Protocoles TCP/IP TP N°4

RH-INSAT-2015/2016 1 / 5

TP4 - Scan de ports et de

services réseaux & analyse de

TCP three way handshake

Formateur: Raki HAMMAMI

Protocoles TCP/IP TP N°4

RH-INSAT-2015/2016 2 / 5

Scan de ports et de services réseaux & Analyse du TCP 3 way handshake

A-Scan de ports et de service réseau

Nmap est un scanner de ports open source distribué par Insecure.org. Il est conçu pour

détecter les ports ouverts, identifier les services hébergés et obtenir des informations sur le

système d'exploitation d'un ordinateur distant. Ce logiciel est devenu une référence pour les

administrateurs réseaux car l'audit des résultats de Nmap fournit des indications sur la sécurité

d'un réseau. Il est disponible sous Windows, Mac OS X, Linux, BSD et Solaris. L'utilistion de

nmap en ligne de commande étant assez complexe au vu du nombre d'options possibles nous

utiliserons une interface graphique (zenmap pour Linux ou dotnmap pour windows).

LAB Pour les machines sous Linux, installer le scanneur de ports nmap via les commandes ci-dessous : #bzip2 -cd nmap-5.51.tar.bz2 | tar xvf - #cd nmap-5.51 #./configure #make #su root #make install Ou plus tout simplement #apt-get install nmap Pour les machines sous Windows, installer la version graphique Zenmap depuis le site https://namp.org Vous pouvez consulter la liste ddes options possibles via la commande : #nmap –h Parmi les options utiles, -O permet de deviner quel est le type d’une machine, -sS permet de faire un test de ports assez rapide, -P0 permet de faire un test même si la machine ne répond pas au ping. Quelques types de scan utilisés par Nmap : TCP SYN Scan –sS Cela démarre le TCP 3 way handshake TCP, mais ne le completepas. Par conséquent, il est aussi appelé le "STEALTH SCAN" ou " half open scanning».

Protocoles TCP/IP TP N°4

RH-INSAT-2015/2016 3 / 5

TCP Connect -sT Ce scan complète le TCP 3 way handshake – cela veut dire que la victime prend les détails de votre IP. Ceci est type de scan le plus fiable pour votre réseau, ou si vous êtes autorisé à utiliser des scans. Cependant, en tant que hacker ce n’est pas le type de scan à utiliser comme vous allez être détecté par la victime.

Ping Scan -sP Cela envoi une requête ICMP echo request, et il attend une réponse ICMP echo reply. Plusieurs systèmes ont des Firewalls qui bloquent les paquets ICMP.

UDP Scan -sU Cela envoi un paquet UDP à sa victime et attend un UDP reply. UDP est un protocole non connecté. Il faut pas oublier que TCP port 80, est totalement diffèrent de UDP port 80.

1. Scanner une machine de votre réseau 192.168.1.X et analyser les résultats 2. Demander un scan sur une étendue de ports allant de 0 à 300 avec l'option Connect

et capturer les trames échangées avec wireshark.

Protocoles TCP/IP TP N°4

RH-INSAT-2015/2016 4 / 5

3. Visualiser le résultat, quels sont les ports mis en jeu. En utilsant un filtrage adapté, sur l'affichage de wireshark, monter le mécanisme de communication (échange des trames) mis en jeu dans le cas où le port est ouvert et dans le cas ou le port ne l'est pas.

4. Tester avec la commande telnet quelques ports ouverts. 5. Qu'est ce qu'un port ouvert ? 6. Tester un scan sur des ports UDP 7. Quelle la différence entre les aspects closed et filtered ? 8. Quelle commande utiliser vous pour déterminer quels sont les machines base de

données (Oracle, MSSqlServer) ?

B-Analyse du TCP Three--‐way handshake

LAB

- Entrer l’adresse suivante : http://www.insat.rnu.tn/dans le navigateur, dès que la

page est chargée, arrêter la capture dans Wireshark.

Identifier le premier segment TCP qui ouvre la connexion HTTP en utilisant le

mécanisme three--‐ way handshake.

1. Quel est le numéro de port TCP de destination utilisé par le client, est ce qu’il

correspond à un port well--‐known TCP.

2. Quelle est la taille de l’en--‐tête du segment TCP ?

3. Quelle est la longueur du segment TCP ? pourquoi ?

4. Quel est le numéro de séquence TCP du premier paquet (du client vers le serveur)

? Quelle est la taille de la fenêtre TCP annoncée par le client ? quelle est sa

signification ?

Identifier le deuxième segment TCP appartenant au three--‐way handshake

5. Donner la valeur des champs suivants :

a. Adresse Source et Destination ainsi que le champ type de la trame Ethernet

b. Adresse Source et Destination ainsi que le numéro (en héxa) du protocole contenu

dans le paquet IP

c. Le numéro de l’acquittement contenu dans le segment TCP

6. Quelle est la taille du segment TCP (le segment que vous avez identifié) ? 15.

Quel est le numéro de séquence initial (serveur vers le client) ?

7. Quelle est la valeur de la fenêtre TCP annoncée par le serveur ?

8. A partir des deux paquets SYN et SYN--‐ACK, déterminer la taille du MSS

(Maximum Segment Size) accepté par le serveur et le client ? Déduisez la taille du

MTU du lien physique utilisé par le serveur et le client ?

Protocoles TCP/IP TP N°4

RH-INSAT-2015/2016 5 / 5

Identifier le dernier segment TCP appartenant au three--‐way handshake

9. Identifier dans ce segment TCP

a. Le numéro d’acquittement ainsi que le numéro de séquence

b. La taille de la fenêtre TCP

Pour une meilleure lisibilité des numéros de séquences, on va demander à

Wireshark de redessiner la conversation dans un graphe. Utiliser (Statistics Flow

Graph)

10. En vous basant sur les segments qui suivent le three handshak, relevez le

contenu des champs numéro de séquence et numéro d’acquittement et déduisez

comment ces valeurs évoluent avec le temps ? aidez-vous d’un schéma.

Le paquet HTTP 200 OK est une réponse à la requête GET du client. Il contient la

taille de la page demandée, c'est à dire les données applicatives qui vont suivre du

serveur vers le client ainsi que d’autres informations relatives au serveur.

11. En analysant l'en-tête HTTP du 200 OK, relevez le type du serveur web distant et

son système d’exploitation ?