Professional Documents
Culture Documents
Vigneau FR1
dition 02/2005
1 Cours
de M.Lalitte
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
1 La
ou
he 1
1.1 Le
blage . . . . . . . . . . . . . . . . .
1.1.1 Les paires torsades . . . . . . .
1.1.2 Les paires torsades blindes . .
1.1.3 Le
ble
oaxial ave
prise BNC
1.1.4 La bre optique . . . . . . . . . .
1.1.5 Les ondes hertziennes . . . . . .
1.1.6 Les lasers . . . . . . . . . . . . .
1.2 Organisation de la
ommuni
ation . . .
1.2.1 Le bus . . . . . . . . . . . . . . .
1.2.2 L'anneau . . . . . . . . . . . . .
1.2.3 L'toile . . . . . . . . . . . . . .
1.3 Les
ollisions sur un bus . . . . . . . . .
1.4 Le bran
hement de deux ma
hines . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
9
9
9
9
9
10
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
11
11
11
12
12
13
13
13
13
14
14
15
15
17
2 La
ou
he 2
2.1 Le proto
ole Ethernet et l'adresse MAC . .
2.2 La trame Ethernet . . . . . . . . . . . . . .
2.2.1 Des
ription de la trame . . . . . . .
2.2.2 Taille de la trame . . . . . . . . . . .
2.3 Les
ollisions sur un HUB . . . . . . . . . .
2.4 Collisions sur un swit
h . . . . . . . . . . .
2.4.1 Prsentation du problme . . . . . .
2.4.2 Con
lusion . . . . . . . . . . . . . .
2.5 Les VLAN - Virtual Lo
al Area Network -.
2.5.1 Intrt du VLAN . . . . . . . . . . .
2.5.2 Ports Trunk . . . . . . . . . . . . . .
2.5.3 Attaque possible . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
19
19
19
19
20
20
22
22
22
23
23
23
23
3 La
ou
he 3
3.1 Adresses IP rseau et adresses IP ma
hine . . . . . . . . . . . . . . . . . . . . . . . . .
3.1.1 L'adresse IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.1.2 Le masque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
25
25
25
25
.
.
.
.
.
.
.
.
.
.
.
.
.
3.2
3.3
3.4
3.5
3.6
3.7
Le datagramme ou paquet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
26
3.2.1
Le datagramme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
26
Le routage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
27
3.3.1
Table de routage
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
27
3.3.2
Exer i e . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
28
3.3.3
29
29
3.4.1
Adresses rserve
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
29
3.4.2
Exemple . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
29
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
30
3.5.1
Problmatique
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
30
3.5.2
Passage IPv6
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
30
3.5.3
L'adressage CIDR
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
30
3.5.4
30
3.5.5
30
3.5.6
Exer i e pratique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Exer i e
. . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
31
32
3.6.1
non
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
32
3.6.2
Corre tion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
32
3.6.3
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
33
ICMP
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
33
3.7.1
Messages ICMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
34
3.7.2
34
. . . . . . . . . . . . . . . . . . . . . . . . .
4 La ou he 4
35
4.1
35
4.2
Les adresses de ou he 4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
35
36
4.3
4.4
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4.3.1
4.3.2
Datagramme UDP
4.3.3
. . . . . . . . . . . . . . . . . . . . . . . .
36
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
36
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
36
36
4.4.1
36
4.4.2
Segment TCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
37
4.4.3
Remarque . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
37
39
5.1
39
5.2
Historique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
39
5.3
39
5.4
41
5.5
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
41
5.5.1
Requte DNS
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
41
5.5.2
Exemple . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
42
5.5.3
Exemple d'attaque
5.6
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
42
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
42
5.6.1
. . . . . . . . . . . . . . . . . . . . . . .
42
5.6.2
Exemple . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
42
5.7
Types d'enregistrements
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
43
5.8
Types de serveurs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
44
5
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
6.1 L'en-tte IP . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.1.1 Des
ription de l'en-tte . . . . . . . . . . . . . . . .
6.1.2 Remarques sur l'ID et le Fragment oset . . . . . . .
6.2 La fragmentation . . . . . . . . . . . . . . . . . . . . . . . .
6.2.1 Prsentation . . . . . . . . . . . . . . . . . . . . . . .
6.2.2 Champs de l'en-tte IP
on
ernant la fragmentation
6.2.3 Question . . . . . . . . . . . . . . . . . . . . . . . . .
6.3 Exer
i
e d'appli
ation . . . . . . . . . . . . . . . . . . . . .
6.3.1 non
. . . . . . . . . . . . . . . . . . . . . . . . .
6.3.2 Corrig . . . . . . . . . . . . . . . . . . . . . . . . .
6.4 Gestion du ag DF . . . . . . . . . . . . . . . . . . . . . . .
6.5 Exemple d'attaque utilisant la fragmentation . . . . . . . .
6.6 Inuen
e de la MTU . . . . . . . . . . . . . . . . . . . . . .
Retour sur le proto
ole TCP
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
44
44
44
44
44
47
47
47
47
49
49
49
50
50
50
50
51
52
52
53
53
53
54
54
55
55
55
55
56
56
57
57
57
57
57
57
58
58
59
59
60
60
61
61
62
62
62
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
62
62
.
.
.
.
.
.
.
.
.
.
.
63
63
63
63
63
63
63
64
65
65
66
66
.
.
.
.
.
.
.
.
.
.
.
.
.
67
67
67
68
68
68
68
68
69
69
69
69
69
70
.
.
.
.
.
.
.
.
.
.
.
.
.
71
71
71
71
71
72
72
73
73
73
73
74
76
76
7
.
.
.
.
.
.
.
77
77
77
77
78
78
79
79
C Fibres optiques
C.1 Prin
ipe de fon
tionnement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
C.2 Les trois types de bre optique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
C.3 Les
onne
tions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
81
81
82
84
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Introdu
tion
0.1
0.1.1
Historique
L'ide rvolutionnaire
En 1962, en pleine guerre froide,
ons
iente de la vulnrabilit de son organisation
entralise, l'US
Air For
e demande un petit groupe de
her
heurs de
rer un rseau de
ommuni
ation militaire
apable de rsister une attaque nu
laire. Le
on
ept de
e rseau reposait sur un systme d
entralis,
permettant au rseau de fon
tionner malgr la destru
tion de une ou plusieurs ma
hines.
0.1.2
Le modle de Baran
Paul Baran est
onsidr
omme un des a
teurs prin
ipaux de la
ration d'Internet. Il eu l'ide,
en 1964, de
rer un rseau sous forme de grande toile. Il avait ralis qu'un systme
entralis tait
vulnrable
ar la destru
tion de son noyau provoquait l'anantissement des
ommuni
ations. Il mit don
au point un rseau hybride d'ar
hite
tures toiles et mailles dans lequel les donnes se dpla
eraient
de faon dynamique, en
her
hant le
hemin le moins en
ombr, et en patientant si toutes les
routes taient en
ombres. Cette te
hnologie fut appel pa
ket swit
hing .
0.1.3
L'ARPANET
En 1969, le rseau exprimental ARPANET fut
r par l'ARPA - Advan
ed Resear
h Proje
ts
Agen
y dpendant du DOD, Department of Defense - an de relier quatre instituts universitaires :
le Stanford Institute,
l'universit de Californie Los Angeles,
l'universit de Californie Santa Barbara,
l'universit d'Utah.
Le rseau ARPANET est aujourd'hui
onsidr
omme le rseau pr
urseur d'Internet. Il
omportait
dj l'poque
ertaines
ara
tristiques fondamentales du rseau a
tuel :
Un ou plusieurs noeuds du rseau pouvait tre dtruits sans perturber son fon
tionnement ;
La
ommuni
ation entre ma
hines se faisait sans ma
hine
entralise intermdiaire ;
Les proto
oles utiliss taient basiques.
0.1.4
Le ourrier le tronique
En 1972 Ray Tomlinson mit au point un nouveau mode de
ommuni
ation : le
ourrier le
tronique.
Le
ontenu de
e premier e-mail tait le suivant : QWERTYUIOP Par ailleurs, le
ara
tre servait
dj sparer le nom de l'utilisateur du nom de la ma
hine dans les adresses. En juillet 1972, Lawren
e
G. Roberts amliora les possibilits ouvertes par Ray Tomlinson en dveloppant la premire appli
ation
permettant de lister, de lire de manire sle
tive, d'ar
hiver, de rpondre ou de faire suivre un e-mail.
Ds lors, la messagerie le
tronique n'aura de
esse de
rotre, pour devenir la prin
ipale utilisation du
rseau des rseaux au dbut du XXIe si
le. C'est galement en o
tobre 1972 que le rseau ARPANET
9
10
fut prsent pour la premire fois au grand publi
, lors de la
onfren
e ICCC - International Computer
Communi
ation Conferen
e -. A
ette mme poque, l'ARPA devint le DARPA - Defense Advan
ed
Resear
h Proje
ts Agen
y - et le terme internetting est utilis pour dsigner l'ARPANET, devenant
alors un embryon d'Internet.
0.2
Pour
on
evoir
e rseau ils sont partis de l'observation du monde et des moyens de
ommuni
ation de l'poque -tlphone, poste, parole ...- et ils ont fait, pour
ha
un d'eux, l'inventaire de
e
qui tait n
essaire leur mise en oeuvre. Ils ont ensuite fusionn
es modles pour dterminer des
ara
tristiques gnrales :
le mdia : l, air...
le proto
ole : langage.
l'metteur
le r
epteur
7
6
5
4
3
2
1
APPLICATION
PRSENTATION
SESSION
TRANSPORT
RSEAU
LIAISON
PHYSIQUE
La
ou
he 1
La
La
La
En eet le rseau est au servi
e des appli
ations. l'heure a
tuelle les
ou
hes
inq et six sont intgres
la
ou
he appli
ation. Pour garantir l'indpendan
e des
ou
hes entre elles, une
ou
he ne peut
ommuniquer dire
tement qu'ave
une
ou
he
ontigu.
1
En fait le modle OSI date de 1984. Le rseau s'est appuy sur le modle TCP/IP dont il est en ore aujourd'hui la
rfren
e. Ce n'est que par la suite que le modle OSI est apparu, reprenant les ides du modle TCP/IP et largissant
les perspe
tives possibles en terme de rseau
Chapitre 1
La
ou
he 1
Rle :
1.1
1.1.1
Le
blage
Les paires torsades
C'est un
ble
onstitu de quatre paires torsades. Il ne faut pas
onfondre le
ble et la prise qui
est au bout (prise RJ45).
Fig.
Fig.
12
CHAPITRE 1.
LA COUCHE 1
Les paires sont torsades deux deux pour diminuer l'inuen
e des perturbations le
tromagntiques.
1.1.2
Ce sont des paires torsades dotes d'une gaine mtallique entourant le
ble. Elles sont nommes :
10 BT -lire 10 base T 100 BT
100 BTx
1000 BT
1000 BF
Le
hire reprsente le dbit maximum support en mgabits par se
onde. La lettre B dsigne la bande
de base1 ,
'est la manire dont sont
odes les informations qui transitent sur le
ble. La dernire
lettre dsigne le support :
T : paire torsade.
F : bre optique.
Dans les
bles de type 1000 BT on peut utiliser
ertains ls non relis la base.
1.1.3
Fig.
Fig.
Il est nomm :
10 B 2
10 B 5
Le se
ond est le plus an
ien et utilise le phnomne d'onde stationnaire, il faut don
se
onne
ter
ertains endroits, au niveau des ventres de l'onde, en utilisant des prises vampires. Le dernier
hire de la dnomination - 2 ou 5 -
orrespond la longueur maximale de
ble utilisable, exprime
en
entaines de mtres - 2 pour 200m -. Le
ble
oaxial n'est presque plus utilis de nos jours.
1
voir B page 77
1.2.
ORGANISATION DE LA COMMUNICATION
13
1.2
La
ou
he 1 assure le support de la
ommuni
ation,mais aussi organise
ette
ommuni
ation entre
les ma
hines sur le rseau - la topologie rseau ou
omment
onne
ter les ma
hines-.
On a trois topologies direntes : le bus, l'anneau et l'toile.
2
14
CHAPITRE 1.
1.2.1
LA COUCHE 1
Le bus
Fig.
C'est un
ble sur lequel toutes les ma
hines sont
onne
tes. On pla
e
haque extrmit du bus
un bou
hon destin prvenir les rexions en bout de
ble. Si deux personnes parlent la fois sur
le rseau il y a interfren
e entre les deux messages, qui sont don
perdus. Ce phnomne est appel
ollision. Pour l'viter une seule personne doit parler la fois sur le bus. Don
plus il y a de ma
hines,
plus les
ommuni
ations sont di
iles.
Limitations
1. Nombre de ma
hines : li l'en
ombrement du rseau,
2. longueur de bus :
ette limitation est lie l'attnuation le long du bus et la dte
tion des
ollisions -
f
ou
he 2-.
1.2.2
L'anneau
Fig.
Les ma
hines sont relies un
ble
ir
ulaire -d'o l'appellation d'anneau-. Pour prvenir les
ollisions un jeton
ir
ule sur l'anneau. Quand une ma
hine veut parler, elle prend le jeton, le
remplit ave
les donnes, et l'envoi sur le rseau. Il est d
harg par la ma
hine destinataire puis remis
disposition du rseau.
Limitations
1. Nombre de ma
hines : li l'en
ombrement du rseau -une ma
hine parle la fois-,
2. longueur de bus :
ette limitation est lie l'attnuation le long de l'anneau et au temps de
ir
ulation du jeton.
1.3.
15
on
lusion
Bien qu'une seule ma
hine soit
apable de parler en mme temps sur le rseau le dbit obtenu est
suprieur
elui du bus.
1.2.3
L'toile
Les ma
hines sont relies un noeud
entral. En fon
tion de l'quipement ralisant
e noeud on
peut faire
ommuniquer les ma
hines deux deux sans interfren
e.
Fig.
Limitations
1. Nombre de ma
hines : lie au type d'quipement ralisant la
onnexion
entrale,
2. longueur de bus :
ette limitation est lie l'attnuation le long du
ble reliant la ma
hine au
noeud
entral - de l'ordre de 100 m -.
on
lusion
Aujourd'hui la topologie en toile est la plus dveloppe
ar elle est la plus souple d'emploi. Il est
galement possible de raliser des topologies hybrides.
Fig.
1.3
Une
ollision est l'interfren
e entre deux paquets mis par deux ma
hines direntes. Il en rsulte
la perte des informations transmises, il faut don
les traiter. Pour grer les
ollisions on utilise la
mthode CSMA/CD - Carrier Sens Multiple A
ess / Collision Dete
tion -. Celle-
i
onsiste
outer
en permanen
e le bus - pour dte
ter les
ollisions et l'o
upation du rseau - pour parler quand le bus
16
CHAPITRE 1.
LA COUCHE 1
est libre. Aprs l'mission on
oute les ventuelles
ollisions. Si une
ollision est dte
te le paquet est
r-mis aprs un temps alatoire -
e qui permet de sparer les r-missions des direntes ma
hines -.
Ecoute
Media
occupe
OUI
Attente
aleatoire
dt
NON
Parle
OK
NON
Fig.
Detection
de collision
OUI
1.4.
17
Nb de machines
60
Temps de convergence
Fig.
