| Définition:
Le moniteur réseau, fourni avec Windows 2000 Serveur et 2003 Serveur
permet de capturer le trafic réseau (émission et réception).
Installation:
Voici la procédure à suivre pour installer le moniteur réseau:
- Aller dans démarrer/Panneau de configuration/Ajouter ou supprimer des
programmes
- cliquer sur Ajouter ou supprimer des composant Windows
- sélectionner "Outils de gestion et d'analyse"
- puis "Outils d'analyse de réseau".
Démarrage du moniteur réseau:
- Démarrer/outil d'administration/
- Puis Moniteur Réseau.
La première fois que le moniteur réseau est lancé, il faut spécifier
le réseau observé:
Il se présente ainsi:
Utilisation:
Préparation de la capture de données:
Il suffit d'appuyer sur le bouton "play".
Génération d'un traffic entre 2
machines:
Un traffic réseau est crée en faisant un ping entre la machine où est
installé le moniteur
et une autre machine.
Arret de la capture:
Pour arrêter la capture, il faut appuyer sur le boutton "stop" .
Affichage des données capturées:
Les données sont affichées dans l'ordre d'apparition:
Détail de la
commande ping:
1: la station source fait une requête ARP en BROADCAST pour résoudre
l'adresse IP en adresse MAC (Etape n°3 sur
la copie d'écran)
2: la station cible( Local) dont l'adresse IP corespond, lui renvoie son
adresse MAC (n°4)
3: la station source connaissant l'adresse IP et MAC du poste cible,
commence à lui envoyer un "Echo", qui est en fait une demande de
présence sur le réseau: ceci ce fait par le protocole ICMP. (n°5)
4: la station cible lui retourne un Echo Reply (n°6)
Ces 2 dernières étapes sont effectuées 4 fois (comme le montre la copie
d'écran de la commande ping sous Ms-DOS qui envoie 4 paquets par défaut).
Affichage du détail des
trames:
· lors de l'affichages des trames, il suffit de faire un double clique
pour avoir le détail de la trame.
· on peut alors avoir les détails de la trame analysée:
 | le type de trames éthernet |
| les paramètres IP |
| les paramètres ICMP |
Enregistrement de la capture:
· Pour enregistrer la capture, il suffit de faire "Fichier/Enregistrer
sous"
Impression de la capture:
· Pour Imprimer la capture, il suffit de faire "Fichier/Imprimer.."
Les filtres:
Un filtrage sur les trames permet de filtrer le nombre de trames,
facilitant ainsi l’analyse d’un trafic.
Il est nottament possible d’effectuer un filtrage en fonction des
adresses sources et destinations, des protocoles et des propriétés des
protocoles.
Il est possible de définir 2 sortes de filtres (sur la capture et sur
l'affichage):
· Filtre sur les données capturées:
exemple: pour filtrer les adresses => n'afficher que les échanges
d'un seul hôte:
· cliquer sur l'icône filtre
· puis dans (Paires d'adresses), cliquer sur "Adresse..."
| On va lui demander d'inclure le traffic vers la station
128.127.10.5
on choisi "inclure", comme station 1 = LOCAL (ou l'adresse IP
locale:128.127.0.6) et comme station 2 = 128.127.10.5 |
| On va lui demander d'exclure toute les adresses
on choisi "exclure", comme station 1 = ANY, comme station 2 = *ANY
(Ce filtre n'est pas obligatoire, car lorsque l'on lui precise un
include, tout les autres connections sont ignoré) |
· Filtre sur l'affichage:
exemple: on ne veut afficher que les données echangées entre 2
stations parmis tous les paquets capturés
et seulement par les protocole ARP et ICMP
· Dans affichage des données capturées
· cliquer sur l'icône modifier les filtres d'affichages:
| pour les protocoles:
· sur cliquer sur "Protocol == Any " puis sur "modifier
l'expression..."
