Analyse de la trame Ethernet

1
Analyse de la trame Ethernet
2
OSI Layers par lexemple
3
OSI Layers par lExemple
4
Encapsulation and Demultiplexing

• À mesure que les données descendent dans la pile
  de protocoles, chaque protocole ajoute des
  informations de contrôle spécifiques à la couche

5
Encapsulation ET Demultiplexing

• Regardons en détail la trame Ethernet entre le
  client PC et le routeur pour une connexion TCP au
  Serveur.
• C'est la trame en notation hexadécimale.
• 00e0 f923 a820 00a0 2471 e444 0800 4500 002c
  9d08 4000 8006 8bff 808f 8990 808f 4715 065b 0050
  0009 465b 0000 0000 6002 2000 598e 0000 0204 05b4

6
WIRESHARK
7
Analyse des informations dans la trame
8
Entête Ethernet
le champ EtherType indique le type du protocole
encapsulé dans le champ "données" de la trame
Ethernet. Il occupe deux octets.
Le champ Type de protocole des trames Ethernet II
peut prendre entre autres les valeurs suivantes
0x0800 IPv4 0x86DD IPv6 0x0806
ARP 0x8035 RARP 0x809B AppleTalk
0x88CD SERCOS III 0x0600 XNS 0x8100
VLAN
9
Encapsulation / DemultiplexingEntête Ethernet
10
Encapsulation et Demultiplexing Ethernet Header
11
Entête IPv4
12
Champ protocol
13
Encapsulation and Demultiplexing IP Header
14
Encapsulation et Demultiplexing IP Header
15
Encapsulation and Demultiplexing TCP Header
Option maximum segment size
16
Encapsulation and Demultiplexing TCP Header
17
Analyse de la trame Ethernet - Exemple
18
(No Transcript)
19
(No Transcript)
20
(No Transcript)
21
(No Transcript)
22
EtherType
EtherType est un champ d'une trame Ethernet
indiquant quel est le protocole de niveau
supérieur utilisé dans le champ "donnée" de cette
trame.
23

• 1) On considère la trace suivante, obtenue par
  lanalyseur de protocoles Ethereal installé sur
  la machine émettrice de la première trame
  Ethernet (les trames sont données sans préambule,
  ni CRC)
• Frame Number 1
• 0000 00 0a b7 a3 4a 00 00 01 02 6f 5e 9b 08 00
  45 00 0010 00 28 00 00 40 00 40 01 82 ae 84 e3
  3d 17 c2 c7 0020 49 0a 08 00 75 da 9c 7a 00 00
  d4 45 a6 3a 62 2a0030 09 00 ff ff ff ff 00 00 00
  00 00 00
• Frame Number 2
• 0000 00 01 02 6f 5e 9b 00 0a b7 a3 4a 00 08 00
  45 00 0010 00 28 d0 92 00 00 3a 01 5a db c2 c7
  49 0a 84 e3 0020 3d 17 00 00 7d da 9c 7a 00 00
  d4 45 a6 3a 62 2a0030 09 00 ff ff ff ff 00 00 00
  00 00 00
• a) Quelle est ladresse IP (en décimal pointé)
  de la machine ayant initié léchange ? Quelle est
  sa classe dadresse ?b) Quelle est ladresse
  physique de la machine ayant initié léchange
  ?c) Quelle est ladresse IP (en décimal pointé)
  de la machine ayant répondu ? Quelle est sa
  classe dadresse ?d) Quelle est ladresse
  physique de la machine ayant répondu ?e) En
  supposant que la route de retour coïncide avec la
  route de laller, combien de routeurs séparent la
  machine source de la machine destination ?f)
  Expliquez pourquoi dans les deux trames, la fin
  du paquet ne coïncide pas avec la fin de la trame
  ?g) Daprès vous, quel genre dapplication, de
  programme ou de commande a pu générer cet échange
  sur le réseau ?

24

• 0000 00 0a b7 a3 4a 00 00 01 02 6f 5e 9b 08 00
  45 00 0010 00 28 00 00 40 00 40 01 82 ae 84 e3
  3d 17 c2 c7 0020 49 0a 08 00 75 da 9c 7a 00 00
  d4 45 a6 3a 62 2a0030 09 00 ff ff ff ff 00 00
  00 00 00 00

25

• a) Adresse IP de la machine ayant initiée
  léchange  84.e3.3d.17 132.227.61.23, classe
  Bb) Adresse MAC de la machine ayant initiée
  léchange 0001026f5e9b c) Adresse IP de
  la machine ayant répondu  c2.c7.49.0a
  194.199.73.10, classe Cd) Adresse MAC de la
  machine ayant répondu  000ab7a34a00e) TTL
  de la trame 1 0x40 (64)  TTL de la trame 2
  0x3a (58), 64 58 6 routeurs

26

• F) Dans les deux datagrammes IP, le champ Total
  Length vaut 0x28 (40), cest-à-dire que les deux
  datagrammes ne représentent que 40 octets chacun.
  Or le champ données de la trame Ethernet doit
  contenir au moins 46 octets, il y a donc un
  bourrage de 6 octets (à 0x00) qui a été ajouté.
• g) Le protocole encapsulé est ICMP (champ
  Protocol vaut 0x01)  il sagit vraisemblablement
  dun message ICMP de demande décho, et un
  message ICMP de réponse décho, engendré par la
  commande ping.

27
Exercice 1 Analyse de trames (1)

• Trame 1
• ff ff ff ff ff ff 00 60 08 61 04 7b 08 06 00 01
  08 00 06 04 00 01 00 60 08 61 04 7b 0a 0a 9f 02
  00 00 00 00 00 00 0a 0a 01 01
• Trame 2
• 00 60 08 61 04 7b 00 01 02 af f5 e2 08 06 00 01
  08 00 06 04 00 02 00 01 02 af f5 e2 0a 0a 01 01
  00 60 08 61 04 7b 0a 0a 9f 02 00 00 00 00 00 00
  00 00 00 00 00 00 00 00 00 00 00 00
• Les suites hexadécimales ci-dessus correspondent
  à deux trames ETHERNET interceptées par un
  logiciel danalyse de trames. En vous aidant des
  formats de trames fournis en annexe déterminer 
• -         Les types et valeurs des adresses des
  machines émettrices et destinataires
• -         Le(s) protocole(s) concernés par ces
  trames
• -         Lobjectif de cet échange par rapport à
  IP

28

• Exercice 1
• Trame 1
• ff ff ff ff ff ff /00 60 08 61 04 7b /08
  06 Entête Ethernet
• 00 01 /08 00 /06 /04 /00 01 /00 60 08 61 04
  7b /0a 0a 9f 02 /00 00 00 00 00 00 /0a 0a 01
  01 entête ARP
•  
• Source            Destination      
  Signification
• 00600861047b      Toutes machines   Qui
  connaît ladresse physique de 10.10.1.1 ?
• Trame 2
• 00 60 08 61 04 7b /00 01 02 af f5 e2 /08
  06 Entete etherne
• 00 01 /08 00 /06 /04 /00 02 /00 01 02 af f5 e2
  /0a 0a 01 01 /00 60 08 61 04 7b /0a 0a 9f
  02 entete ARP
• 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
  00 00
• Source            Destination      
  Signification
• 000102aff5e2      00600861047b      Ladresse
  physique de 10.10.1.1 est 00 01 02
  af f5 e2
• En résumé par cet échange votre machine sadresse
  au sous-réseau pour demander ladresse MAC de la
  passerelle.

29
Arp Request
30
Arp Reply