1.4
Le bran
hement est ralis l'aide d'un
ble de paires torsades. Mais si les deux ma
hines sont
bran
hes dire
tement,
onsidrant qu'une paire est utilise en mission et une paire en r
eption, il
ne faut pas oublier de
roiser les paires. Ainsi la ma
hine A met sur la paire 1 qui est bran
he en
r
eption sur la ma
hine B et inversement.
Fig.
En revan
he si on est bran
h n un hub on utilise un
ble droit,
'est le hub qui est
bl
rois
en interne pour assurer la liaison entre les ma
hines. Il est plus simple d'utiliser un
ble droit et il y a
plus de
onnexions entre matriels de types dirents qu'entre matriels de mme type,
'est pourquoi
ette
onvention a t retenue.
18
CHAPITRE 1.
Fig.
Cable droit
Fig.
LA COUCHE 1
Chapitre 2
La
ou
he 2
Rle : Elle est
harge de grer les
onnexions sur un rseau lo
al, et de dte
ter les erreurs
de transmission. Il faut dnir un proto
ole, une norme, qui xe les rgles de
ommuni
ation. Les
proto
oles les plus rpandus sont : Ethernet, Token-ring et FDDI.
2.1
Il existe un identiant de
haque matriel ou ma
hine : l'adresse MAC -Medium a
ess
ontrol. Elle se
ompose de six o
tets, et s'
rit en hexad
imal, les o
tets tant spars par le
ara
tre
: . Exemple : 12 :B4 :C8 :EF :22 :C6 Les trois premiers o
tets
orrespondent au
onstru
teur,
et les trois derniers au matriel. L'adresse MAC de
haque matriel est unique dans le monde. Pour
garantir
ette uni
it les trois premiers o
tets identient le
onstru
teur et
elui
i gre les trois derniers
qui identie un matriel donn -
haque ma
hine possde don
un identiant unique-. Lorsque le
onstru
teur a puis toutes les adresses qui lui taient dvolues un nouveau triplet
onstru
teur lui
est attribu. 268 = 248 adresses MAC sont ainsi disponibles. En fait il y en a :une de moins, l'adresse
nulle tant ex
lue. Une adresse joue est rserve et joue un rle parti
ulier : l'adresse de broad
ast,
FF :FF :FF :FF :FF :FF, qui permet d'adresser toutes les ma
hines d'un rseau lo
al.
2.2
2.2.1
La trame Ethernet
Des
ription de la trame
MAC dest
MAC sr
Tab.
Proto ole 3
DATA
CRC
Les
hamps MAC dest, MAC sr
, Proto
ole 3 et CRC
onstituent l'en tte Ethernet, elle mesure
18 o
tets. Des
ription des
hamps :
MAC dest : est l'adresse MAC de la ma
hine destinataire - 6 o
tets -,
MAC sr
: est l'adresse MAC de la ma
hine mettri
e - 6 o
tets -,
Proto
ole 3 : indique le proto
ole utilis par la
ou
he suprieure pour
oder les informations. Cette
information est n
essaire pour que la trame DATA soit bien d
ode la r
eption - 2 o
tets -,
? : il y a eu plusieurs normes Ethernet, et dans
ertaines il y avait des informations
et empla
ement.
Ave
la norme a
tuelle - norme RFC 802 -
e n'est plus le
as. En fait il y a plusieurs normes
dsignes RFC 802.xx, o xx dsigne la norme parti
ulire adapte un type de rseau lo
al
donn - wi par exemple -.
19
20
CRC
CHAPITRE 2.
LA COUCHE 2
:
'est un
ode de
ontrle d'erreur dont le
al
ul s'ee
tue au fur et mesure que la trame est
envoye. Il n'est don
disponible qu'une fois la trame entirement ralise,
'est pourquoi il est
pla
en queue de trame, aprs le DATA. la r
eption le
al
ul s'ee
tue de la mme faon
au
ours de la r
eption puis le rsultat est
ompar la valeur sto
ke dans le
ode CRC de la
trame. Ce
al
ul se faisant bit bit il est n
essaire que le rsultat soit la n. Ce
ode permet
de dte
ter les erreurs mais pas de les
orriger. Ce
hamps o
upe 4 o
tets.
2.2.2
Taille de la trame
Nous avons dj vu que l'en tte faisait dix huit o
tets. La norme dnit une taille maximale et
une taille minimale. La limite suprieure, dnie pour ne pas monopoliser le rseau, est xe 1518
o
tets - 1500 o
tets de donnes et 18 o
tets d'en tte -. Cette taille maximale peut tre modie. La
taille minimale - 64 o
tets,46 o
tets de donnes et 18 o
tets d'en tte - a t xe pour que, sur un
bus, le premier o
tet mis ait atteint la destination la plus lointaine du rseau avant que la trame ne
soit entirement mise. Cette restri
tion permet de dte
ter les
ollisions.
2.3
Fig.
Quand la ma
hine A met une trame,
elle-
i est re-dirige au niveau du hub vers tous les ordinateurs. Ceux-
i la dte
tent, regardent si elle les
on
erne - gr
e l'adresse MAC de destination -, et
seule la ma
hine
on
erne poursuit le d
odage.
Une amlioration possible est d'utiliser, pour le
oeur du rseau, un matriel
apable de lire le
proto
ole de
ou
he deux - le proto
ole Ethernet - ,don
l'adresse MAC de destination. Il est alors
apable de distribuer la trame lui mme vers le bon destinataire plutt que de l'envoyer toutes les
ma
hines. Un tel quipement s'appelle un SWITCH - ou
ommutateur -. C'est un matriel de
ou
he
2 -
ar il lit le proto
ole de
ou
he 2 -. Le hub - ou
on
entrateur - est lui un quipement de
ou
he
1 -
'est un
ble qui est in
apable de lire le proto
ole de
ou
he 2 et travaille au niveau le
trique
uniquement -.
Pour re-diriger la trame, le swit
h dispose en mmoire d'une table, dite table CAM, qui met en
orrespondan
e une adresse MAC et un numro de port du swit
h. Pour tablir
ette table il lit l'adresse
sour
e des paquets qui lui proviennent et les asso
ient ave
le numro du port sur lequel le paquet est
arriv. C'est pourquoi l'adresse MAC de destination est pla
e en dbut de trame, ainsi les quipements
de
ou
he 2 ne perdent pas de temps lire des informations inutiles pour la
ommutation.
2.3.
21
Don
, si un pirate P met une trame qui
omporte en adresse sour
e l'adresse MAC d'une autre
ma
hine V, le pro
essus de remplissage de la table CAM tant par dfaut dynamique, le swit
h va mettre
jour
ette table en asso
iant MAC de V ave
port du swit
h de P. Il est don
possible de leurrer un
swit
h. Cependant
ette modi
ation ne perdurera que jusqu'
e que V mette une trame, entranant
nouveau la mise jour de la table. Toutefois, en mettant susamment souvent ave
l'adresse MAC
de V en adresse sour
e P peut rafra
hir rgulirement la table et rendre sa modi
ation prenne. De
ette faon le pirate reoit toutes les trames destines V, sa pla
e. Si la table CAM
omporte trop
d'entres elle nit par saturer et le swit
h se
omporte alors
omme un hub,
e qui peut tre intressant
pour espionner le rseau. Amener la table CAM du swit
h saturation en envoyant plein de trame
ave
des adresses MAC direntes s'appelle ooder le swit
h. Si le swit
h ne trouve pas l'adresse MAC
du destinataire dans sa table CAM il transmet la trame tous les ports - broad
ast -. Il est possible
d'avoir plusieurs adresses MAC
orrespondant un mme port. Exemple : Si je relie deux swit
h entre
eux.
2 1
S2
S1
X
Y
Z
Fig.
2.2 swit h
Port 1
MAC Y
MAC Z
Tab.
Le swit
h S1 ne sait pas qu'il est
onne
t un autre swit
h, il sait juste qu'il y a plusieurs
adresses MAC derrire le port 1. Pour envoyer un message de broad
ast il faut utiliser l'adresse de
broad
ast : FF :FF :FF :FF :FF :FF. An d'augmenter la disponibilit du rseau, une ide pourrait
tre de relier deux swit
h par deux
bles. Ainsi en
as de dfaut sur un
ble le se
ond
ontinu
d'assurer la
onnexion.
1
S1
1
A
S2
Z
Fig.
22
CHAPITRE 2.
LA COUCHE 2
Le swit
h rpond la te
hnologie store and forward,
ar il joue le rle de tampon et les paquets
sont traits les uns aprs les autres et mis en relation dire
tement ave
le destinataire. Cependant la
mmoire n'est pas innie et doit tre
alibre en fon
tion de la taille du swit
h et du dbit maximal
du rseau. Par exemple, pour un swit
h de ports 100 Mbits il faut 100 n Mo de mmoire. Celle
i
est appele le fond de panier.
D'autre part ave
des paires torsades, il y a une paire en mission et une paire en r
eption, il n'y
a don
pas de
ollision possible.
2.4.2
Con lusion
En alliant les paires torsades et la te
hnologie store and forward, il n'y a plus de
ollisions possibles.
Il n'est don
plus n
essaire de les traiter - plus de CSMA/CD -. C'est le full duplex. Le taux de transfert
est don
amlior. Ave
une
arte 100Mbits le taux de transfert total peut atteindre jusqu' 200Mbits :
100 en mission et 100 en r
eption. Le CSMA/CD est lui quali de half duplex.
1
Full duplex
Half duplex
Switch1
Full duplex
1
A
HUB1
Half duplex
Half duplex
B
Fig.
Les ports du swit
h doivent tre
ongurs un par un, en full ou half duplex, en fon
tion de
l'quipement
onne
t. Tous les ports d'un hub sont en half duplex,
'est une
ontrainte matrielle.
Pour le swit
h, seul le port reli au hub voit les
ollisions, les autres, tant
ongurs en full duplex,
ne les voient pas. Si le dbit est faible sur le rseau,
'est souvent un problme de
onguration d'un
port du swit
h - mauvaise option entre full et half duplex -. Cette
onguration se fait sur le swit
h
lui-mme, il est alors quali de swit
h administrable .
2.5
2.5.1
23
Aujourd'hui il y a des swit
hs qui
omportent 500 ou 1000 ports.
onomiquement un gros swit
h
est moins onreux que plusieurs petits. Une te
hnologie a don
t dveloppe permettant de sparer
de faon logique les ports entre eux. Certains ports sont regroups au sein d'un VLAN et deux VLAN,
bien qu'appartenant au mme swit
h, ne peuvent
ommuniquer entre eux.
VLAN1
VLAN2
B
Fig.
Dans
e
as si A veut
ommuniquer ave
B
'est impossible. Tout se passe
omme si VLAN1 et
VLAN2 taient deux swit
hs dirents. De mme un broad
ast reste
onn sur son VLAN.
2.5.2
Ports Trunk
Si, disons une universit, dispose d'un
ot de deux rseaux nomms Prof1 et lves1, et dans une
autre partie du btiment de deux autres rseaux nomms Prof2 et lves2, il serait intressant de
pouvoir mettre les deux rseaux Prof en
ommuni
ation, ainsi que les rseaux lves. Il faut don
deux
bles - un par VLAN -,
e qui suppose de tirer
es deux
bles peut tre sur de grandes distan
es. Or
nous disposons d'un seul swit
h de
haque
t il serait don
pratique de pouvoir faire la
onnexion
en utilisant un seul
ble reliant les deux swit
hs. Il a don
t
r les ports Trunk, il y en a un par
swit
h et tous les VLAN du swit
h peuvent y a
der, du moins
eux que l'administrateur autorise.
Pour garder la
ondentialit du VLAN le swit
h de dpart ajoute en tte de trame le numro du
VLAN d'origine :
'est le TAG.
TAG
TRAME ETHERNET
Tab.
Intrt : il n'y a plus qu'un seul
ble. Le proto
ole s'appelle 802.1Q.
Certains
onstru
teurs ont leur propre norme : -CISCO : ISL-, se pose alors le problme de l'inter
onnexion entre deux swit
hs de marque direntes, si au moins un d'entre eux ne respe
te pas la
norme 802.1Q.
2.5.3
Attaque possible
Si je rajoute ma trame Ethernet, le TAG de l'autre VLAN, le swit
h dpart rajoute mon TAG
la trame, que le swit
h arriv d
ode, mais
omme il ne dte
te pas de trame Ethernet il d
ode le
24
CHAPITRE 2.
LA COUCHE 2
se
ond TAG -
elui que j'ai rajout -, don
je peux a
der l'autre VLAN. C'est
e qu'on appelle le
saut de VLAN. Cette faille est, l'heure a
tuelle,
omble.
Le VLAN peut tre
ongur soit par les ports qui lui sont ratta
hs, soit par les adresses MAC,
soit en
ore par une identi
ation - login et password -. Un proto
ole asso
i l'administration des
VLAN est le proto
ole 802.1x. Il permet, suite une authenti
ation, de pla
er un port dans un des
VLANs du swit
h, de faon dynamique.
Chapitre 3
La
ou
he 3
Rle :
Cette
ou
he est responsable de l'inter
onnexion de rseaux lo
aux ainsi que de la fragmentation des datagrammes.
Pour raliser
es t
hes il sera n
essaire de :
dnir un proto
ole,
dnir une adresse, appele adresse IP (IP). Il n'est pas possible d'utiliser l'adresse MAC sinon
les
ou
hes 2 et 3 seraient lies,
e qu'il faut viter -pour respe
ter le modle OSI-.
3.1
3.1.1
Il serait souhaitable de dnir des adresses IP pour les ma
hines -ordinateurs,...- mais aussi pour les
rseaux. Ces dernires sont obtenues gr
e au masque rseau. Une adresse IP est une suite de quatre
o
tets,
rits en hexad
imal, et spars par des points -exemple : 127.24.17.255 -. Il y a don
232 ,
soit environ quatre milliards, adresses disponibles. Aujourd'hui, pour Internet
e nombre est tout juste
susant. Dans l'adresse IP une partie est ddie au rseau et l'autre aux ma
hines le
omposant. C'est le
masque qui permet de diren
ier
es deux parties. Une adresse IP n'est don
valable qu'a
ompagne
de son masque, sinon il n'y a au
un moyen de sparer le rseau des ma
hines dans l'adresse.
3.1.2
Le masque
Dnition
Dans le masque les bits
odant le rseau sont tous positionns 1,
eux
odant les ma
hines 0.
Par
onvention, les bits
odant le rseau sont toujours les bits de poids fort et les bits rseau et les bits
ma
hine ne sont pas mlangs - pour simplier la gestion du rseau -. Ce nombre de bits est variable
d'o la n
essit de
onnatre le masque ave
l'adresse.
Exemple : si l'adresse est 192.68.0.42 et que le rseau est
od par les trois premiers o
tets et les
ma
hines par le dernier. Le masque vaut alors 255.255.255.0 Cette adresse dnit don
la ma
hine 42
du rseau 192.68.0
Une autre notation, plus synthtique est 192.68.0.42/24 - le 24 reprsente le nombre de bits un
dans le masque -. Dans le rseau de l'exemple pr
dent il y a don
28 = 256 adresses ma
hines
disponibles.
De nombreux exemples de dnition de rseau sont donns en exer
i
e
orrig en annexe.
25
26
CHAPITRE 3.
LA COUCHE 3
Exemple
non
tant donns l'adresse 192.168.4.26 ave
le masque 255.255.240.0, trouvez la premire et
la dernire adresse d'une ma
hine sur
e rseau.
