FANDOM


Exercice Wireshark sur PPP, PPPoE Edit

Voir le document du module 3 sur Omnivox (Lea).

Partie 1 : PPP (fichier ppp_exercice.pcap) Edit

1. À quel paquet commence-t-on la configuration LCP ?

Screenshot 20180206 122954

Une configuration LCP etc une négociation (Wireshark : ppp.protocol == 0xC021) qui commence avec une requête de configuration (Configuration request), possiblement suivi par un ou plusieurs réponses Configuration Nak, et éventuellement suivi par un paquet Configuration Ack ; tous les requêtes e réponses partage un identifiant (Wireshark : ppp.identifier). Alors... le premier requête Configuration Request ― c'est le paquet 2.

Réponse : le paquet 2.

Remarque : DCE ― d'habitude un modem ; DTE ― d'habitude un ordinateur.

2. À quel paquet commence-t-on la configuration NCP ?

Screenshot 20180206 125638

Dans la capture le protocole utilisé dans le cadre de NCP est IPCP (Wireshark : ppp.protocol == 0x8021). La configuration NCP comprenne 4 paquets, le premier est le paquet 16.

Réponse : le paquet 16.

3. La première demande de configuration a lieu au paquet 2. Dans quel paquet arrive la réponse à cette requête ?

Screenshot 20180206 131444

Paquet 2 est un LCP Configuratinon request de DTE vers DCE avec l'identifiant 0x01. On peut donc filtrer les communications PPP / LCP (Wireshark : ppp.protocol == 0xC021) avec le même identifiant (ppp.identifier == 0x01) dans la direction inverse (ppp.direction == 1). La première réponse au requête est le Configuration Nak dans le paquet 6.

Réponse : le paquet 6.

4. À quel paquet la requête de configuration LCP est-elle acceptée par l’hôte DCE ?

Screenshot 20180206 131947

Filtrage dans Wireshark : PPP / LCP (ppp.protocol == 0xC021), direction DCE ―> DTE (ppp.direction == 1) et code d'operation Ack (ppp.code == 2) ; ça donne un seul paquet dans la capture ― 14.

Réponse : le paquet 14.

5. Combien de requêtes de configuration LCP l’hôte DTE envoie-t-il avant que DCE accepte ?

Screenshot 20180206 133214

Filtrage dans Wireshark : PPP / LCP (ppp.protocol == 0xC021), direction DTE ―> DCE (ppp.direction == 0) et code d'operation Request (ppp.code == 1) ; on doit aussi s'assurer que tous les paquets à compter viennent avent le paquet 14 (frame.number < 14). Le filtrage donne 4 paquets.

Réponse : 4 paquets.

6. Combien de requêtes de configuration NCP l’hôte DTE envoie-t-il avant que DCE accepte ?

Screenshot 20180206 133952

Dans la capture il n'y a qu'un seul paquet de DCE à DTE avec Configuration Ack ― le paquet 21. On fait donc le même filtrage que pour la question 5, sauf pour le protocole (ppp.protocole == 0x8021) et le limite de paquets (frame.number < 21).

Réponse : 2 requêtes.

Partie 2 : PPPoE (fichier pppoe_exercice.pcap) Edit

7. Quel est l’identifiant de session PPPoE dont fait partie le paquet 24 de la capture ?

Screenshot 20180206 134513

On filtre pour trouver le paquet 24 dans la capture (frame.number == 24) et on vérifie l'identifiant de la session.

Réponse : 0x1b3d

8. Combien y a-t-il de sessions PPPoE dans cette capture ?

Screenshot 20180206 200142

Filtrage dans Wireshark : PPPoE code ― PADS (pppoed.code == 0x65). On obtient deux paquets avec confirmations de sessions : 0x1b3d et 0x3b1a.

Réponse : 2 sessions.

9. Quelles adresses IP sont attribuées à l’hôte e0:a1:d7:18:c2:73 au cours des sessions PPPoE ?

Screenshot 20180206 201817

Filtrage dans Wireshark : protocole PPP / IPCP (ppp.protocol == 0x8021), adresse MAC de destination ― e0:a1:d7:18:c2:73 (eth.dst == e0:a1:d7:18:c2:73) et Configuration Ack comme opération, ce qui correspond au PPP code 2 (ppp.code == 0x02). On trouve deux confirmations, une pour chaque session PPPoE, et chacune contient une adresse IP attribuée à l'hôte.

Réponse : 95.136.242.54 et 95.136.242.99

10. Combien de temps durent chacune des sessions ?

Screenshot 20180207 084715
Screenshot 20180207 084744

On a deux sessions, qu'on peut filtrer dans Wireshark par l'ID de session (pppoe.session_id == 0x1b3d), puis par les codes d’opération : établir la session ― 0x65, terminer la session ― 0x06). Donc, on obtient...

Réponse :

  • la session 0x1b3d dure 26 secondes ;
  • la session 0x3b1a dure plus de 16 mille jours et ne se termine pas dans la capture =D

11. Combien d’octets sont échangés dans chacune des sessions ?

Screenshot 20180207 091302
Screenshot 20180207 091514

Pour trouver ça, on peut filtrer tous les paquets d'une session (pppoe.session_id == 0x1b3d) et affiche la statistique de paquets filtrés. On a deux sessions, on répète donc ça deux fois.

Réponse :

  • la session 0x1b3d ― 8489 octets (en 78 paquets) ;
  • la session 0x3b1a ― 16 K octets (en 190 paquets).