Protocoles TCP/IP

TP N4

TP4 - Scan de ports et de

services rseaux & analyse de
TCP three way handshake

Formateur: Raki HAMMAMI

RH-INSAT-2015/2016

1/5

Protocoles TCP/IP

TP N4

Scan de ports et de services rseaux & Analyse du

TCP 3 way handshake
A-Scan de ports et de service rseau
Nmap est un scanner de ports open source distribu par Insecure.org. Il est conu pour
dtecter les ports ouverts, identifier les services hbergs et obtenir des informations sur le
systme d'exploitation d'un ordinateur distant. Ce logiciel est devenu une rfrence pour les
administrateurs rseaux car l'audit des rsultats de Nmap fournit des indications sur la scurit
d'un rseau. Il est disponible sous Windows, Mac OS X, Linux, BSD et Solaris. L'utilistion de
nmap en ligne de commande tant assez complexe au vu du nombre d'options possibles nous
utiliserons une interface graphique (zenmap pour Linux ou dotnmap pour windows).
LAB
Pour les machines sous Linux, installer le scanneur de ports nmap via les commandes cidessous :
#bzip2 -cd nmap-5.51.tar.bz2 | tar xvf #cd nmap-5.51
#./configure
#make
#su root
#make install
Ou plus tout simplement
#apt-get install nmap
Pour les machines sous Windows, installer la version graphique Zenmap depuis le site
https://namp.org
Vous pouvez consulter la liste ddes options possibles via la commande :
#nmap h
Parmi les options utiles,
-O permet de deviner quel est le type dune machine,
-sS permet de faire un test de ports assez rapide,
-P0 permet de faire un test mme si la machine ne rpond pas au ping.
Quelques types de scan utiliss par Nmap :
TCP SYN Scan sS
Cela dmarre le TCP 3 way handshake TCP, mais ne le completepas. Par consquent, il est
aussi appel le "STEALTH SCAN" ou " half open scanning.

RH-INSAT-2015/2016

2/5

Protocoles TCP/IP

TP N4

TCP Connect -sT

Ce scan complte le TCP 3 way handshake cela veut dire que la victime prend les dtails
de votre IP. Ceci est type de scan le plus fiable pour votre rseau, ou si vous tes autoris
utiliser des scans. Cependant, en tant que hacker ce nest pas le type de scan utiliser comme
vous allez tre dtect par la victime.

Ping Scan -sP

Cela envoi une requte ICMP echo request, et il attend une rponse ICMP echo
reply. Plusieurs systmes ont des Firewalls qui bloquent les paquets ICMP.

UDP Scan -sU

Cela envoi un paquet UDP sa victime et attend un UDP reply. UDP est un protocole non
connect. Il faut pas oublier que TCP port 80, est totalement diffrent de UDP port 80.

1. Scanner une machine de votre rseau 192.168.1.X et analyser les rsultats

2. Demander un scan sur une tendue de ports allant de 0 300 avec l'option Connect
et capturer les trames changes avec wireshark.

RH-INSAT-2015/2016

3/5

Protocoles TCP/IP

TP N4

3. Visualiser le rsultat, quels sont les ports mis en jeu. En utilsant un filtrage adapt, sur
l'affichage de wireshark, monter le mcanisme de communication (change des
trames) mis en jeu dans le cas o le port est ouvert et dans le cas ou le port ne l'est
pas.
4. Tester avec la commande telnet quelques ports ouverts.
5. Qu'est ce qu'un port ouvert ?
6. Tester un scan sur des ports UDP
7. Quelle la diffrence entre les aspects closed et filtered ?
8. Quelle commande utiliser vous pour dterminer quels sont les machines base de
donnes (Oracle, MSSqlServer) ?

B-Analyse du TCP Three--way handshake

LAB

- Entrer ladresse suivante : http://www.insat.rnu.tn/dans le navigateur, ds que la

page est charge, arrter la capture dans Wireshark.
Identifier le premier segment TCP qui ouvre la connexion HTTP en utilisant le
mcanisme three-- way handshake.
1. Quel est le numro de port TCP de destination utilis par le client, est ce quil
correspond un port well--known TCP.
2. Quelle est la taille de len--tte du segment TCP ?
3. Quelle est la longueur du segment TCP ? pourquoi ?
4. Quel est le numro de squence TCP du premier paquet (du client vers le serveur)
? Quelle est la taille de la fentre TCP annonce par le client ? quelle est sa
signification ?
Identifier le deuxime segment TCP appartenant au three--way handshake
5. Donner la valeur des champs suivants :
a. Adresse Source et Destination ainsi que le champ type de la trame Ethernet
b. Adresse Source et Destination ainsi que le numro (en hxa) du protocole contenu
dans le paquet IP
c. Le numro de lacquittement contenu dans le segment TCP
6. Quelle est la taille du segment TCP (le segment que vous avez identifi) ? 15.
Quel est le numro de squence initial (serveur vers le client) ?
7. Quelle est la valeur de la fentre TCP annonce par le serveur ?
8. A partir des deux paquets SYN et SYN--ACK, dterminer la taille du MSS
(Maximum Segment Size) accept par le serveur et le client ? Dduisez la taille du
MTU du lien physique utilis par le serveur et le client ?

RH-INSAT-2015/2016

4/5

Protocoles TCP/IP

TP N4

Identifier le dernier segment TCP appartenant au three--way handshake

9. Identifier dans ce segment TCP
a. Le numro dacquittement ainsi que le numro de squence
b. La taille de la fentre TCP
Pour une meilleure lisibilit des numros de squences, on va demander
Wireshark de redessiner la conversation dans un graphe. Utiliser (Statistics Flow
Graph)

10. En vous basant sur les segments qui suivent le three handshak, relevez le
contenu des champs numro de squence et numro dacquittement et dduisez
comment ces valeurs voluent avec le temps ? aidez-vous dun schma.
Le paquet HTTP 200 OK est une rponse la requte GET du client. Il contient la
taille de la page demande, c'est dire les donnes applicatives qui vont suivre du
serveur vers le client ainsi que dautres informations relatives au serveur.
11. En analysant l'en-tte HTTP du 200 OK, relevez le type du serveur web distant et
son systme dexploitation ?

RH-INSAT-2015/2016

5/5