Corre
tion
1. Il faut tout d'abord d
omposer le masque : Les deux premiers o
tets tant gaux 255 ils ne
sont
omposs que de 1. La d
omposition binaire de 240 vaut 11110000, le masque
omporte
don
20 bits 1.
2. Ces bits sont xs pour toutes les ma
hines de
e rseau. Don
pour toutes les ma
hines l'adresse
ommen
era par 192.168. ? . Il faut don
dterminer partir de l'adresse donne la valeur des
bits xs du troisime o
tet. La d
omposition de 4 en binaire donne 00000100 don
pour toutes
les adresses
her
hes les quatre premiers bits du troisime o
tet vaudront 0.
3. L'adressage des ma
hines se fait don
sur douze bits - soit 212 adresses possibles-. La premire
adresse possible verra don
es douze bits 0 et la dernire tous
es bits 1.
Compte tenu de la valeur des bits rseau dtermine on obtient :
premire adresse possible : 192.168.0.0
dernire adresse possible : 192.168.15.255
Remarque
La dnition du masque impose, par
onvention, d'avoir tous les 1 d'un
t et les 0 de l'autre,
e
qui permet :
d'avoir la
ontigut des bits
d'avoir des masques ave
0,128,192,224,240,248,252,254 ou 255
3.2
Le datagramme ou paquet
Aprs avoir dni les adresses intressons nous la manire dont la
ou
he 3
ode les informations.
La trame de niveau 3 est appele datagramme ou paquet -le mot trame est rserv la
ou
he 2-.
3.2.1
Le datagramme
8 o tets
Long. Tot
2 o
tets
Proto
ole
ou
he 4
2 o
tets
Tab.
IP sr
4 o
tets
3.1 Datagramme IP
IP dest
4 o
tets
DATA
3.3.
27
LE ROUTAGE
Bonjour
Couche 7
Couche 6
Couche 5
Bonjour
Bonjour
Bonjour
Couche 4
Couche 3
Couche 2
Encapsulation
Fig.
CRC
Couche 1
La taille de l'en-tte est don
de 20 o
tets. La taille minimale du datagramme est de 0 o
tets de
donnes et 20 o
tets d'en-tte. La taille maximale est de 65535 o
tets. Si il y a moins de 44 o
tets de
donnes,
'est la
ou
he 2 qui fait du bourrage pour atteindre les 64 o
tets minimum de
ou
he 2. Dans
l'en-tte la longueur totale du datagramme est
od sur deux o
tets, sa valeur maximale vaut don
216 1 = 65535 o
tets. Si le datagramme a une longueur suprieure 1500 o
tets, qui est la limite
pour les datas des trames de
ou
he 2, la
ou
he 3 fragmente le datagramme. Le datagramme est
elui
d'origine - de 65535 o
tets de taille maximale-, le rsultat de la fragmentation est appel paquet - taille
maximale 1518 o
tets -. C'est lui qui
ir
ule sur le rseau. Le datagramme est ensuite re
onstitu sur
la ma
hine de destination.
3.3
3.3.1
Le routage
Table de routage
Pour joindre un rseau donn, les routeurs utilisent une table de routage qui
ontient les
hemins
pour joindre un rseau donn. Il faut identier le rseau - adresse et masque -, et indiquer
omment le
rejoindre gr
e une passerelle judi
ieusement
hoisie. En fait on dnit une passerelle par dfaut,il
est don
inutile de d
rire toutes les possibilits. Il ne faut d
rire que les rseaux qui ne sont pas
a
essibles par
ette passerelle.
Reseau 10.0.0.0 /24
R2
5
INTERNET
R6
R1
A
1
R3
R4
2
R5
4
Reseau 10.0.1.0 /24
28
CHAPITRE 3.
1
2
3
4
0.0.0.0
MASQUE
/24
/24
/24
/24
0.0.0.0
Tab.
LA COUCHE 3
PASSERELLE
0.0.0.0
IP de R3
IP de R3
IP de R3
IP de R1
La ligne 0.0.0.0 dsigne la passerelle par dfaut. Aujourd'hui un gros routeur Internet a de l'ordre
de mille routes dans sa table de routage. Le routage dynamique -proto
oles BGP, OSPF ...- permet
d'auto-
ongurer les routeurs. Il gre aussi les sur
harges du rseau. Pour viter les aller-retour entre
deux routeurs, dans le
as o les tables de routages ne sont pas
ohrentes, un TTL - Time to Live est pla
dans l'en-tte du paquet, il est
od sur un o
tet. Il reprsente la dure de vie d'un paquet.
Initialement il reprsentait un temps mais de nos jours il reprsente le nombre de routeurs par lequel
le paquet peut passer - il est d
rment de 1
haque routeur -. Quand le TTL atteint 0 le paquet est
jet et on envoie un message la ma
hine mettri
e pour lui indiquer que le paquet a t jet. Il y a un
petit risque que le message d'erreur fasse galement du ping-pong entre les deux routeurs,
ependant
il ne peut pas gnrer de message d'erreur. Un tel phnomne est appel bou
le de routage.
3.3.2
Exer i e
non
10.0.0.0 /24
R1
.1
.254
11.0.0.0 /24
.253
R2
.253
.252
12.0.0.0 /24
.254
R3
.254
13.0.0.0 /24
INTERNET
3.4.
29
ADRESSES PARTICULIRES
Corrig
10.0.0.0
11.0.0.0
0.0.0.0
Tab.
PASSERELLE
11.0.0.254
0.0.0.0
11.0.0.253
Tab.
3.3.3
MASK
/24
/24
0.0.0.0
MASK
/24
/24
/24
/24
0.0.0.0
PASSERELLE
11.0.0.254
12.0.0.252
0.0.0.0
0.0.0.0
12.0.0.254
Dans les systmes modernes -XP et Linux-, il y a deux informations supplmentaires dans les tables
de routage.
MASK
Tab.
PASSERELLE
Interfa e
Mtrique
Interfa e :
'est l'indi
e de priorit,
od par un
hire de 1 20. Plus le
hire est petit, plus
la route est prioritaire. Ces priorits sont dnies soit la main par l'administrateur, soit par
des proto
oles de gestion dynamique type BGP.
se :Mtrique :
3.4
3.4.1
Exemple
Pour le rseau 10.0.0.0/16 la premire adresse, 10.0.0.0, et la dernire adresse 10.0.255.255, ne sont
pas utilises pour les ma
hines. Elles reprsentent respe
tivement l'adresse du rseau et l'adresse de
broad
ast du rseau.
30
CHAPITRE 3.
3.5
3.5.1
LA COUCHE 3
Le nombre d'adresses IP disponible n'est pas inni et se limite 232 , soit environ quatre milliards
d'adresses. Si je veux dnir un rseau de 130 ma
hines,
ompte tenu du masque il me faut
oder
les ma
hines sur huit bits 27 130 28 . Je bloque don
28 = 256 adresses IP. Il faut g
her un
minimum d'adresses d'autant que,aujourd'hui,les limites de
ette plage d'adresse ont t atteintes ave
le dveloppement d'Internet. Diverses solutions ont t envisages pour rsoudre
e problme.
3.5.2
Passage IPv6
La solution simple, d'un point de vue thorique,
onsiste augmenter le nombre de bits disponibles
pour
oder les adresses IP. C'est la logique qui prvaut pour le nouveau proto
ole IP -IP version 6-,
qui
ode une adresse sur 16 o
tets, au lieu de 4. Il pose nanmoins des problmes de mises en pla
e,
au premier rang desquels son
ot d'implmentation. En eet modier la taille de l'adresse suppose le
hangement de tous les matriels
e qui reprsente un investissement prohibitif, d'autant que d'autres
solutions ont t trouves, qui repoussent la limite du nombre d'adresse IP disponible et rendent ainsi
le
hangement moins
ritique. Le passage IPv6 n'est don
pas l'ordre du jour. Certains pays,
notamment en Chine, devant mettre en pla
e une stru
ture pour Internet ont fait le
hoix de s'quiper
dire
tement en matriel IPv6.
3.5.3
L'adressage CIDR
L'adressage CIDR -Classless Internet Domain Routing- permet d'appliquer n'importe quel masque
n'importe quelle adresse. Ce
hangement remonte une dizaine d'anne. l'poque, il y avait des
lasses d'adresses A, B ou C.
Class A : rassemblait les gros rseaux dont le masque tait 255.0.0.0 et dont les adresses allaient
de 0.0.0.0 126.0.0.0. Ils pouvaient
omporter 224 1 soit environ 16 millions d'adresses
ha
un.
Class B : rassemblait les rseaux dont le masque tait 255.255.0.0 et dont les adresses allaient de
128.0.0.0 191.255.0.0. Ils pouvaient
omporter
ha
un 216 1, soit 65535 adresses.
Class C : rassemblait les rseaux dont le masque tait 255.255.255.0 et dont les adresses
ommenaient 192.0.0.0 .
Ces
lasses, ave
leurs masques xs, faisaient perdre beau
oup d'adresses inutilement. Elles ont
t abandonnes la n des annes 1990, et ne sont
ites que pour la
ulture personnelle du le
teur,
ertains ouvrages y faisant en
ore rfren
e bien qu'elles soient obsoltes. A l'heure a
tuelle le masque
peut
omporter n'importe quel nombre de bits 1.
3.5.4
Les plages d'adresses qui se suivent ont t regroupes gographiquement. Ce pro
essus est toujours
en
ours. Par exemple les plages d'adresses 11.0.0.0/8, 12.0.0.0/8, 13.0.0.0/8, et 14.0.0.0/8 ont t
regroupes aux USA. Du point de vue des adresses
'est don
omme si on avait un seul rseau en
8.0.0.0/5. Il y a don
moins de perte d'adresses. Cependant
es solutions ne font que repousser le
problme de la famine en adresses IP. Le pro
d qui permet de s'aran
hir de la limite des quatre
milliards d'adresses est la NAT.
3.5.5
La NAT est un m anisme qui permet de a her un rseau omplet derrire une seule adresse IP.
3.5.
31
INTERNET
Fig.
Toutes les adresses des ma
hines du rseau prennent pour adresse d'expdition l'adresse du routeur.
Toutes les adresses du rseau sont don
masques derrire
elle du routeur. Le problme pos est que les
adresses que je donne mes ma
hines dans le rseau ne doivent pas tre utilises ailleurs sur Internet
sinon des problmes de routage vont apparatre. La re
ommandation
dnit des plages
d'adresses disponibles pour des rseaux lo
aux :
10.0.0.0/8
192.168.0.0/16
172.16.0.0/12
Ces adresses rseaux sont rserves un usage priv. Il est don
n
essaire d'utiliser la NAT pour que
les paquets reviennent au routeur qui, lui,
onnat le rseau lo
al. Le routage par le routeur vers le
rseau lo
al est expli
it dans le
hapitre
on
ernant la NAT 1 .
RFC1918
3.5.6
non
Exer i e pratique
Le but est de
ongurer un rseau 172.16.0.0/24 et un rseau 172.16.1.0/24. Puis
ongurer une
ma
hine pour qu'elle joue le rle de bas
ule entre les deux rseaux.
A
1.48
172.16.1.0/24
0.48
172.16.0.0/24
voir 8 page 57
32
CHAPITRE 3.
LA COUCHE 3
255.255.255.0 gw 172.16.0.48
hine_sr
, permet de
ommuniquer entre deux ma
hines du mme rseau - ajout dans le
hier
host route add -host 172.16.1.X gw 172.16.0.45
route add default gw IPpasserelle
Ralisation
e
ho 1>/pro
/sys/net/ipv4/ip_forward
3.6
Exer i e
3.6.1
non
Corre tion
trames
MAC R1
MAC A
Proto
3
Tab.
Long
Proto 4
IP A
IP B
DATA
CRC
3.7.
33
ICMP
Passant R1 seules les adresses MAC
hangent,
e qui est normal vu que
es adresses sont propres
aux rseaux lo
aux.
3.6.3
ARP poisoning
Si il y a une ma
hine sur le rseau, P, qui rpond la requte ARP de A, aprs R1, elle modie la
table ARP de A, liant l'adresse IP de B ave
sa propre adresse MAC. Pour
e faire elle envoie la trame
suivante :
MAC A
MAC P
Proto 3
Long
Proto 4
IP B
IP A
CRC
Tous les paquets de A passeront don
par P avant d'tre redirig, gr
e la table de routage, et
la table ARP, de P vers le routeur R1. P voit don
passer tout le tra
. C'est
e qui s'appelle le ARP
a
he poisoning. Ce type d'attaque est di
ilement parable. En fait il n'y a mme pas n
essairement
besoin d'un broad
ast
ar
haque ma
hine, mme si elle n'a rien demand, re
evant une rponse un
broad
ast ARP met sa table ARP jour. La seule manire de se prmunir
ontre une telle mena
e
est d'ins
rire en dur la table arp et d'interdire toute modi
ation dynamique. La gestion du rseau
s'en trouve passablement alourdie.
Con
lusion
Le proto
ole ARP est mi
hemin entre la
ou
he 2 -adresse MAC- et la
ou
he 3 -adresse IP-. Une
attaque arp est une attaque lo
ale sur le rseau. Elle ne mar
he pas ds que l'on sort de son propre
rseau, don
pas sur Internet.
3.7
ICMP
Si il y un problme sur le rseau il n'y a pas moyen de le dbugger. Il a don
t
r l'ICMP -Internet
Control Message Proto
ol-. Ce proto
ole dispose d'un
ertains nombre de messages qui permettent de
rsoudre les problmes lis notamment la
ou
he 3 et au proto
ole IP.
34
CHAPITRE 3.
3.7.1
LA COUCHE 3
Messages ICMP
Il y a dirents messages.
e
ho request
e
ho reply
redire
t
: une ma hine routeur indique qu'il y a un hemin plus ourt pour joindre la ible.
Redire
t modie la table de routage de la ma
hine qui le reoit. Il y a don
moyen d'envoyer des
redire
t pour dtourner le tra
normal. C'est pourquoi, l'heure a
tuelle, les ma
hines n'a
eptent
pas les redire
t. Tous
es paquets ne sont pas transmis par la ma
hine l'utilisateur, il faut don
snier le rseau pour les voir.
3.7.2
Ping
Cette instru
tion
orrespond deux messages ICMP : un e
ho request et un e
ho reply. Elle permet
de voir si une ma
hine est visible sur le rseau.
Tra
eroute
Cette instru
tion permet de visualiser les routeurs par lesquels on passe pour aller sur une
ertaine
ma
hine.
Exemple : Tra
eroute 82.230.89.213 Si la rponse est
1/R1 2/R2 3/R3 4/R2 5/R3 6/R2
ela
indique
lairement l'existen
e d'une bou
le de routage. Don
R2 ou R3 est mal
ongur -ou les deux-.
Fon
tionnement de
ette instru
tion Elle utilise un des messages ICMP et envoie une suite
de messages ave
des TTL
roissants - en
ommenant par un -. Quand la ma
hine ne reoit plus de
la part du rseau un message TTL ex
eeded
'est que la
ible a t atteinte. Cependant le routage
tant dynamique, rien ne garantit que le message numro quatre suivra le mme
hemin que le numro
inq. En pratique, il apparat que le
hemin utilis varie peu. N'importe lequel des messages ICMP peut
permettre d'atteindre le but x. Sous linux
'est un message udp , qui renvoie port unrea
hable
destination. Windows, en revan
he utilise un message e
ho request qui se traduit par un message
e
ho reply destination.
