Upload
houssem1993
View
18
Download
0
Embed Size (px)
DESCRIPTION
TP4 TCP/IP
Citation preview
Protocoles TCP/IP TP N°4
RH-INSAT-2015/2016 1 / 5
TP4 - Scan de ports et de
services réseaux & analyse de
TCP three way handshake
Formateur: Raki HAMMAMI
Protocoles TCP/IP TP N°4
RH-INSAT-2015/2016 2 / 5
Scan de ports et de services réseaux & Analyse du TCP 3 way handshake
A-Scan de ports et de service réseau
Nmap est un scanner de ports open source distribué par Insecure.org. Il est conçu pour
détecter les ports ouverts, identifier les services hébergés et obtenir des informations sur le
système d'exploitation d'un ordinateur distant. Ce logiciel est devenu une référence pour les
administrateurs réseaux car l'audit des résultats de Nmap fournit des indications sur la sécurité
d'un réseau. Il est disponible sous Windows, Mac OS X, Linux, BSD et Solaris. L'utilistion de
nmap en ligne de commande étant assez complexe au vu du nombre d'options possibles nous
utiliserons une interface graphique (zenmap pour Linux ou dotnmap pour windows).
LAB Pour les machines sous Linux, installer le scanneur de ports nmap via les commandes ci-dessous : #bzip2 -cd nmap-5.51.tar.bz2 | tar xvf - #cd nmap-5.51 #./configure #make #su root #make install Ou plus tout simplement #apt-get install nmap Pour les machines sous Windows, installer la version graphique Zenmap depuis le site https://namp.org Vous pouvez consulter la liste ddes options possibles via la commande : #nmap –h Parmi les options utiles, -O permet de deviner quel est le type d’une machine, -sS permet de faire un test de ports assez rapide, -P0 permet de faire un test même si la machine ne répond pas au ping. Quelques types de scan utilisés par Nmap : TCP SYN Scan –sS Cela démarre le TCP 3 way handshake TCP, mais ne le completepas. Par conséquent, il est aussi appelé le "STEALTH SCAN" ou " half open scanning».
Protocoles TCP/IP TP N°4
RH-INSAT-2015/2016 3 / 5
TCP Connect -sT Ce scan complète le TCP 3 way handshake – cela veut dire que la victime prend les détails de votre IP. Ceci est type de scan le plus fiable pour votre réseau, ou si vous êtes autorisé à utiliser des scans. Cependant, en tant que hacker ce n’est pas le type de scan à utiliser comme vous allez être détecté par la victime.
Ping Scan -sP Cela envoi une requête ICMP echo request, et il attend une réponse ICMP echo reply. Plusieurs systèmes ont des Firewalls qui bloquent les paquets ICMP.
UDP Scan -sU Cela envoi un paquet UDP à sa victime et attend un UDP reply. UDP est un protocole non connecté. Il faut pas oublier que TCP port 80, est totalement diffèrent de UDP port 80.
1. Scanner une machine de votre réseau 192.168.1.X et analyser les résultats 2. Demander un scan sur une étendue de ports allant de 0 à 300 avec l'option Connect
et capturer les trames échangées avec wireshark.
Protocoles TCP/IP TP N°4
RH-INSAT-2015/2016 4 / 5
3. Visualiser le résultat, quels sont les ports mis en jeu. En utilsant un filtrage adapté, sur l'affichage de wireshark, monter le mécanisme de communication (échange des trames) mis en jeu dans le cas où le port est ouvert et dans le cas ou le port ne l'est pas.
4. Tester avec la commande telnet quelques ports ouverts. 5. Qu'est ce qu'un port ouvert ? 6. Tester un scan sur des ports UDP 7. Quelle la différence entre les aspects closed et filtered ? 8. Quelle commande utiliser vous pour déterminer quels sont les machines base de
données (Oracle, MSSqlServer) ?
B-Analyse du TCP Three--‐way handshake
LAB
- Entrer l’adresse suivante : http://www.insat.rnu.tn/dans le navigateur, dès que la
page est chargée, arrêter la capture dans Wireshark.
Identifier le premier segment TCP qui ouvre la connexion HTTP en utilisant le
mécanisme three--‐ way handshake.
1. Quel est le numéro de port TCP de destination utilisé par le client, est ce qu’il
correspond à un port well--‐known TCP.
2. Quelle est la taille de l’en--‐tête du segment TCP ?
3. Quelle est la longueur du segment TCP ? pourquoi ?
4. Quel est le numéro de séquence TCP du premier paquet (du client vers le serveur)
? Quelle est la taille de la fenêtre TCP annoncée par le client ? quelle est sa
signification ?
Identifier le deuxième segment TCP appartenant au three--‐way handshake
5. Donner la valeur des champs suivants :
a. Adresse Source et Destination ainsi que le champ type de la trame Ethernet
b. Adresse Source et Destination ainsi que le numéro (en héxa) du protocole contenu
dans le paquet IP
c. Le numéro de l’acquittement contenu dans le segment TCP
6. Quelle est la taille du segment TCP (le segment que vous avez identifié) ? 15.
Quel est le numéro de séquence initial (serveur vers le client) ?
7. Quelle est la valeur de la fenêtre TCP annoncée par le serveur ?
8. A partir des deux paquets SYN et SYN--‐ACK, déterminer la taille du MSS
(Maximum Segment Size) accepté par le serveur et le client ? Déduisez la taille du
MTU du lien physique utilisé par le serveur et le client ?
Protocoles TCP/IP TP N°4
RH-INSAT-2015/2016 5 / 5
Identifier le dernier segment TCP appartenant au three--‐way handshake
9. Identifier dans ce segment TCP
a. Le numéro d’acquittement ainsi que le numéro de séquence
b. La taille de la fenêtre TCP
Pour une meilleure lisibilité des numéros de séquences, on va demander à
Wireshark de redessiner la conversation dans un graphe. Utiliser (Statistics Flow
Graph)
10. En vous basant sur les segments qui suivent le three handshak, relevez le
contenu des champs numéro de séquence et numéro d’acquittement et déduisez
comment ces valeurs évoluent avec le temps ? aidez-vous d’un schéma.
Le paquet HTTP 200 OK est une réponse à la requête GET du client. Il contient la
taille de la page demandée, c'est à dire les données applicatives qui vont suivre du
serveur vers le client ainsi que d’autres informations relatives au serveur.
11. En analysant l'en-tête HTTP du 200 OK, relevez le type du serveur web distant et
son système d’exploitation ?