FANDOM


Exercice Wireshark sur ARP Edit

Partie 1. Edit

Screenshot 20180209 162111

Affichez la table arp de votre hôte, puis démarrez Wireshark. Ensuite faites un ping sur une adresse qui ne figure pas dans votre table arp. Arrêtez Wireshark.

a. Combien de messages ARP ont été générés lors du ping ?

Screenshot 20180209 162511

Filtrage dans Wireshark : par protocole ARP.

Réponse : 6 paquets en total (j'ai laissé ping rouler un peu sans préciser la quantité des requêtes), soit 2 messages par ping.

b. Quelles est la source et la cible de la requête ARP initiale (adresses MAC) ?

Réponse : source ― 60:xx:xx:xx:d1:d5 (adresse MAC de ma machine); sible ― ff:ff:ff:ff:ff:ff:ff (diffusion).

c. Quelles est la source et la cible de la requête ARP initiale (adresses IP) ?

Réponse : source ― 192.168.0.104 (adresse IP de ma machine dans le réseau local); cible ― 192.168.0.253 (l'adresse à pinguer).

d. Quels sont les opcodes de chaque message ARP envoyé ?

Screenshot 20180209 190156

Réponse : 0x01 (ARP requête)

e. Dans la trame Ethernet de chaque message, quel est la valeur du champ « frame type » (nom et valeur hexadécimale) ?

Réponse : ARP, 0x0806

Partie 2. Edit

Lancez Wireshark pendant que vous ouvrez une session FTP sur un serveur dont l’adresse IP est absente du réseau.

Pour faire plus facile, j'ai composé vite fait une ligne de commande :

FTPADDR="ftp://ftp.nl.debian.org/debian/dists/stretch/main/installer-amd64/current/images/" ; CAPTURE=/tmp/capture.pcapng ; if [ -e $CAPTURE ] ; then sudo rm -f $CAPTURE && touch $CAPTURE && chmod a+rw $CAPTURE ; fi ; (dumpcap -i wlp1s0 -w $CAPTURE &); curl $FTPADDR ; sudo killall dumpcap ; wireshark $CAPTURE

L'idée : je lance dumpcap et le laisse capturer le trafic sur l'interface WiFi pendant que je lance curl pour connecter au serveur web de Debian, puis j'arret dumpcap et ouvre le fichier de capture avec Wireshark...

a. Combien de messages ARP sont envoyés par le client FTP ?

Screenshot 20180209 222403

Filtrage dans Wireshark : protocole ARP et adresse MAC du source (arp and eth.src == 60:xx:xx:xx:d1:d5). Comme j'essaie d’établir une connexion avec un IP qui n'appartient pas au réseau local, et comme l'adresse MAC de la passerelle est déjà dans le cache ARP, l'hôte ne fait pas de requête ARP, mais passe directement à la requête DNS à travers mon routeur.

Réponse : 0 requêts ARP (j'ai choisi un FTP qui ne fait pas partie de mon réseau local)

b. Combien de messages FTP sont envoyés par le client FTP ?

Screenshot 20180209 221541

Filtrage dans Wireshark : protocole FTP et l'adresse MAC de l'hôte comme l'adresse source (ftp and eth.src == 60:xx:xx:xx:d1:d5). Dans mon cas la machine a envoyé 14 messages du protocole FTP.

Réponse : 14 paquets

Partie 3. Edit

Lancez une capture Wireshark et démarrez une MV Linux.

Quelles sont les requêtes ARP lancées au démarrage ?

Screenshot 20180212 131850
Screenshot 20180212 133931

Ce que j'ai pu trouver :

  • si l'adresse de passerelle par défaut est configurée (ou obtenu de DHCP) ― la machine virtuelle Linux procède tout de suite après le démarrage à envoyer un requête ARP pour trouver l'adresse MAC de la passerelle ;
  • si une adresse de passerelle n'est pas configurée ― la machine virtuelle Linux n’envoie pas de requête ARP avant qu'une commande ping (ou autre demande de connexion) ne soit pas lancée.

Réponse : des requêtes ARP (possiblement plusieurs) pour obtenir l'adresse MAC de la passerelle par défaut (si configurée).

Partie 4. Edit

Lancez une capture Wireshark et démarrez une MV Windows 7 ou 2008.

Quelles sont les requêtes ARP lancées au démarrage ?

Screenshot 20180212 144545

Ce que j'ai pu trouver :

  • si la machine obtient son adresse IP depuis un serveur DHCP, mais l'adresse de passerelle n'est pas configurée ― la machine virtuelle Windows 7 envoie envoie des requêtes ARP sur sa propre adresse IP (192.168.0.101 dans mon cas) et sur l'adresse APIPA de Windows (169.254.186.49 dans mon cas) ;
  • Screenshot 20180212 145530
    si la machine a l'adresse IP statique et l'adresse de passerelle est configurée ― la machine Windows 7 lance plusieurs requêtes ARP (deux) sur sa propre adresse IP, et aussi plusieurs requêtes sur l'adresse de la passerelle, jusqu'y obtenir une réponse.