Chapitre 4
La
ou
he 4
Rle :
ette
ou
he est
harge de grer les
onnexions appli
atives. Comme pour les autres
ou
hes
il va nous falloir dnir des proto
oles et des adresses.
4.1
Les adresses de ou he 4
Les ports jouent le rle d'adresse de
ou
he 4, et sont don
les adresses des appli
ations. Il sont
rits en d
imal, sur deux o
tets. Il y a don
216 1 soit 65535 ports disponibles. Certains ports sont
asso
is des appli
ations :
35
36
CHAPITRE 4.
LA COUCHE 4
sont utilises
omme adresses
lients - sour
e-. Le port destination est vers une appli
ation serveur, le
port sour
e est
hoisi par le
lient. Si une ma
hine ouvre dix pages web
'est
haque fois le mme
port destination, mais il y a un port lev sour
e ouvert pour
haque page.
4.3
4.3.1
Un datagramme reprsente un ensemble de donnes dont il n'y a au
une garantie qu'il soit
orre
tement a
hemin. C'est pour
ela que le terme datagramme UDP est utilis.
4.3.2
Datagramme UDP
Port SRC
2 o
tets
Port DST
2 o
tets
Tab.
Long Tot
2 o
tets
CRC
2 o
tets
DATA
Le CRC porte sur tout le datagramme
ar il peut y avoir des erreurs gnres lors du passage d'une
ou
he l'autre. Cette en-tte est la plus petite de toutes les en-ttes.
4.3.3
Le serveur tant en attente sur un port bas, le systme d'exploitation ouvre un port - sour
e - pour
l'appli
ation et garde en mmoire l'appli
ation qui y est ratta
h. Il peut ainsi renvoyer les informations
en provenan
e du serveur. Si A
her
he joindre GOOGLE, ave
en port sour
e X, en UDP, sur le
port 25,alors que google utilise le port 80
4.4
4.4.1
U DP,25
ICM P
port unreachable
L'tablissement de la
onnexion repose sur le three ways handshake - la triple poigne de main -.
Pour qu'une ma
hine A tablisse une
onnexion ave
une ma
hine B il faut :
A
SY N
SY N +ACK
ACK
Tous
es paquets sont vides et ne
ontiennent que l'en-tte. La n de la
ommuni
ation se droule
de la mme manire. Si A n'a plus de donnes transmettre elle envoie un signal de n de
onnexion :
Note : Si, la r
eption du signal de FIN envoy par A, B a en
ore des donnes envoyer elle
ontinue transmettre et n'enverra son signal FIN qu'une fois que toutes les donnes seront transmises.
4.4.
37
PROTOCOLE TCP
Le dernier FIN n'tant pas a
quitt la ma
hine qui l'envoie reste en
oute pendant un temps dni
par le systme d'exploitation au
as o il serait n
essaire de le r-mettre.
Si A
her
he joindre GOOGLE, ave
en port sour
e X, en TCP, sur le port 25,alors que google
utilise le port 80
SY N,25
A G
RST,X
A G
4.4.2
Segment TCP
Port SRC
2 o
tets
Port DST
2 o
tets
Tab.
FLAGS
6 bits
URG POINTER
2 o
tets
DATA
Remarque
Le proto
ole TCP est destin faire
ommuniquer une ma
hine ave
une autre ma
hine. Don
la
notion de broad
ast n'a pas grand sens - elle suppose la
ommuni
ation entre au moins trois ma
hines-.
Don
le broad
ast n'est pas support par TCP. Si n
essaire, il faut avoir re
ours UDP.3
2
page
3
53
voir
hapitresA page 73
38
CHAPITRE 4.
LA COUCHE 4
Chapitre 5
mondial.
5.1
Le but du DNS est de transformer un nom en adresse IP. C'est une information de niveau
Le DNS, ou Domain Name System, reprsente un proto
ole ainsi que l'ensemble des ma
hines
et logi
iels qui parti
ipent la rsolution des noms. C'est avant tout une base de donnes partage,
rpandue partout dans le monde. L'information est distribue entre dirents serveurs de part le
monde. Le proto
ole DNS asso
ie un FQDN - Fully Qualied Domain Name -, qui
omprend un nom
de ma
hine et un nom de domaine, et une adresse IP.
Exemple de FQDN : www.
| {z } google.com
|
machine
5.2
{z
domaine
Historique
la
ration d'ARPANET il y avait une
entaine de ma
hines, soit une
entaine d'adresses IP. Le
nombre de ma
hines augmentant, l'ide d'asso
ier un nom
haque adresse IP est apparue dans le but
de simplier les adressages. C'est la
ration des
hiers Host qui font l'asso
iation entre le FQDN et
les adresses IP. Les utilisateurs faisaient
es asso
iations la main an de
rer
es
hiers. Ave
l'expansion d'Internet
ette faon de faire n'est plus possible. C'est pourquoi le systme DNS a t
r.
Il reprsente un systme hirar
his de noms de ma
hine. Le systme nomm Domain Name System,
a t mis au point en novembre 1983 -RFC 882 et RFC 883-, puis rvis en 1987 dans les RFCs 1034
et 1035. Le DNS a fait l'objet depuis de nombreuses RFCs.
5.3
Le systme DNS est organis en arbores
en
e. Une fon
tionnalit dynamique tant re
her
he, des
serveurs ont t ddis
ette t
he.
39
40
CHAPITRE 5.
LE PROTOCOLE DNS
com
google.com
fr
net
google.fr cfssi.net
org
domaine de niveau 1
domaine de niveau 2
Sous domaines
machines
Fig.
Cette arbores
en
e est de type unique et se lit de droite gau
he : l'origine de l'arbre est droite
puis sont indiqus les domaines de niveau un puis deux, le sous domaines et enn l'extrme gau
he la
ma
hine. Il est
ourant d'oublier le point nal, l'adresse indique -sans le point- est don
une adresse
relative. Cependant, le m
anisme rajoute systmatiquement le point la n de l'expression rtablissant
l'adressage absolu. Chaque noeud de l'arbores
en
e porte une tiquette d'une longueur maximale de
63
ara
tres, appele nom de domaine. L'extrmit d'une bran
he de l'arbre est appele hte, et
reprsente une ma
hine ou une entit du rseau. Le FQDN est le nom
omplet de l'hte
omportant
tous les domaines et sous domaines spars par des points, par exemple www.besssi.
fssi.net. . La
profondeur maximale de l'arbores
en
e est de 127 niveaux et la longueur maximale d'un FQDN est de
255
ara
tres. Les domaines sont grs par des entits direntes, d'o la distribution de la base de
donnes de part le monde. Chaque entit dispose de deux serveurs DNS - un serveur primaire et un
serveur se
ondaire - pour assurer la
ontinuit du servi
e. Sinon, en
as de
rash du serveur il n'y aurait
au
un moyen d'a
der au domaine sinon en utilisant dire
tement les adresses IP. Une entit unique
doit grer les serveurs ra
ine - le . de l'arbores
en
e -. Il y en a seize au total -treize aux USA, un au
Japon, un au Royaume Uni et un aux Pays bas.-. Ils portent les noms de a.root-servers.net p.rootservers.net . Les trois derniers ont t mis en pla
e pour
asser le monopole amri
ain qui avait la main
mise sur Internet. En faisant tomber les serveurs ra
ine la majorit du rseau internet tombe, seuls
quelques initis pourraient
ontinuer l'utiliser en se servant des adresses IP dire
tement -
ondition
de les
onnatre-. Il n'en reste pas moins que l'inuen
e amri
aine est toujours prpondrante
ompte
tenu du nombre de serveurs DNS hbergs. Les dirents serveurs ra
ine sont tous des miroirs les uns
des autres. Certains serveurs sont exploits par des entreprises
ommer
iales. Ces entreprises peuvent
don
re-router les paquets leur guise, vers des sites
ommer
iaux de leur
hoix par exemple -
e type
de drive a t observ de rares o
asions-. Il existe deux
atgories de TLD -Top Level Domain, soit
domaines de plus haut niveau- :
Les domaines dits gnriques , appels gTLD -generi
TLD-. Les gTLD sont des noms de
domaines gnriques de niveau suprieur proposant une
lassi
ation selon le se
teur d'a
tivit.
Ainsi
haque gTLD possde ses propres rgles d'a
s :
gTLD historiques :
.arpa
orrespond aux ma
hines issues du rseau originel ;
.
om
orrespondait initialement aux entreprises vo
ation
ommer
iale. Dsormais
e TLD
est devenu le TLD par dfaut et l'a
quisition de domaines possdant
ette extension
est possible, y
ompris par des parti
uliers.
.edu
orrespond aux organismes du
atifs ;
.gov
orrespond aux organismes gouvernementaux ;
5.4.
41
5.4
Il est don
tabli que, l'heure a
tuelle, faire tomber le systme DNS revient faire tomber Internet.
Une attaque visant dmontrer la faisabilit d'une telle attaque a dj t ralise. Cette attaque a
russi faire tomber dix des treize serveurs amri
ains pendant une
ourte dure. L'impa
t de l'attaque
a t faible
ar le serveur DNS, en mme temps que la rsolution de nom, donne une dure de validit
ette rsolution - en gnral de l'ordre d'une journe -. Don
pour raliser une attaque e
a
e il faut
provoquer un dni de servi
e pendant 24 heures sur les serveurs.
5.5
5.5.1
www.google. om
Le www reprsente don
la ma
hine - par
onvention les ma
hines serveur de web sont appeles
- et www.google.
om est le FQDN. Je peux appeler une ma
hine www.google.
om.lalitte.
om. si je
dispose du domaine lalitte.
om. . C'est le point nal qui fait la diren
e. Il n'y a au
un moyen
de savoir o nit le nom de domaine et o
ommen
e le nom de ma
hine. La rsolution est faite par
un logi
iel appel resolver . La question pose n'est en gnral pas
omplte - pas de point nal
-. Ma ma
hine appartient un domaine - disons iti.esiea.fr - et son resolver dispose d'un
hier de
onguration : resolv.
onf. Ce
hier
ontient le nom de domaine auquel ma ma
hine est ratta
he ainsi
que les adresses IP des serveurs DNS auxquels je dois m'adresser. Le resolver fait d'abord la requte
dans son domaine www.google.
om.iti.esiea.fr. et interroge un serveur DNS rfren
dans le
hier
de
onguration. En
as d'
he
le resolver re
ommen
e la requte en enlevant un domaine
haque
fois - au moins un point -. Il interroge don
dans l'ordre :
www
42
CHAPITRE 5.
LE PROTOCOLE DNS
www.google.
om.esiea.fr
www.google.
om.fr
www.google.
om
Cette dernire tentative aboutit enn.
A la
onguration des serveurs DNS
a
he il sut d'indiquer l'adresse IP du serveur DNS ra
ine.
Les autres adresses IP seront apprises au gr des requtes.
5.5.2
Exemple
Viaris.
fssi.lo
al
Domaine d'appartenan
e de la ma
hine :
fssi.lo
al
Si on demande viaris il trouve, en revan
he si on demande viaris. il
her
he la ra
ine DNS,don
ne trouve pas.
5.5.3
Exemple d'attaque
Si je gre un serveur DNS du domaine je peux
rer un site ban
aire fantme - www.bmp.fr.
fssi.lo
al
-. Les ma
hines du rseau lo
al
her
hant a
der au site www.bmp.fr vont a
der au site fantme.
5.6
5.6.1
Quand un resolver fait une requte - www.inria.fr.- il y a deux types de requte : Soit le resolver
s'adresse un serveur de
a
he qui interroge les dirents serveurs sur internet. C'est une requte
r
ursive : je pose la question et j'attend la rponse. Si le serveur
a
he ne
onnait pas la rponse il
interroge le serveur ra
ine. Celui
i rpond qu'il ne
onnait pas la rsolution - la ma
hine www.inria.fr
n'est pas rfren
e -, mais indique au
a
he interroge fr dont l'adresse du serveur DNS est IPDNS. . Le serveur
a
he interroge alors fr. qui lui rpond in
onnu mais interroge inria.fr dont l'adresse
du serveur DNS est IP-DNS. . Le serveur de
a
he fait alors la requte et le serveur de domaine
inria.fr rpond je
onnais et l'adresse IP est 192.83.2.3 . Le serveur
a
he renvoit alors l'information
la ma
hine. Don
le resolver de ma ma
hine pro
de une requte r
ursive mais le serveur de
a
he
met des requtes itratives. Le serveur
a
he - appel aussi serveur DNS lo
al - possde son propre
resolver qui se
harge des requtes itratives.
5.6.2
Exemple
non
Dterminer les requtes DNS pour les
ommandes suivantes, ex
utes l'une la suite de l'autre :
1. ping www.google.
om.
2. ping www.yahoo.
om.
Solution
www.google. om
5.7.
43
TYPES D'ENREGISTREMENTS
www.yahoo.
om
Le resolver DNS lo
al se souvient de la requte pr
dente et interroge dire
tement
le serveur DNS de .
om. dont il
onnait l'adresse IP. Celui-
i rpond : in
onnu mais interroge le serveur
DNS de yahoo.
om. dont l'adresse IP est IP. Le resolver DNS lo
al interroge le serveur yahoo.
om. :
rponse :
onnu l'adresse IP est IPyahoo. Le resolver DNS lo
al transmet l'adresse IP au resolver de
la ma
hine
C'est le serveur DNS qui fournit l'information, qui xe sa dure de validit.
5.7
Types d'enregistrements
Un DNS est don
une base de donnes rpartie
ontenant des enregistrements, appels RR -Resour
e
Re
ords-, asso
iants un FQDN une adresse IP. En raison du systme de
a
he permettant au systme
DNS d'tre rparti, les enregistrements de
haque domaine possdent une dure de vie -Time To Live-,
qui permet aux serveurs intermdiaires savoir s'il est n
essaire de les revrier. Un enregistrement
DNS
omporte gnralement les informations suivantes :
Nom de domaine -FQDNwww.
fssi.net.
Tab.
TTL
3600
Type
A
Classe
IN
RData
185.115.255.215
Il y a dirents types d'enregistrement en fon
tion de la ma
hine vise ou de la fon
tion re
her
he.
- Start of authority - dnit le serveur : nom du serveur, numro de srie du
hier de
onguration, time to live.
NS - nom de serveur - qui indique le serveur DNS de mon domaine. Il asso
ie don
un nom de serveur
DNS une adresse IP.
A - address -
'est l'enregistrement de base. Il assure la
orrespondan
e entre le FQDN et l'adresse
IP : j'envoie le nom de domaine et je r
upre l'adresse IP.
MX - Mail ex
hanger -
orrespond au serveur de gestion du
ourrier.Lorsqu'un utilisateur envoie
un
ourrier le
tronique une adresse utilisateurdomaine , le serveur de
ourrier sortant
interroge le serveur de nom ayant autorit sur le domaine an d'obtenir l'enregistrement MX.
Il peut exister plusieurs MX par domaine, an de fournir une redondan
e en
as de panne du
serveur de messagerie prin
ipal. Ainsi l'enregistrement MX permet de dnir une priorit ave
une valeur pouvant aller de 0 65 535. Cet enregistrement asso
ie don
un nom de domaine ave
soit le FQDN, soit l'adresse IP du serveur de messagerie du domaine. Si je rentre en plus le nom,
j'ai dire
tement l'enregistrement A en mme temps.
