Identifier la source, le destinataire et le protocole applicatif encapsulé dans la trame ethernet ci-dessous
Exercice 1 : Observation
Exercice 2 : Utilisation de WireShark
Pour capturer le trafic qui entre et sort par la carte réseau, on utilise un logiciel libre spécifique : WireShark.
Aperçu rapide de WireShark
- La première ligne ou niveau Frame correspond à une pseudo couche physique. A ce niveau, les informations disponibles sont : la quantité de bits capturés et la date de capture.
- La deuxième ligne correspond au niveau liaison. On y détaille le type et les champs de la trame et les adresses physiques.
- La troisième ligne correspond au niveau réseau. On y détaille les champs du protocole réseau reconnu : adresses logiques et indicateurs d'état.
- La quatrième ligne correspond au niveau transport. On y détaille les champs du protocole de transport reconnu : état de la connexion, numéros de ports utilisés et diverses options.
- La cinquième ligne correspond au niveau application. On y trouve les données utilisateur.
Manipulations
- Lancer Wireshark
- Dans la case filtre, écrire http. Ainsi, on ne gardera que ce qui concerne les pages web.
- Lancer un navigateur
- Lancer la capture de votre carte réseau
- Aller sur l'ENT de votre lycée, bien prendre un site non sécurisé (non https) si vous souhaitez changer de site
- Stopper ensuite la capture et visualiser les trames échangées
- Relancer la capture de trafic
- Taper un mot (
MOT) présent en page d'accueil dans le moteur de recherche et cliquer sur Rechercher - Dans la fenêtre n°2, trouver la ligne
Form item: "QUERY" = "MOT" - Dans la fenêtre n°3, la zone correspondante apparaît en bleu. Dans ce code hexadécimal se cache votre MOT. A vous de le retrouver en vous aidant d'un site de conversion ASCII/hexadecimal
Sécurité des trames Ethernet
- Lancer Wireshark et filtrer le protocole http
- Ouvrez l'url suivante : http://lyceeplainedelain.fr/isn/
- Le site demande un login (isn) et un mot de passe (2013)
- Filtrez les messages HTTP uniquement. Quelle opération HTTP a été effectuée? Que lui a répondu le serveur ?
- Dans la fenêtre de protocoles, chercher le champ d'authentification (Authorization). Avec l'outil en ligne http://www.dolcevie.com/js/converter.html, retrouver le codage hexadecimal correspondant à cette information et vérifier la correspondance dans la trame de wireshark.
- Parmi ces informations de description se trouve les informations d'authentification. Retrouver le login et le mot de passe.
- Renouvellez l'opération mais avec l'adresse suivante :https://lyceeplainedelain.fr/isn/.
Le filtre à utiliser ne sera plus
httpmaisssl - Explicitez rapidement les différents échanges
- Retrouvez, dans la fenêtre des protocoles, les informations d'authentification...
- Une piste ?
- Éléments de réponses
Le mot de passe est chiffré et se trouve sur la ligne
La technique utilisée est celle du .htaccess sur le serveur Apache du serveur Web :
https://fr.wikipedia.org/wiki/.htaccess#La_s.C3.A9curisation_d.27un_r.C3.A9pertoire_ou_d.27un_fichier_par_mot_de_passe
Authorization.
La technique utilisée est celle du .htaccess sur le serveur Apache du serveur Web :
https://fr.wikipedia.org/wiki/.htaccess#La_s.C3.A9curisation_d.27un_r.C3.A9pertoire_ou_d.27un_fichier_par_mot_de_passe
Le couple login:mot de passe contenu dans la trame est le suivant : aXNuOjIwMTM.
Il est encodé au format Base64 qui, décodé, donne : 'isn:2013'.
En apprendre plus : https://tools.ietf.org/html/rfc2617#section-2
Concernant l'adresse en https, il s'agit d'une adresse avec un certificat qui chiffre la connexion entre le navigateur et le serveur. Ainsi, on ne peut pas intercepter des contenus, comme des mots de passe.