· dans l'onglet "Protocole" cliquer sur "Desactiver Tout", puis dans
la colone de gauche, selectionner les protocoles ICMP et ARP, puis
cliquer sur "Activer" |
| pour les adresses:
· sur cliquer sur "ANY == ANY" puis sur "modifier l'expression..."
· dans l'onglet "Adresse" dans la colone de gauche, selectionner
l'adresse "LOCAL", puis, dans la colonne de droite, selectinner
l'adresse 128.127.10.5 |
Mise en evidence des données capturées:
Test avec les captures d'une
transmission UDP et TCP (Différence):
But du test:
Comprendre la différence de transmissions (requêtes, accusés de
reception, etc...) entre les protocoles TCP/IP et UDP/IP.
Pour ce faire, un fichier est envoyé de notre station à une station
Linux par FTP et TFTP (Ces 2 protocoles utilisants respectivement TCP et
UDP).
Définitions:
| TCP (transmission control protocol):
Ce protocole permet une communication sûre (grâce aux accusés de
réception).
|
| UDP (user datagram protocol):
Ce protocole est très simple étant donné qu'il ne fournit pas de
contrôle d'erreurs.
Il est donc plus rapide que le protocole TCP mais il n'est pas fiable.
|
Test:
Protocole TCP:
Détail de l'échange des
trammes TCP et FTP:
1: la station source (Local) demande de synchronisation (est ce que la
cible est présente) (Etape n°4)
2: la station cible retourne un accusé de réception (n°5)
3: la station source demande de connexion par ftp(n°6)
4: la station cible lui permet de se connecter par ftp (n°7)
5: la station source retourne un accusé de réception (n°8)
6: la station source demande de se connecter en anonyme (n°9)
7: la station cible retourne un accusé de réception (n°10)
8: la station cible demande le mot de passe pour la connexion "anonymous"(n°11)
9: la station source retourne un accusé de réception (n°12)
10: la station source envoie le mot de passe (n°13)
11: la station cible répond que le mot de passe est accepté, et qu'une
transmission peut être établie (n°14)
12: la station source retourne un accusé de réception (n°15)
13: la station source demande un changement de répertoire (n°16)
14: la station cible répond que le changement à bien été effectué (n°17)
15: la station source retourne un accusé de réception (n°18)
16: la station source se connecte à ce nouveau répertoire (n°19)
17: la station cible renvoie que le connexion à ce répertoire est
possible(n°20)
18: la station source demande d'envoyer un fichier (test.txt) dans le
répertoire précédemment indiqué (n°21)
19: la station cible essai de se synchroniser(n°22)
20: la station source accusé de réception(n°23)
21: la station cible confirmation de la demande d'envoi du fichier
(n°24)
22: la station cible envoie le message "ok to send
data" (n°25)
23 : la station source indique l'envoi de données
par le port 1214 (local)(n°26)
24: la station cible accusé de
réception (n°27)
25 : la station source envoi les données +
accusé de réception (n°28)
26 : la station cible lui indique que le fichier a
bien été reçu "File receive ok" (n°29)
27: la station cible accusé de réception du
fichier (n°30)
28 : la station source accusé de réception
(n°31)
29 : la station source accusé de réception (n°32)
30 : la station source envoie la commande "Quit"
pour fermer la connexion Ftp (n°33)
31: la station cible renvoie le
message "Goodbye" (n°34)
32: la station cible
accusé de réception
(n°35)
33 : la station source accusé de réception du
Goodbye (n°36)
Protocole UDP:
Détail de l'échange des
trammes UDP:
1: la station source (Local) fait une demande de connexion TFTP (Etape
n°1)
2: la station cible accepte la connexion (n°2)
3: la station source envoie le fichier (n°3)
4: la station cible lui retourne accusé de réception (tout est bien
reçu) (n°4)
Conclusion:
Le moniteur réseau permet de bien comprendre le fonctionnement des
différents protocoles de transfert.
Il permet de plus de connaître les entêtes du protocole utilisé ainsi
que les données de la trame grâce à la fenêtre hexadécimale. |