PTR Il asso
ie l'adresse IP et le FQDN : j'envoie l'adresse IP et je r
upre le nom de domaine.
HINFO
hamp uniquement des
riptif permettant de d
rire notamment le matriel (CPU) et le systme d'exploitation (OS) d'un hte. Il est gnralement
onseill de ne pas le renseigner an de
ne pas fournir d'lments d'informations pouvant se rvler utiles pour des pirates informatiques.
CNAME -
annoni
al name - Il asso
ie deux FQDN,
'est un alias. Il est parti
ulirement intressant
pour fournir des alias aux dirents servi
es d'une mme ma
hine.
SOA
44
CHAPITRE 5.
5.8
LE PROTOCOLE DNS
Sur un mme serveur DNS je peux hberger plusieurs domaines - soit plusieurs zones -. Il faut alors
un
hier de
onguration de zone par domaine.
5.8.1
Questions
Le serveur fr. doit il a
epter les requtes r
ursives ? Non,
'est un serveur de domaine, il serait
rapidement sur
harg. C'est pourquoi il se limite aux requtes itratives.
Un serveur de domaine doit il a
epter les requtes r
ursives ? Non, voir la rponse pr
dente.
Qui fait les requtes itratives ? Les serveurs DNS de relais ou de
a
he. Ils a
eptent les requtes
r
ursives.
5.9
5.9.1
Au niveau de la ma hine
nslookup
Host, dig
plus r ents
online nslookup
: DNS utilise la fois l'UDP et le TCP. Le TCP est utilis pour les grosses
requtes - taille suprieure 512 o
tets -. Don
il utilise aussi TCP53.
5.9.2
Bind
C'est l'outil historique, la joie des pirates. En eet, tout le monde doit avoir du Bind pour
proter de DNS, don
ds qu'une faille est trouve tout le monde est sus
eptible d'tre attaqu.
Bind n'a pas t pens, au dpart, ave
un obje
tif de s
urit. Il est en train d'tre entirement
refondu pour garantir une
ertaine s
urit.
5.9.
45
DjbDNS C'est un outils r par Bernstein, trs s uris - Bernstein ore US$500 au premier qui
trouvera une faille -. DjbDNS dispose de sa propre li
en
e qui interdit toute modi
ation sans
a
ord du propritaire. Bernstein a galement dvelopp qmail qui est le serveur de messagerie
le plus utilis.
46
CHAPITRE 5.
LE PROTOCOLE DNS
Chapitre 6
Retour sur le proto
ole IP
6.1
L'en-tte IP
4 bits
IHL
TTL
1 o
tet
TOS
IP ID
Proto
ole
Options
3 bits
FLAGS
adresse IP sour
e
adresse IP destination
Tab.
5 bits
1 o
tets
LONG TOT
Frag oset
CRC en-tte
Padding
6.1 En-tte IP
version IPv4
IHL IP header length : longueur de l'en-tte.
TOS Type of servi
e : dnit la priorit des informations.
LONG TOT Longueur totale du datagramme.- sur deux o
tets don
65535 au maximum -.
ID
'est le numro d'ordre du datagramme, permet don
de l'identier.
FLAGS Ils sont important pour la fragmentation, il y en a trois :
X
MF - More fragments - : Si le datagramme est fragment tous les fragments ont le ag MF
1 sauf le dernier. Il indique don
que le datagramme n'a pas en
ore t entirement reu.
DF - Don't fragment - : Est pla
pour tre sr que le datagramme ne soit pas fragment -
e
qui suppose de vrier qu'il peut tre a
hemin ave
sa taille a
tuelle-.
Fragment oset Cet oset indique la position du dbut de
e fragment dans le datagramme d'origine.
TTL
'est la dure de vie du paquet
Proto
ole indique quel est le proto
ole de
ou
he suprieure.
CRC Uniquement
al
ul sur l'en-tte IP
48
CHAPITRE 6.
L'IP ID est initialis de manire arbitraire au boot de la ma
hine. Il est ensuite in
rment de
un
haque datagramme mis, indpendemment du message du port utilis... Malheureusement
ette
dnition de l'IP ID
re une faille de s
urit. Celle
i peut tre exploite gr
e l'attaque nomme
idle port s
an .
Victime V
Ma banque.com
Pirate P
Internet
Fig.
Le pirate P veut attaquer le site de Ma banque.
om. Cependant
e site enregistre tous les tra
s
don
une attaque dire
te se solde par une dte
tion et le pirate est pris. L'ide est don
de se faire
passer pour un tiers, la vi
time V pour raliser l'attaque.
Phase de d
ouverte
si P envoie un message SYN vers le site Ma banque.
om en ayant forg un paquet o son adresse
IP sour
e est
elle de V.
Si le port destination est valide le site renvoie un paquet SYN+ACK V. Re
evant une rponse
un paquet qu'il n'a pas envoy V renvoie alors un RST. Si son IP ID vaut X au dpart de la
onnexion
et qu'il n'y a pas d'autres paquet envoys, l'issue de l'
hange l'IP ID de V vaut don
X+1 - il n'a
envoy qu'un datagramme : le RST -. Si le port destination n'tait pas ouvert le site Ma banque.
om
renvoie un datagramme RST V. Celui
i, qui n'a pas de raison parti
ulire d'en attendre un l'ignore
et n'y rpond pas. Son IP ID vaut don
toujours X. Don
si l'IP ID de V augmente
'est que le port
hoisi est ouvert. Il reste un problme : P n'a pas d'a
s dire
t l'IP ID de v !
Droulement de l'attaque
6.2.
49
LA FRAGMENTATION
1. An de
onnatre l'IP ID de V P envoie un datagramme V. Le paquet retour
ontient l'IP ID,
IPID, de V et met n la
onnexion si
e n'est pas dj le
as.
2. P envoie un paquet SYN Ma banque en se faisant passer pour V - adresse IP sour
e :
elle de
V -.
3. P envoie un nouveau paquet V et note l'IP ID
ontenu dans le paquet rponse :
soit il vaut IPID + 1 si le port utilis pour Ma banque.
om est ferm.
soit il vaut IPID + 2 si il est ouvert.
4. il est alors possible d'attaquer le site de Ma banque.
om en blind
ondition de ooder V pour
l'emp
her de lui envoyer un RST aprs r
eption d'un paquet.
Cette attaque a une limitation : il ne faut pas que V envoie de paquets entre temps
e qui ferait
augmenter son IPID. Il n'est don
possible d'attaquer que des sites pas trop frquents. Nanmoins
ette attaque est trs simple mettre en oeuvre. Le logi
iel Nmap ave
l'option -sI permet de la
raliser.
Parade
Il sut d'in
rmenter l'IPID de faon alatoire. Par exemple le rewall Open BSD,
de manire alatoire la valeur de l'IP ID.
6.2
pf,
augmente
La fragmentation
La taille maximale d'un datagramme IP est de 65535 o
tets or la taille maximale d'une trame
Ethernet est de 1518 o
tets. Il va don
tre n
essaire de fragmenter les datagrammes avant de les
passer la
ou
he 2.
Fig.
6.2.1
6.2 La fragmentation
Prsentation
La taille maximale des paquets pouvant
ir
uler sur un rseau donn, don
supporte par la
ou
he
2, est donne par la MTU - Most Transportable Unit -. Celle
i est une
ara
tristique propre
haque
rseau et est dnie pour le rseau lo
al dans les paramtres de la
arte rseau. C'est don
gr
e
la MTU que la
ou
he 3 sait
omment fragmenter les datagrammes. Si la MTU volue au
ours du
routage d'un rseau l'autre
'est l'OS du routeur
onsidr qui va tre responsable de refragmenter les
paquets. Le r-assemblage s'ee
tue au niveau de la ma
hine destination. Le
hemin suivi par
ha
un
des paquets n'a don
au
une importan
e. L'OS de la ma
hine origine fragmente pour se
onformer au
MTU de son rseau lo
al ensuite
ha
un des paquets mis peut tre refragment ou non en fon
tion de
son
hemin vers la ma
hine destination qui sera
harg de r-assembler tous les paquets pour retrouver
le datagramme d'origine.
6.2.2
il identie le numro du datagramme d'origine. Tous les fragments d'un mme datagramme
auront le mme IP ID pendant tout le trajet. Si un paquet est refragment tous les nouveaux
fragments
onservent l'IPID d'origine - puisqu'ils sont tous issus du mme datagramme.
L'IP ID :
50
CHAPITRE 6.
Les ags :
Le fragment oset :
Par exemple un paquet dont le fragment oset vaut 4
ontient le fragment du datagramme d'origine
qui
ommen
e l'o
tet 32. Dans le
as o un routeur doit red
ouper un paquet il garde l'IP ID mais il
re
al
ule le fragment oset pour tous les sous paquets. l'arrive la ma
hine de destination r-assemble
les dirents paquets. Si elle
onstate un trou dans les osets, l'expiration d'un timeout elle jette
tous les fragments
on
ernant le datagramme et demande sa rmission.
6.2.3
Question
En utilisant un snier je vois passer sur le rseau des paquets de 1500 o
tets, or 1500 n'est pas un
multiple de 8 !
Il est n
essaire d'avoir re
ours des multiples de huit uniquement si il y a fragmentation. Don
es paquets sont parfaitement valides, ils n'ont pas t fragments. Don
le fragment oset set nul et
le bit MF est zro.
6.3
6.3.1
La ma
hine A envoie un datagramme de 2000 o
tets.
rire les informations de l'en-tte IP relative
la fragmentation.
Machine A
MTU : 1500
R1
MTU : 500
Machine B
6.3.2
Corrig
NB : Il ne faut pas oublier les en-ttes IP. Le datagramme d'origine en
omporte une mais tous les
fragments doivent aussi en avoir une.
6.4.
GESTION DU FLAG DF
51
sortie de A
La MTU sur le rseau lo
al vaut 1500. Compte tenu de l'en-tte IP de 20 o
tets il est possible de
vhi
uler 1480 o
tets maximum par paquet. Or 1480 est un multiple de huit et reprsente 185 blo
s de
huit o
tets. De plus le datagramme
ontient une en-tte IP - 20 o
tets -, don
1980 o
tets de DATA
La ma
hine A envoie don
:
IPID, MF : 1, fragment oset : 0, envoi de 185 blo
s de 8 o
tets de DATA - 1480 o
tets
-, reste 500 o
tets de DATA ;
Paquet P1 :
Paquet P2 :
en R1
Il faut refragmenter puisque la nouvelle MTU est de 500. Il est possible de vhi
uler 500 20 = 480
o
tets de DATA par paquet, soit 60 blo
s de 8 o
tets. R1 envoie don
sur le rseau :
Pour le paquet P1 :
paquet P'1 :
paquet P'2 :
paquet P'3 :
paquet P'4 :
Pour le paquet P2 :
paquet P'5 :
paquet P'6 :
Pour le paquet P'4 il n'est pas n
essaire de pro
der un padding puisque la taille des DATA
dans le paquet est un multiple de huit,
e qui est garanti par la fragmentation ralise par la ma
hine
d'origine. Elle d
oupe le datagramme en multiples de huit o
tets.
Remarque :
La MTU est dnie par la formule x 8 + 20 o
tets, sinon la taille maximale des paquets de la
ou
he IP ne pourra tre atteinte que pour des paquets tels que MF = 0.
La mthode
onsiste envoyer des paquets, en a
tivant le ag DF, de taille importante et de faire
d
rotre
ette taille. Tant que la taille est suprieure une des MTU sur le trajet le paquet est rejet et
un message ICMP est envoy la ma
hine d'origine. Don
le premier paquet qui atteint la destination,
indiqu par une rponse de la ma
hine destination, donne la MTU sur le par
ours.
52
CHAPITRE 6.
Parade
Il sut de xer
omme rgle, pour le rewall, de refuser tous les paquets qui ne
ontiennent pas
toutes les en-ttes de niveau 2, 3 et 4.
Une autre appro
he
onsiste faire r-assembler les datagrammes par le rewall.
Chapitre 7
4 bits
6 bits
data oset
Rservs
port SRC
OPTIONS
CRC
6 bits
2 o
tets
port dest
N de squen
e
N d'a
quittement
FLAGS
Window
URGENT POINTER
Bourrage
Tab.
: dsigne le port sour e, 'est l'adresse utilise par l'appli ation de la ma hine.
: dsigne le port destination,
'est l'adresse utilise par l'appli
ation sur la ma
hine
destinataire.
PORT DEST
: 'est un pointeur qui indique le dbut des donnes, en fon tion du nombre d'options indiques dans le paquet.
DATA OFFSET
FLAGS
CRC
: 'est l que sont indiqus les dirents ags de ou he 4 : FIN, SYN, ACK, PUSH, URG...
:
'est un
ode de
orre
tion d'erreur qui ne porte que sue l'en-tte de
ou
he 4.
: si le ag URG est indiqu,
e pointeur indique la n des donnes urgentes.
La norme n'est pas
laire, il existe don
deux
onventions : soit il indique le premier o
tet non
urgent, soit il indique le dernier o
tet urgent.
URGENT POINTER
Rserv
N de squen e
-.
N d'a quittement
7.2
Ce m
anisme s'appuie sur l'
hange des numro de squen
e et d'a
quittement entre les deux
ma
hines.
53
54
CHAPITRE 7.
7.2.1
Exemple
Si une ma
hine A envoie un segment
ontenant 500 o
tets de donnes une ma
hine B ave
un
numro de squen
e 500 - nombre d'o
tets envoys depuis le dbut de la
onnexion- et un nombre
d'a
quittement 0 - nombre d'o
tets de donnes reus de la ma
hine B depuis le dbut de la
onnexion
-. Elle reoit en rponse 300 o
tets de donnes de la ma
hine B, ave
un numro squen
e 300 - A
a don
reu tous les o
tets depuis le dbut de la transa
tion -, et un numro d'a
quittement 0.
Il apparat don
que la ma
hine B a manqu un segment ou que
elui-
i n'a pas en
ore trouv sa
destination.
500 octets
A B
300 octets
A B
7.2.2
Des ription
Il y a des segments de servi
e en permanen
e sur le rseau,
hanges par les deux ma
hines pour
rester syn
hronises -
haque ma
hine peut ainsi savoir ou en est l'autre ma
hine de la r
eption des
infos envoyes -. Don
si une ma
hine, disons A, n'a pas d'informations envoyer, elle envoie des
segments ACK. Le numro de squen
e est
od sur quatre o
tets,
e qui permet d'viter d'avoir, pour
deux ma
hines, le mme doublet - numro de port, numro de squen
e - identiant une
onnexion.
En eet,
ontrairement l'exemple pr
dent, le numro de squen
e n'est pas initialis un en dbut
de
ommuni
ation, an d'viter les interfren
es. Au moment de la
onnexion, il faut don
hoisir un
numro de squen
e initial - ISN : Initial sequen
e number - pour le premier paquet envoy. Au boot
de la ma
hine, l'ISN vaut zro, puis il est in
rment de 64000 par demi se
onde et de 64000 de plus
pour
haque
onnexion TCP. Don
si la ma
hine a boot depuis une se
onde et a tabli une
onnexion
TCP ISN = 64000 2 + 64000 = 192000. Il y a don
peu de
han
es que deux
onne
tions utilisent
les mmes numros de squen
e. Le bou
lage
omplet de l'ISN prend environ neuf heures. A
haque
fois que je veux ouvrir une
onnexion TCP je
hoisis don
l'ISN pour le premier numro de squen
e.
