255.0 ;

Autres valeurs sans importance dans le cadre de ce TP.

Confirmez autant de fois que nécessaire.

Si PCAVP est relié à une « BOX » quelconque, n’oubliez pas de retirer la connexion correspondante car un serveur DHCP est probablement activé sur cet équipement.

TFTPD32 ne nécessite pas d’installation pour fonctionner, décompressez le fichier zip téléchargé dans un répertoire TFTPD32 puis exécutez le programme tftpd32.exe. Sur PCAVP, configurez le serveur DHCP de la façon suivante :



Ainsi configuré, le serveur est capable d’allouer dix adresses à partir de l’adresse 192.168.1.10. Associés à la fourniture d’une adresse, le serveur affectera également le masque, l’adresse d’un serveur DNS et l’adresse de la passerelle par défaut.

Dans la fenêtre tftpd32, cliquez sur le bouton Save.

Pour mémoire, sur PCAVP, nous avions lors du TP associé au chapitre La couche Liaison, téléchargé le logiciel d’analyse de protocole Wireshark depuis le site http://www.wireshark.org/ (wiresharksetupxxx.exe, environ 20 Mo en avril 2008) puis nous l’avions installé.

Sur PCAVP, installer puis lancez Wireshark. Cliquez sur le bouton List the available capture interfaces.

Dans la fenêtre Capture Interfaces, cliquez sur le bouton Start correspondant à la carte LAN1 qui équipe PCAVP.

Déconnectez temporairement PCAVU du réseau.

Sur PCAVU, effectuez un clic sur l’icône Favoris Réseau et dans le menu contextuel qui s’affiche, choisissez Propriétés.

Parvenu dans la fenêtre Connexions réseau, effectuez un clic droit sur la connexion LAN et sélectionnez Propriétés.

Dans la fenêtre Propriétés de LAN, onglet Général, sélectionnez l’élément Protocole Internet (TCP/IP) puis cliquez sur le bouton Propriétés.



Confirmez autant de fois que nécessaire, arrêtez PCAVU puis connectezle à nouveau sur le réseau.

En principe, tout est prêt et dès que PCAVU va démarrer, le dialogue client/serveur DHCP sera capturé par Wirewhark.

Lancez l’initialisation de PCAVU. Si tout se passe comme prévu, la fenêtre de l’analyseur de protocole doit refléter l’activité DHCP. Stoppez la capture lorsque l’initialisation de PCAVU est achevée. Sauvegardez cette capture sous un nom évocateur, par exemple Allocation_DHCP.pcap. La fenêtre de Wireshark pourrait ressembler à la suivante :

le premier message est DHCPDISCOVER diffusé par PCAVU ;

le serveur s’apprête à allouer l’adresse 192.168.1.10 mais avant de le faire, il vérifie que cette adresse n’est pas déjà utilisée. C’est pourquoi il génère trois requêtes Echo (ping) sur l’adresse 192.168.1.10 ;

ces requêtes étant restées sans réponse, PCAVP fait une offre DHCPOFFER ;

le client PCAVU choisit cette offre puis diffuse la requête DHCPREQUEST afin d’obtenir sa configuration complète ;

le serveur diffuse la configuration demandée dans la réponse DHCPACK ;

le client teste l’adresse fournie à l’aide de trois requêtes « Gratuitous ARP » ;



ces requêtes étant restées sans réponse, le client accepte l’offre et adopte enfin l’adresse 192.168.1.10.

Avec Wireshark, explorez les différents champs des messages DHCP. Attention à l’interprétation des valeurs. Ainsi, dans la fenêtre cidessus, la valeur du nombre magique qui identifie le « Magic cookie », placée en surbrillance, est 63 82 53 63 ce qui, traduit en décimal, donne bien la valeur attendue 99.130.83.99.

Dans le même temps, la fenêtre du serveur DHCP tftpd32 doit montrer le bail alloué à la station PCAVU :

L’onglet Log viewer, sans fournir le niveau de détail de l’analyseur de protocole, témoigne de l’activité client/serveur DHCP :



Sur PCAVP, revenez à la fenêtre Wireshark et lancez une nouvelle capture.

Revenez à la station PCAVU et ouvrez une invite de commandes (Démarrer Exécuter cmd). Tapez successivement les commandes suivantes :

Ipconfig /all

Ipconfig /release

PCAVU vient de rendre l’adresse IP qu’il avait obtenu. Sur PCAVP, sauvegardez la capture de Wireshark sous un nom évocateur, par exemple Resiliation_DHCP.pcap. Observez à la fois l’onglet Log viewer de la fenêtre tftpd32 et la capture de Wireshark, votre commande s’est traduite par un message DHCPRELEASE du client.

Revenez à PCAVU et à la situation antérieure en tapant la commande : Ipconfig /renew

Revenez à PCAVP, ouvrez une invite de commandes et tapez la commande : netstat an

Observez que l’application Serveur DHCP a provoqué l’ouverture du port UDP 67. De la même façon, observez que le client écoute le port UDP 68 sur l’adresse IP qu’il a obtenu du serveur.

En autonomie : s’il est possible de relier votre réseau à une « BOX » pourvue d’un serveur DHCP, configurez tftpd32 de façon à ce que les deux serveurs DHCP offrent des adresses sur des plages différentes puis depuis le client, relâchez l’adresse obtenue et demandez une nouvelle adresse tout en capturant les échanges. Attention cependant, si vous utilisez un commutateur et que l’application Wireshark est lancée sur PCAVP, elle ne capture que les seuls échanges entre PCAVP et PCAVU. Or, cette fois, deux serveurs DHCP sont en concurrence et vous souhaitez capturer tous les messages DHCP, y compris ceux échangés entre le client DHCP et la « BOX ». Voilà quelques solutions pour contourner ce problème :

Disposer d’un concentrateur (hub) pour remplacer temporairement le commutateur ;

Configurer le commutateur afin que le port relié au PC qui porte l’analyseur de protocole soit destinataire de toutes les trames, certains commutateurs permettent cette configuration ;



Installer Wireshark sur PCAVU et réalisez la capture sur le client.

3. Partie 3 : Mise en évidence du fonctionnement de ARP

Revenez à PCAVP, revenez à la fenêtre Wireshark et lancez une nouvelle capture.

En invite de commandes, effacez le cache arp en tapant la commande : arp d *

Vérifiez que le cache est effectivement vide en tapant la commande : arp a

Provoquez un trafic en tapant la commande : ping 192.168.1.10

Vérifiez le contenu du cache à cet instant en tapant la commande : arp a

Patientez deux minutes et vérifiez à nouveau le contenu du cache arp. S’il y a pas eu d’autre trafic, la correspondance 192.168.1.10 @MAC de PCAVU devrait avoir disparu.

Arrêtez la capture Wireshark et analysez les échanges. Observez la séquence arp qui précède nécessairement les échanges de messages ECHO avec la station PCAVU, la station PCAVP ne connaissant pas l’adresse MAC de PCAVU.

Cette séance de travaux pratiques est maintenant terminée. Avec les outils dont vous disposez maintenant, il vous est possible de la prolonger à satiété, ne vous privez pas…



travaux pratiques de révision · travaux pratiques de révision ... applications, tout en...

Documents