A
No
=0
ACK
o
seq =ISNA
No
=ISN +1
ACK
A
seq =ISNB
No
=ISN +1
ACK
B
seq =ISNA +1
Dans le segment
ontenant le ag SYN il n'y a pas de donnes,
ependant, pour indiquer que le
SYN a bien t reu, le numro d'a
quittement est in
rment de un - idem pour FIN-. A
e moment
la
onnexion est tablie entre A et B.
A
50 octets
300 octets
50 octets
NS = ISNA + 51
NA = ISNB + 1
NS = ISNB + 301 NA = ISNA + 51
NS = ISNA + 101 NA = ISNA + 301
7.3.
55
L'ATTAQUE DE NOL
simult
B NS = ISNB + 501
NA = ISNA + 101
NS = ISNA + 121
NA = ISNB + 301
200 octets
simult
20 octets
100 octets
F IN
ACK+F IN
ACK
7.3
7.3.1
L'attaque de Nol
Historique
C'est un d entre deux informati
iens : Mitni
k
ontre Shimomura. Ce dernier lan
e un
hallenge :
je dispose d'informations protges sur une ma
hine dont l'adresse IP est IP
. Si tu peux t'en emparer
alors tu est plus fort que moi. Le dtail omis par Shimomura, tait qu'il travaillait pour le gouvernement
amri
ain et que
es informations taient
lassies. Mitni
k releva le d et gagna,
ependant il fut
poursuivi par le gouvernement qui lui donna le
hoix suivant : aller en prison ou travailler pour lui.
Mitni
k
hoisit la prison. Depuis il lui est interdit de s'appro
her d'un ordinateur.
7.3.2
Stratgie
Mitni
k dtermine d'abord que Shimomura dispose d'un ordinateur
hez lui -IPSm- et que
ette
ma
hine est autorise se
onne
ter la ma
hine IP
. L'ide ensuite est une attaque le soir de
Nol, pour que les administrateurs soient ave
leurs familles et non pas devant leur
onsole. L'attaque
est une attaque en spoong - qui
onsiste se faire passer pour une autre ma
hine, en l'o
uren
e
elle du domi
ile de Shimomura-, et plus pr
isment en blind IP spoong. En eet la rponse de la
ma
hine
ible -IP
- rpond toujours IPSm et non pas l'attaquant qui ne la voit don
jamais.
7.3.3
Droulement de l'attaque
1. Mitni
k envoie un SYN vers IP
e qui lui permet de r
uprer l'ISN de la ma
hine
ible en utilisant le temps
oul et la rgle d'volution de l'ISN : + 64000 par demi se
onde et par
onnexion TCP-.
2. Mitni
k envoie un SYN la ma
hine
ible en forgeant un segment ave
pour adresse IP sour
e
l'adresse IP IPSm. La ma
hine
ible rpond IPSm SYN + ACK
3. partir du temps
oul depuis le premier envoi, Mitni
k
al
ule l'ISN de IP
et envoie un
segment ACK, toujours ave
pour adresse sour
e IPSm.
En fait il envoie une srie de segments ave
des numro de squen
e d
als de 64000 pour tre sr de
tomber sur le bon ave
un des segments. Le three ways handshake a don
t ralis, la
onnexion est
tablie. Mitni
k envoie alors une unique
ommande, toujours ave
l'adresse sour
e IPSm, qui ralise
un e
ho ++ dans et
/rhosts
e qui a pour
onsquen
e d'autoriser n'importe quelle ma
hine se
onne
ter sur la ma
hine
ible. Mitni
k peut don
se
onne
ter dire
tement sur la ma
hine
ible pour
r
uprer les
hiers
lassis, objets du d.
En fait l'attaque ne mar
he pas telle quelle. En eet, quand la ma
hine du domi
ile de Shimomura
-IPSm- reoit le SYN + ACK, alors qu'elle n'a pas envoy de SYN, elle doit renvoyer RST, interrompant la
ommuni
ation. Pour
ontourner le problme, Mitni
k a eu re
ours au SYN ood. Le but est
de ooder la ma
hine IPSm ave
des messages SYN pour la saturer et l'emp
her de traiter les
messages en provenan
e de la ma
hine
ible. Elle n'est don
pas en mesure d'envoyer le RST sa pile
TCP/IP tant pleine.
56
7.3.4
CHAPITRE 7.
Remarque
La
onnexion ainsi tablie par Mitni
k ave
la ma
hine
ible lui permet d'envoyer des segments
mais pas de prendre des infos, la rponse tant systmatiquement envoye la ma
hine IPSm.
7.3.5
La parade
L'attaque ainsi d
rite est stru
turelle, elle est lie la
on
eption mme du proto
ole TCP. Cependant pour prvenir
e type d'attaques les ISN sont maintenant gnrs alatoirement - les d
alages ne
sont plus xs -. La gnration des ISN sont en fait le rsultat d'un pro
essus pseudo alatoire. Don
en envoyant beau
oup de paquets on peut remonter au gnrateur d'ala. Toutefois, aujourd'hui, le
spoong sur Internet est trs dli
at mettre en oeuvre.
Chapitre 8
La tradu
tion d'adresse : NAT
8.1
Introdu tion
La NAT -Network Address Translation - est un m
anisme destin modier les adresses IP dans
l'en-tte d'un datagramme IP. Il re
ouvre en fait dirents m
anismes : NAT statique, NAT dynamique, port forwarding. Si le premier est un m
anisme de
ou
he 3, en revan
he les suivants utilisent
galement des informations de
ou
he 4.
8.2
8.2.1
La NAT statique
Le prin
ipe
Dans un rseau
ongur en adresses prives si une ma
hine veut envoyer un paquet sur Internet,
vers www.google.
om. Dans l'en-tte IP, l'adresse en destination est
elle de www.google.
om, et
l'adresse IP sour
e est, par exemple, 10.0.0.1. Lorsque google veut rpondre la requte il utilise
don
pour adresse destination 10.0.0.1. Or les adresses prives ne sont pas routes sur Internet. En
onsquen
e notre ma
hine ne re
evra jamais la rponse de Google. Pour rsoudre le problme une des
solutions est d'utiliser la NAT statique en asso
iant n adresses prives n adresses publiques.
8.2.3
Pour que notre ma
hine puisse dialoguer sur Internet ave
d'autres ma
hines nous allons don
asso
ier une adresse publique virtuelle son adresse prive. Le routeur va don
tre responsable de
modier, dans l'en-tte IP du paquet, l'adresse sour
e prive, pour les paquets sortants, par l'adresse
publique virtuelle, et pour les paquets entrants, l'adresse destination publique virtuelle par l'adresse
prive. Ainsi, notre ma
hine est vue de l'Internet ave
l'adresse publique. La NAT statique nous a don
permis de rendre une ma
hine a
essible sur Internet alors qu'elle possdait une adresse prive. Les
asso
iations adresse publiqueadresse prive sont rpertories dans la table NAT du routeur.
57
58
8.2.4
CHAPITRE 8.
L'asso
iation d'une adresse IP publique une adresse IP prive, nous a permis de rendre une
ma
hine a
essible sur Internet. En revan
he nous avons besoin d'une adresse publique par adresse
prive
e qui ne nous aide pas rsoudre le problme de la pnurie des adresses IP. D'autre part
pourquoi ne pas utiliser dire
tement les adresses publiques sans passer par les adresses prives ? En
fait la NAT statique apporte plusieurs avantages : tout d'abord il est souvent prfrable de garder un
adressage uniforme en interne et de ne pas mler les adresses publiques aux adresses prives. Ainsi,
si il faut faire des modi
ations,
hangements, interventions sur le rseau lo
al, il sut de
hanger la
orrespondan
e entre les adresse prives et les adresses publiques dans la table NAT du routeur pour
rediriger les requtes vers un serveur en tat de mar
he. D'autre part, on g
he un
ertain nombre
d'adresses lorsqu'on d
oupe un rseau en sous-rseaux -adresse de rseau, adresse de broad
ast...-,
omme pour une DMZ an de rendre ses serveurs publiques disponibles. Ave
la NAT statique, on
vite de perdre
es adresses.
Malgr
es quelques avantages, le problme de pnurie d'adresses n'a toujours pas t rgl. Pour
ela, il va falloir avoir re
ours un autre m
anisme : la NAT dynamique.
8.2.5
Proxy ARP
Ces problmes ne sont pas toujours ren
ontrs lors de l'implmentation de la NAT statique. Si
elle-
i est bien faite, tous les m
anismes d
rits devraient tre implments de faon transparente
pour l'utilisateur. Le premier problme ren
ontr est
elui de la redire
tion d'un paquet vers l'adresse
virtuelle de la NAT statique.
10.0.0.254
Internet
193.22.35.42
10.0.0.1
Fig.
8.1 NAT
Considrons une ma
hine 1, dans un rseau priv, faisant une requte vers le site www.google.
om..
Le paquet est NAT au niveau du routeur ave
omme adresse sour
e l'adresse publique, disons
193.22.35.43, ainsi, le site www.google.
om renvoie sa rponse vers
ette adresse. Le paquet est rout
sur Internet et arrive sur le routeur Internet pr
dant le routeur de notre rseau. Celui-
i regarde
l'adresse de destination et observe qu'elle se situe sur le mme rseau qu'une de ses interfa
es. Ainsi,
elle a maintenant besoin de l'adresse MAC de la ma
hine 193.22.35.43 pour lui envoyer le paquet. Elle
fait don
une requte ARP en demandant "Quelle est l'adresse MAC de la ma
hine ayant 193.22.35.43
omme adresse IP ?" Or, sur
e rseau, au
une ma
hine n'a
ette adresse puisqu'il s'agit d'une adresse
virtuelle. Il faut don
que le routeur -193.22.35.42- rponde lui-mme
ette requte ARP. C'est
e
8.3.
59
LA NAT DYNAMIQUE
que l'on appelle faire proxy ARP. Quand la NAT statique est implmente, le proxy ARP l'est souvent
automatiquement,
ependant, il est bon de
onnatre
e m
anisme si
e n'est pas le
as. Il y a plusieurs
faon de pallier
e problme.
mettre en pla
e soit mme un m
anisme de proxy ARP sur la ma
hine faisant la NAT statique.
ajouter une entre statique dans la table ARP du routeur Internet -pas le routeur faisant la NAT,
mais le premier routeur ren
ontr aprs
elui-
i sur Internet-.
ajouter une route host statique pour
ha
une des adresses virtuelles.
10.0.0.254
Internet
193.22.35.42
10.0.0.1
Fig.
8.2 NAT
Le routeur Internet envoie le paquet au routeur de l'entreprise. Celui-
i reoit la trame Ethernet,
lit son adresse MAC en destination, il envoie don
le
ontenu des donnes la
ou
he IP. Celle-
i lit
l'adresse 192.22.35.43 -l'adresse virtuelle de notre ma
hine- en destination. Il va lire sa table de routage,
et :
soit une route sp
ique existe pour
ette adresse pour rediriger le paquet vers le rseau interne,
soit
e n'est pas le
as, et il sera renvoy sur l'interfa
e externe du routeur, vu que l'adresse de
destination appartient au mme rseau que son interfa
e externe 193.22.35.42 !
Don
pour que la NAT fon
tionne, il faut don
qu'il y ait une route sp
ique vers le rseau interne.
Pour dnir
ette route il faut utiliser la
ommande suivante :
route add -p 193.22.35.43 mask 255.255.255.255 10.0.0.1
Ainsi, quand le routeur re
evra un paquet destination de l'adresse virtuelle 193.22.35.43, il le
redirigera bien vers l'adresse relle de la ma
hine, 10.0.0.1.
8.3
8.3.1
La NAT dynamique
Le prin
ipe
La NAT dynamique, aussi appele IP masquerading, asso
ie une seule adresse publique n adresses
prives. Ainsi, un grand nombre de ma
hines ayant des adresses prives peuvent a
der Internet ! En
revan
he,
ette mthode possde quelques in
onvnients. Contrairement la NAT statique, le routeur
qui ee
tue la NAT devra la fois modier les adresses IP mais aussi les ports . C'est
e qui s'appelle
le PAT - Port Address Translation -
60
8.3.2
CHAPITRE 8.
Le fon
tionnement est un peu dirent de
elui de la NAT statique. Reprenons l'exemple pr
dent :
Cette fois,
'est l'adresse publique de l'interfa
e externe du routeur 193.22.35.42 qui va tre utilise
pour sortir. Ainsi, lorsque le paquet arrive la ma
hine de destination, www.google.
om par exemple,
elle-
i le renvoie vers l'adresse 193.22.35.42. Le routeur reoit don
e paquet et lit que sa propre
adresse de destination. Comment faire la diren
e entre un paquet qui lui est rellement adress et un
paquet destin une ma
hine du rseau priv ? C'est gr
e aux ports qu'il va pouvoir faire la diren
e.
Ainsi, si une ma
hine en interne fait une requte ave
omme port sour
e 2356, le routeur pourra savoir
que lorsqu'il re
evra un paquet ave
omme port destination 2356, il faut le rediriger vers la ma
hine
en interne qui a initialis la
onnexion. Il est don
lair que deux ma
hines ne doivent pas utiliser le
mme port sour
e sinon le routeur ne sera plus
apable de savoir qui il doit renvoyer le paquet. Or le
port sour
e est
hoisit par le systme d'exploitation don
omment s'assurer que deux OS ne
hoisiront
pas le mme port sour
e ? En fait, pour un paquet sortant, le routeur va rempla
er la fois l'adresse IP
sour
e et le port sour
e. Il
hoisit un de ses port sour
e libre et
onserve dans sa table NAT le binme
adresse IP interneport interne en
orrespondan
e ave
le numro de port qu'il a
hoisi.
Machine A
Routeur
Internet
@IP interne
Port src A
Fig.
@IP routeur
Port src routeur
Ainsi tout paquet revenant sur
e port sera renvoy ave
le binme adresse IP interneport interne
orrespondant de la table NAT vers la ma
hine voulue et les paquets sortant du rseau lo
al auront
aprs le passage du routeur un numro de port
orrespondant la
onnexion. Ces numros de port
seront dirents pour deux
onne
tions direntes - deux ma
hines direntes en interne - puisque
'est le routeur qui les
hoisi parmi ses ports disponibles.
Machine A
Routeur
Internet
Fig.
8.3.3
@IP interne
@IP routeur
Port dest A
rsum
La ma
hine 10.0.0.1 veut se
onne
ter au site www.google.
om, elle envoie don
un paquet ave
omme adresse sour
e la sienne, 10.0.0.1, et
omme port sour
e un port quel
onque suprieur 1024
hoisit par son systme d'exploitation, soit par exemple 5987. Le paquet arrive au routeur ralisant la
NAT qui rempla
e don
l'adresse IP sour
e par la sienne 193.22.35.42, et le port sour
e 5987 par un de
8.4.
61
ses ports libres, 10000 par exemple. Il garde
es informations de
orrespondan
e dans une table NAT.
Le paquet arrive a www.google.
om qui le renvoie a 193.22.35.42. Le paquet arrive au routeur, il voit
que l'adresse destination est lui-mme, il regarde don
le port destination qui est 10000 puis
onsulte
la table NAT pour avoir la
orrespondan
e. Il envoie don
e paquet 10.0.0.1, tout en ayant modi
le port destination 10000 en 5987 qui est le port sur lequel 10.0.0.1 a initialis la
onnexion.
Il est ainsi possible de masquer autant de ma
hines que n
essaire derrire une seule adresse publique ! Inversement la NAT permet des ma
hines ayant des adresses prives d'a
der Internet.
En revan
he elle ne permet pas
es ma
hines d'tre joint depuis Internet. En eet pour une trame
sortante le routeur qui fait la NAT reoit les informations adresse prive et port priv ave
la premire
trame sortante et
'est
es informations qui lui permette de rediriger les trames rponse. En revan
he
pour une trame entrante il a pour seule information l'adresse IP destination - la sienne -, le port destination -
elui de l'appli
ation - mais il n'a au
un moyen de retrouver quelle ma
hine interne la trame
est destine. La NAT ne permet don
pas de rendre un serveur a
essible de l'extrieur. D'autre part,
mme si
e n'est pas le but de la NAT, le fait que les ma
hine internes ne soient pas a
essible de
l'extrieur permet un petit gain de s
urit.
8.3.4
Dans le
as de la NAT statique a ne pose pas de problmes parti
ulier en revan
he ave
la NAT
dynamique nous avons vu que
e n'tait pas possible dire
tement. Il existe deux m
anismes, que nous
allons tudier permettant de rsoudre
e problme : le port forwarding et le port mapping.
1
62
8.4.1
CHAPITRE 8.
Le port forwarding
Le port forwarding permet de rediriger un paquet vers une ma
hine pr
ise en fon
tion du port
destination
ontenu dans le paquet. C'est asso
ier un port une adresse IP en entre du rseau. Tous
les ayant
e port en destination seront redirigs vers la mme ma
hine. Il est ainsi possible d'initialiser
une
onnexion de l'extrieur du rseau lo
al vers une ses ma
hines - une seule
onnexion est possible
par port -. Ainsi si le une ma
hine du rseau hberge un serveur FTP, il sut de
ongurer le routeur
pour qu'il redirige toutes les
onnexions vers le port 21 sur
ette ma
hine. Elle devient ainsi joignable
de l'extrieur. Le routeur asso
ie le
ouple -adresse IP interne, port 21- port 21. Le port forwarding
nous permet don
de rendre des ma
hines du rseau lo
al visibles depuis Internet en ayant une unique
adresse publique.
8.4.2
Le port mapping
C'est un pro
d
omparable au port forwarding, sinon qu'il ne modie galement le port de
destination. Il redirige une requte sur un port X vers un port Y. Par exemple si une des ma
hines du
rseau lo
al hberge un serveur web a
essible via le port 8080 depuis le rseau lo
al, et qu'il doit tre
visible depuis Internet, il sut de rediriger le port 80 vers l'adresse du serveur et le port 8080. Ainsi
les internautes a
deront au serveur web en utilisant le port standard.
8.4.3
Nous avons don
vu qu'il tait possible d'asso
ier un port ave
une ma
hine en interne pour une
adresse publique. Don
si le rseau lo
al hberge plusieurs serveurs du mme type - disons FTP - il
faudra autant d'adresses publiques que de serveurs FTP,
ha
un tant ratta
h une adresse publique.
8.5
8.5.1
Les proxys
Prsentation
Un proxy est un intermdiaire dans une
onnexion entre le
lient et le serveur. Le
lient s'adresse
toujours au proxy et
'est lui qui s'adresse ensuite au serveur. Le proxy fon
tionne pour une appli
ation
donne - http, ftp, smtp, et
. -. C'est don
un lment de
ou
he appli
ative 7. Il est don
apable
de modier les informations
ontenues dans les trames - il est familier ave
l'appli
ation utilise -.
En
ontrepartie, il faut un proxy par appli
ation. Cependant beau
oup de produits sous l'appellation
proxy sont en fait des multi-proxys,
apables de
omprendre la plupart des appli
ations
ourantes. En
revan
he, il faut diren
ier le proxy des fon
tionnalits
omplmentaires qui lui sont souvent asso
ies.
Faire de la NAT, ou raliser un serveur
a
he ne sont que des fon
tionnalits additionnelles, mme si
elles sont souvent utiles. En eet,
omme il
entralise l'a
s l'Internet il reprsente un tranglement
des ux entrants et sortant. Le fait de garder en
a
he les pages web permet d'amliorer les performan
e
si plusieurs utilisateurs
her
hent a
der au mme site web. D'autre part tous les paquets devant
passer par lui la NAT est souvent n
essaire et il modiera les adresses des paquets. Cependant
e
n'est pas systmatiquement le pro
essus employ.
Chapitre 9
Les Firewalls
9.1 Introdu
tion
Un rewall, aussi appel pare-feux ou garde-barrires, est un programme, ou un matriel,
harg
de vous protger du monde extrieur et de
ertains programmes malveillants pla
s votre insu sur
votre ordinateur. Pla
entre vous et Internet, le rewall
ontrle tout
e qui passe, et surtout tout
e
qui ne doit pas passer de l'un vers l'autre.
64
CHAPITRE 9.
LES FIREWALLS
Paquet
arrivant
MANGLE
Prerouting
NAT
Prerouting
Routing
Decision
MANGLE
INPUT
FILTER
OUTPUT
MANGLE
FORWARD
Routing
Decision
FILTER
FORWARD
MANGLE
OUTPUT
NAT
OUTPUT
FILTER
OUTPUT
MANGLE
Postrouting
NAT
Postrouting
CARTE
RESEAU
Sortie dun
paquet
L'endroit o est ralis la NAT n'est pas sans in
iden
e sur le ltrage. Nous allons don
mettre en
pla
e des rgles ave
des
ritres au sein de
es
hanes et les paquets seront ltrs si ils
on
ident
ave
les
ritres des rgles. Chaque rgle
ontient don
des
ritres - ag SYN, ag ACK, port X... ainsi que des a
tions ee
tuer.
1
9.3.
65
Le ltrage tats
Netlter possde un moteur tats qui permet de dire si un paquet appartient une
onnexion
dj tablie. Un paquet peut avoir les tats suivants :
NEW : premier paquet de la
onnexion
ESTABLISHED : partir du se
ond paquet
Client
Firewall
Serveur
SYN
NEW
SYN / ACK
ACK ESTABLISHED
RELATED : Par exemple sur une
onnexion en UDP, si le serveur tombe, il rpond par un message
ICMP host unrea
hable . Netlter regarde alors dans le paquet ICMP qui
ontient une partie
du paquet d'origine. Il est don
lass RELATED par Netlter qui le laisse passer - RELATED
signie don
li une
onnexion dj tablie -. Il en est de mme ave
une
onnexion FTP qui
omprend en fait deux
onnexions sur les ports 20 et 21 mais sont lies.
INVALID
Iptables permet d' rire les rgles qui seront interprtes par Netlter. Les rgles sont du type :
TABLE : dsigne la table dans laquelle la rgle sera insre - NAT, MANGLE, FILTER -par dfaut-
CRITERE : permet de renseigner les
ritres de
hoix - adresse IP sour
e, port destination...ACTION : peut prendre les valeurs ACCEPT, DROP, LOG, envoi dans une
hane.
Par exemple pour autoriser les dbuts de
onnexion http vers la ma
hine il faut utiliser :
Ds que Netlter ren
ontre une rgle appli
able au paquet il arrte la re
her
he et ex
ute les
a
tions
orrespondantes. Il n'y a qu'une ex
eption
ette rgle
'est si l'a
tion est LOG Il est don
possible d'ee
tuer deux a
tions si l'une d'elle est LOG - exemple LOG et DROP -.
L'ide de base est que tout
e qui n'est pas expli
itement autoris doit tre interdit. Don
il faut
rire les rgles pour les paquets utiliss et la dernire rgle doit tre un DROP de tous les paquets qui
ont russi passer.
Conguration par dfaut Le traitement des rgles se fait don
dans l'ordre d'apparition de
elles
i. Ds qu'un paquet
on
ide ave
une rgle
elle
i lui est applique et le pro
essus de ltrage est
interrompu pour le paquet. Si au
une rgle ne s'applique au paquet
'est la politique par dfaut qui
est applique. C'est l'option -P qui dnit la politique par dfaut.
Par exemple, pour dnir une politique de rejet de tous paquets il faut :
Iptables -P INPUT DROP
Iptables -P OUTPUT DROP
Iptables -P FORWARD DROP
9.3.3
Pour la tradu
tion d'adresses il y a trois
ibles supplmentaires possibles : SNAT, DNAT, MASQUERADE. Par exemple pour faire de la NAT dynamique derrire une adresse IP Internet 194.2.232.1
il faut
rire :
66
CHAPITRE 9.
LES FIREWALLS
Fermer tous les ports, en entre
omme en sortie, et en TCP
omme en UDP ;
Interdire tous les paquets ICMP entrer ou sortir de l'ordinateur ;
Autoriser les paquets ICMP "E
ho Request" sortir de l'ordinateur ;
Autoriser les paquets ICMP "E
ho Reply", "Destination Unrea
hable" et "Time Ex
eeded for a
Datagram" rentrer ;
Ouvrir le port 53 dans les deux sens ;
Autoriser le navigateur Internet sortir vers les ports 80 et 443 ;
Autoriser le le
teur de
ourrier sortir vers les port 25 et 110 ;
Autoriser le le
teur de news sortir vers le port 119 ;
Autoriser le le
teur de news sortir vers le port 25 ;
Autoriser le logi
iel de FTP sortir vers le port 21 ;
Autoriser le logi
iel de FTP re
evoir des donnes en provenan
e du port 20 ;
A noter que selon le rewall, les deux premires rgles -
elle interdisant toute
onnexion en TCP
et UDP, et
elle bloquant tous les paquets ICMP - peuvent tre pla
er aprs toutes les autres rgles.
Chapitre 10
10.1 Dnition
SSH est une appli
ation permettant d'a
der une ma
hine distante de faon s
urise. Elle se
pla
e dans la
ontinuit des appli
ations telnet, RSH ou Rlogin qui bien que toujours utilises par des
appli
ations - notamment telnet -, ne sont pas s
urises. Par exemple ave
telnet lors de la
onnexion
distante, le mot de passe
ir
ule en
lair sur le rseau. Don
, les mots de passe
onnexion distante et
systme n'tant pas d
orls il est possible de voir le mot de passe root en
lair sur le rseau, ave
tout
e que
ela implique. SSH est don
une appli
ation mais le terme re
ouvre galement le proto
ole
asso
i. L'appli
ation la plus utilise est OpenSSH qui s'appuie sur le proto
ole SSH1 ou SSH2.
qui onsiste emp her quelqu'un de dire je ne l'ai pas fait si 'est le as
67
68
CHAPITRE 10.
Internet
Machine A
Port 80
Si le rewall ne laisse passer que les paquets destination du port 80 en sortie il sut d'envoyer
les informations la ma
hine A sur le port 80, l'aide du proto
ole SSH, mais en rajoutant dans la
trame un autre proto
ole :
Don
pour ltrer au niveau du rewall il faut monter en
ou
he appli
ative pour vrier que le
proto
ole utilis ave
le port 80 est bien http. C'est le rle du proxy en
omplment du rewall.
Cependant mme un proxy prsente des failles. En eet, le port https est le port 443, mais sur le port
https les paquets sont
hirs, don
le rewall ne peut pas lire les donnes de la
ou
hez appli
ative.
Il devient don
possible de faire passer SSH malgr le proxy.
la d
orellation des mots de passe SSH et UNIX,
e qui permet d'viter de
orrompre le mot de
passe UNIX.
l'authenti
ation forte par
l RSA. L'authenti
ation
onsiste prouver quelle est notre identit.
L'authenti
ation forte
onsiste asso
ier un se
ret - mot de passe - ave
un objet possd la
l -. Pour tre authentier il faut fournir la fois la
l et le mot de passe. Cette mthode
permet d'obtenir des
onnexions multiples ave
un seul mot de passe.
10.6.
69
2. La
l publique du serveur permet de d
hirer la signature qu'il envoie en dbut de toute nouvelle
onnexion, don
de l'authentier.
3. Le
lient envoie sa signature
ode ave
sa
l prive.
4. Le serveur vrie alors la signature gr
e sa
l prive.
5. Si les deux vri
ations sont valides, une
l de session est
re pour
ommen
er les
hanges
de donnes. La
l de session est une
l symtrique de type DES.
Il faut imprativement en donner une relativement
omplexe lors de la premire
onnexion sur la
ma
hine distante. Elle reprsente le se
ret pour les
onnexions suivantes. La passphrase est le mot de
passe qui permet de
hirer la
l sur le disque, don
pas de passphrase implique pas de
ryptage.
10.7.2
Attention il y a un risque d'
raser les an
iennes
ls lors de la
ration de la nouvelle
l. La solution
onsiste don
rer les
ls dans un autre rpertoire gr
e l'option -f path, path reprsentant le
hemin du rpertoire o seront
res les
ls. Ensuite il sut de re
opier la
l dans le bon
hier en
la
on
atnant au
hier dj existant. Les permissions sur le rpertoire
ontenant les
ls - /.ssh/ doivent tre 755. La gnration des
ls est simple :
ssh -keygen -t rsa -b 1024
Il est ensuite n
essaire de
opier la
l publique sur le serveur - dans le rpertoire de
opie - :
s
p /home/toto/.ssh/id_rsa.pub /totoserveur :/home/toto/authorized_keys.
op
Ensuite, la
l est re
opie dans le bon rpertoire du serveur :
at /home/toto/.ssh/authorized_keys.
op /home/toto/.ssh/authorized_keys
Pour pr
iser l'empla
ement de la
l prive il faut utiliser :
ssh toto192.168.101.47 -i /home/.ssh/id_rsa
Il ne reste plus qu' se
onne
ter depuis le
lient :
ssh totoserveur
Il reste indiquer la passphrase pour l'utilisateur toto.
10.7.3
Debugger le serveur
Pour lan
er le serveur ssh en mode debug il faut tout d'abord stopper le serveur avant de le relan
er
en mode debug :
70
CHAPITRE 10.
Annexe A
Exer
i
es
A.1
La ou he 3
A.1.1
Exer i e 1
11111111.11111111.11111111.11100000
2. Dnition des bits rseau : une ma
hine de
e rseau est 127.24.99.132. Les ma
hines sont
odes uniquement dans le dernier bit -
f masque-. 132=10000100 don
les bits rseau sont :
127.24.99.100xxxxx.
3. La premire adresse vaut don
127.24.99.128 -bits ma
hines 0-,et la dernire est 124.24.99.159
-bits ma
hine 1-.
4. Le nombre d'adresses de
e rseau est don
de 25 , les ma
hines tant
odes sur
inq bits.
A.1.2
Exer i e 2
Exer i e 3
Un fournisseur d'a
s internet fournit 256 adresses une
ole : plage 194.2.232.0
masque 255.255.255.0. Celle
i
omprend 100 lves, 20 professeurs et 5 administrateurs.
Je veux d
ouper la plage en 3 rseaux dirents. Donner la premire et la dernire
adresse de
haque sous rseau
1. Dnition des masques :
Pour les lves il faut 100 adresses,
e qui n
essite sept bits pour les ma
hines - 26 100 27 -,
le masque vaut don
255.255.255.10000000.
71
72
ANNEXE A.
EXERCICES
Pour les professeurs il faut vingt adresses,
e qui n
essite
inq bits pour les ma
hines -24
20 25 -, le masque vaut don
255.255.255.11100000.
Pour les administratifs il faut
inq adresses
e qui n
essite trois bits pour les ma
hines. Cependant si on se limite trois les possibilits d'extension du rseau seront limites,
'est pourquoi
il est plus opportun de
oder les ma
hines sur quatre bits dans
e
as. Le masque vaut don
255.255.255.11110000.
2. Rpartition des bits de rseau pour les sous-rseaux. Seul le dernier o
tet est indiqu les trois
autres tant xs 194.2.232.
lves : 1xxxxxxx
professeurs : 000xxxxx
administratifs : 0100xxxx
3. Les premires et dernires adresses de
haque sous-rseau sont don
:
pour les lves : 194.2.232.128 192.2.232.255
pour les professeurs : 194.2.232.0 194.2.232.31
pour les administratifs : 194.2.232.64 194.2.232.79
4. Il est fa
ile de vrier que les direntes plages d'adresse ne se re
oupent pas.
A.1.4
Exer i e 4
Un fournisseur d'a
s internet fournit une
ole : plage 10.24.192.0 masque 255.255.240.0.
Celle
i
omprend 1200 lves, 150 professeurs et 10 administratifs. Je veux d
ouper la
plage en 3 rseaux dirents. Donner la premire et la dernire adresse de
haque sous
rseau
1. Dnition des masques : 240 = 11110000 192 = 11000000 On dispose don
de 212 adresses
Pour les lves il faut 1500 adresses,
e qui n
essite onze bits pour les ma
hines - 210 1500
211 -, le masque vaut don
255.255.11111000.0 soit 255.255.248.0.
Pour les professeurs il faut
ent
inquante adresses,
e qui n
essite huit bits pour les ma
hines
-27 150 28 -, le masque vaut don
255.255.255.0.
Pour les administratifs il faut dix adresses
e qui n
essite quatre bits pour les ma
hines. Le
masque vaut don
255.255.255.240.
2. Rpartition des bits de rseau pour les sous-rseaux. Seul les troisime et quatrime o
tets sont
indiqus :
lves : 11000xxx xxxxxxxx
professeurs : 11001000.xxxxxxxx
administratifs : 11001001.0000xxxx
3. Les premires et dernires adresses de
haque sous-rseau sont don
:
pour les lves : 10.24.192.0 10.24.199.255
pour les professeurs : 10.24.200.0 10.24.200.255
pour les administratifs : 10.24.201.0 10.24.201.15
4. Il est fa
ile de vrier que les direntes plages d'adresse ne se re
oupent pas.
A.1.5
Exer i e 5
Mme exer
i
e que le numro 4 mais en plaant d'abord les petites plages
1. Dnition des masques : in
hang.
2. Rpartition des bits de rseau pour les sous-rseaux. Seul les troisime et quatrime o
tets sont
indiqus :
lves : 11001xxx xxxxxxxx
A.2.
73
LA COUCHE 4
professeurs : 11000100.xxxxxxxx
administratifs : 11000000.0000xxxx
3. Les premires et dernires adresses de
haque sous-rseau sont don
:
pour les lves : 10.24.200.0 10.24.207.255
pour les professeurs : 10.24.196.0 10.24.196.255
pour les administratifs : 10.24.192.0 10.24.192.15
4. Il est fa
ile de vrier que les direntes plages d'adresse ne se re
oupent pas.
A.1.6
Exer i e 6
Exer i e 7
A.2
La ou he 4
A.2.1
Exer i e 1
non
IP dest
IP sr
Port sr
X
Port dest
80
Nous sommes don
, priori, en prsen
e d'un broad
ast. Ce pourrait tre une re
her
he des serveurs
sur le rseau, mais il risque alors d'y avoir plusieurs ma
hines qui rpondent en SYN + ACK
e que je
ne sais pas traiter. Don
TCP n'a pas de broad
ast,
ar a n'a pas de sens : TCP tablit une
onnexion
ave
une seule autre ma
hine par session. Don
si il est n
essaire de faire un broad
ast il faut utiliser
UDP
74
ANNEXE A.
A.2.2
EXERCICES
Exer i e 2
non
A .1
10.0.0.0/24
.254
R1
.1
10.0.1.0/24
.254
R2
194.2.232.52
Internet
Corrig
Rseau
10.0.0.0
10.0.1.0
0.0.0.0
Tab.
masque
/24
/24
/24
Passerelle
0.0.0.0
0.0.0.0
10.0.1.254
question 1 Rappel : Les adresses 10.0.0.0/8 ne sont pas routes sur internet, elles sont rserves aux
rseaux lo
aux don
elles ne doivent pas tre routes sur internet.
MAC
R2
MAC
R1
IP
Long
tot 3
TCP
IP
A
IP
Google
Port
XA
Port
80
Flg
Urg
Ptr
DATA
CRC
IP
Long
tot 3
TCP
IP
R2
IP
Google
Port
XR2
Port
80
Flg
Urg
Ptr
DATA
CRC
question 2
MAC
R3
MAC
R2
question 3 Les adresses 10.0.0.0/8 n'tant pas routes sur internet il est n
essaire d'avoir re
ours
la NAT.
A.2.
LA COUCHE 4
75
question 4
question 5
la priorit...
L'appli ation envoit une requte en donnant : les DATAS, le proto ole de ou he 4 -TCP-,
ou
he 4 Le port destination est
onnu -80-, le systme d'exploitation fournit un port sour
e
libre puis forme le segment TCP. Pour obtenir l'adresse IP de Google, il fait appel au resolver pour la
rsolution de nom et envoit le segment et les adresses IP la
ou
he 3.
ou he 3
Pour former la trame Ethernet il faut
onnatre l'adresse MAC destination. Il faut don
aller voir dans la table de routage pour obtenir l'adresse IP de la passerelle, ou
elle de la ma
hine de
destination, si elle est dans le rseau lo
al. I
i il faut re
her
her la passerelle. Ave
ette adresse IP on
onsulte la table ARP, soit elle est renseigne et on obtient l'adresse MAC soit il faut la renseigner
auquel
as une requte ARP est envoye sur le rseau pour obtenir l'adresse MAC re
her
he. Ensuite
il est possible de former la trame Ethernet en
al
ulant au passage le CRC de
ou
he 2. La trame est
ensuite envoye sur le rseau.
ou
he 2
ou
he 1/2 Le paquet arrive au swit
h qui aiguille le paquet vers le routeur aprs avoir lules
informations de
ou
he 2.
L'adresse MAC
orrespond la sienne, il lit don
les informations de
ou
he 3 en re
al
ulant le CRC. L'adresse IP
orrespond bien
elle rfren
e pour 127.0.0.1 dans sa table de routage
don
il garde la trame et envoit les DATAS la
ou
he 4. Le port
orrespond bien l'appli
ation don
les informations sont exploites par l'appli
ation.
Google
Remarque Sur le rseau initial il y a en plus un serveur DNS de rsolution de nom et ventuellement un proxy. La page google n'est pas envoye immdiatement : Le premier message de A
omporte
le SYN, la rponse de google le SYN + ACK et enn le ACK de A. Google ne
ommen
e envoyer la
page qu' partir de la se
onde trame.
76
A.3
A.3.1
ANNEXE A.
EXERCICES
La NAT
Exer
i
e 1
non
Une entreprise TOTO s'adresse COLT pour obtenir des adresees IP. En interne il y a :
600
ollaborateurs
4 serveurs web
5 serveurs FTP
5 serveurs mail
2 seveurs SSH
Combien d'adresses web faut-il demander ?
Rponse
Je ne peux pla
er que un type de serveur par adresse,
ar ave
la NAT je dois asso
i au niveau
du routeur desservant
ette adresse l'adresse du serveur sur le rseau lo
al ave
le numro de port
destination ae
t
e type d'appli
ation. Il faut don
demander
inq adresses web.
Complment
Si COLT me donne 194.2.232.0/24, je demande don
les adresses allant de 194.2.232.0/29 194.2.232.7/29.
Je dispose don
de huit adresses au total, dont
elle de rseau et
elle de broad
ast. Il reste don
six
adresses disponibles.
194.2.232.6 rseau
ollaborateur
194.2.232.1 : WEB 1, FTP 1, Mail 1, SSH 1
194.2.232.2 : WEB 2, FTP 2, Mail 2, SSH 2
194.2.232.3 : WEB 3, FTP 3, Mail 3
194.2.232.4 : WEB 4, FTP 4, Mail 4
194.2.232.5 : FTP 5, Mail 5
Cette rpartition est a
eptable, mais je peux garder une adresse en rserve si je regroupe les
ollaborateurs sur une autre adresse. En rgle gnrale,il est prfrable de demander un masque sur 28
bits pour avoir 16 adresses et se garder des possibilits d'volution.
Annexe B
La transmission en bande de base
B.1
Introdu tion
La transmission numrique
onsiste faire transiter les informations sur le support physique de
ommuni
ation sous forme de signaux numriques. Ainsi, des donnes analogiques devront pralablement tre numrises avant d'tre transmises.
Toutefois, les informations numriques ne peuvent pas
ir
uler sous forme de 0 et de 1 dire
tement,
il s'agit don
de les
oder sous forme d'un signal possdant deux tats, par exemple :
deux niveaux de tension par rapport la masse
la diren
e de tension entre deux ls
la prsen
e/absen
e de
ourant dans un l
la prsen
e/absen
e de lumire
...
Cette transformation de l'information binaire sous forme d'un signal deux tats est ralise par
l'ETCD, appel aussi
odeur bande de base, d'o l'appellation de transmission en bande de base pour
dsigner la transmission numrique...
B.2
Pour que la transmission soit optimale, il est n
essaire que le signal soit
od de faon fa
iliter
sa transmission sur le support physique. Il existe pour
ela dirents systmes de
odage pouvant se
lasser en deux
atgories :
Le
odage deux niveaux : le signal peut prendre uniquement une valeur stri
tement ngative ou
stri
tement positive (-X ou +X, X reprsentant une valeur de la grandeur physique permettant
de transporter le signal)
Le
odage trois niveaux : le signal peut prendre une valeur stri
tement ngative, nulle ou
stri
tement positive (-X, 0 ou +X)
B.3
Le odage NRZ
Le
odage NRZ (signiant No Return to Zero, soit Non Retour Zro) est le premier systme de
odage,
ar le plus simple. Il
onsiste tout simplement transformer les 0 en -X et les 1 en +X, de
ette faon on a un
odage bipolaire dans lequel le signal n'est jamais nul. Par
onsquent, le r
epteur
peut dterminer la prsen
e ou non d'un signal.
77
78
ANNEXE B.
Fig.
B.4
Le odagde NRZI
Le
odage NRZI est sensiblement dirent du
odage NRZ. Ave
e
odage, lorsque le bit est 1, le
signal
hange d'tat aprs le top d'horloge. Lorsque le bit es 0, le signal ne subit au
un
hangement
d'tat. Le
odage NRZI possde de nombreux avantages, dont :
la dte
tion de la prsen
e ou non du signal
la n
essit d'un faible
ourant de transmission du signal
Fig.
En revan
he, il possde un dfaut : la prsen
e d'un
ourant
ontinu lors d'une suite de zro, gnant
la syn
hronisation entre metteur et r
epteur.
B.5
Le
odage Man
hester, galement appel
odage biphase ou PE (pour Phase En
ode), introduit
une transition au milieu de
haque intervalle. Il
onsiste en fait faire un OU ex
lusif (XOR) entre le
signal et le signal d'horloge,
e qui se traduit par un front montant lorsque le bit est zro, un front
des
endant dans le
as
ontraire. Le
odage Man
hester possde de nombreux avantages, dont :
le non passage par zro, rendant possible par le r
epteur la dte
tion d'un signal
un spe
tre o
upant une large bande
B.6.
79
LE CODAGE DELAY
Fig.
B.6
Le odage delay
Le
odage Delay Mode, aussi appel
ode de Miller, est pro
he du
odage de Man
hester, la
diren
e prs qu'une transition apparat au milieu de l'intervalle uniquement lorsque le bit est 1,
ela permet de plus grands dbits.
Fig.
B.7
Le odage bipolaire
Le
odage bipolaire simple est un
odage sur trois niveaux. Il propose don
trois tats de la grandeur
transporte sur le support physique :
La valeur 0 lorsque le bit est 0
Alternativement X et -X lorsque le bit est 1
80
ANNEXE B.
Fig.
Annexe C
Fibres optiques
C.1
Le prin
ipe de fon
tionnement des bres optiques repose sur les relations de Fresnel. L'indi
e de
rfra
tion de la bre varie le long du rayon de la bre. Considrons le passage d'un milieu d'indi
e 1
un milieu d'indi
e 2. Si l'onde lumineuse in
idente arrive sur la surfa
e de
onta
t ave
un angle 1
par rapport la normale la surfa
e alors la relation de Fresnel indique que l'onde rfra
te prsentera
un angle theta2 la normale.
Fig.
La valeur 2 est donne par 1 sin 1 = 2 sin 2. Le rsultat vis tant que l'onde lumineuse
reste dans l'paisseur de la bre, la proprit utilise va tre dirente en fon
tion du type de bre.
Pour une bre saut d'indi
e,
'est la rexion totale qui va tre re
her
he lors du
hangement de
milieu. En revan
he pour une bre variation d'indi
e
'est la rfra
tion qui va tre utilise pour que
l'onde se rappro
he de l'axe de la bre jusqu' atteindre l'angle de rexion totale. Don
, il faut que
l'angle augmente don
que l'indi
e diminue.
81
82
ANNEXE C.
FIBRES OPTIQUES
Fig.
La bre monomode
dont le
oeur est si n que le
hemin de propagation des dirents modes est
pratiquement dire
t. La dispersion nodale devient quasiment nulle. La bande passante transmise
est presque innie (> 10Ghz/km). Cette bre est utilise essentiellement pour les transmissions
grande distan
e.
Le petit diamtre du
oeur (10um) n
essite une grande puissan
e d'mission, don
des diodes au laser,
qui sont relativement onreuses.
Fig.
Le s
hma
i dessous retra
e pour les trois types de bre la propagation de l'onde lumineuse en
fon
tion de leur angle d'mission. Il illustre le prin
ipe de fon
tionnement d
rit en dbut de
hapitre.
C.2.
Fig.
83
Le
hemin par
ouru n'a pas la mme longueur pour tous les rayons. C'est
e que l'on appelle la
dispersion nodale.
L'attnuation est
onstante quelle que soit la frquen
e Seule la dispersion lumineuse limite la
largeur de la bande passante.
Fig.
84
ANNEXE C.
Fig.
FIBRES OPTIQUES
L'aaiblissement de la lumire dans la bre est fon
tion de la longueur d'onde de la sour
e. Elle
est
onstante pour toutes les frquen
es du signal utile transmis. Le dessin
i-dessus montre que l'affaiblissement est plus important dans le rouge (850nM) que dans l'infrarouge (1300-1550nM).
C.3
Il existe nombre de
onne
teurs pour la bre optique. Les plus rpandus sont les
onne
teurs
et
. Pour les rseaux FDDI, on utilise les
onne
teurs doubles
.
SC
MIC
ST
Fig.
Fig.
C.3.
85
LES CONNECTIONS
Fig.
Fig.
86
ANNEXE C.
FIBRES OPTIQUES
Bibliographie
[1
[2
[3
[4
87