Tp : WireShark

Travaux pratiques : messages de contrôle internet (ICMP)

1. Protocoles et outils étudiés

• Internet Control Message Protocol ou ICMP ; messages de type : Echo, Echo Reply
et Time Exceeded.
• Internet Protocol ou IP ; champ de l'en-tête IP : Time to Live.
• Commande ping.
• Commandes traceroute et tcptraceroute.

2. Marche à suivre

Commande ping

1. Lancer Wireshark.
2. Lancer la capture des trames sans restrictions d'adresses, de protocoles ou de volume.
3. Lancer une console et taper une commande du type ping -c10 www.phrack.org.
L'option -c10 limite le nombre de requêtes ICMP à 10. Bien sûr, le choix de l'adresse
à contacter est totalement libre.
4. Arrêter la capture lorsque l'invite de commande réapparaît à la console.
5. Sauvegarder le fichier de capture.

Commande traceroute

1. Lancer Wireshark.
2. Lancer la capture des trames sans restrictions d'adresses, de protocoles ou de volume.
3. Lancer une console et taper une commande du type traceroute www.phrack.org.
Bien sûr, le choix de l'adresse à contacter est totalement libre.
4. Arrêter la capture lorsque l'invite de commande réapparaît à la console.
5. Sauvegarder le fichier de capture.

La plage de ports UDP utilisée par défaut par la commande traceroute est de plus en plus
fréquemment bloquée par les équipements d'interconnexion. Il est alors utile d'envisager
l'emploi de la commande tcptraceroute avec laquelle on peut fixer les ports source et
destination.

Commande tcptraceroute

1. Lancer Wireshark.
2. Lancer la capture des trames sans restrictions d'adresses, de protocoles ou de volume.
3. Lancer une console et taper une commande du type tcptraceroute -
p 1024 www.phrack.org 80. Bien sûr, le choix de l'adresse à contacter est
totalement libre.
4. Arrêter la capture lorsque l'invite de commande réapparaît à la console.
5. Sauvegarder le fichier de capture.

3. Analyse avec ping

Mr E Snoussi Page 1
Tp : WireShark

Pour répondre aux questions suivantes, utiliser le résultat de la capture issue de l'étape
précédente ou charger un fichier de capture.

3.1. Protocoles capturés

1. Quels sont les protocoles indiqués dans la colonne Protocol de la fenêtre de liste des trames
capturées ?
Il est probable que les paquets ICMP soient précédés d'un jeu de question/réponse DNS.
2. Relever l'adresse IP renvoyée avec la réponse DNS.

3.2. Message ICMP «Echo Request»

Étude du paquet IP qui correspond au premier message ICMP Echo Request.

1. Quelle est l'adresse IP destination du paquet ? Quelle est la valeur du champ Protocol
Type ? Quelle est la valeur du champ Time to Live ?

Étude du message ICMP.

1. Quel est le type de message ICMP ? Quel est l'identificateur de message ? Quel est le
numéro de séquence ?
2. Sélectionner à la souris les octets de données du message de requête. Comparer ces données
avec celles affichées dans la fenêtre d'affichage brut.

3.3. Message ICMP «Echo Reply»

Étude du paquet IP qui correspond au premier message ICMP Echo Reply.

1. Quelle sont les adresses IP source et destination du paquet ? Quelle est la valeur du champ
Protocol Type ? Quelle est la valeur du champ Time to Live ?

Étude du message ICMP.

1. Quel est le type de message ICMP ? Comparer l'identificateur de message et le numéro de

séquence du message de réponse avec les valeurs du message de requête.
2. Sélectionner à la souris les octets de données du message de requête. Comparer ces données
avec celles affichées dans le message de requête.

3.4. Messages ICMP restants

Reprendre les 2 points précédents pour les messages ICMP Echo Request et Echo Reply
restants.

1. Comment les champs d'identification et de numéro de séquence évoluent dans le temps ?

2. Est-ce que les séquences de données des requêtes et des réponses changent ?
3. Calculer l'écart de temps entre l'émission de chaque message Echo Request et la réception
de chaque message Echo Reply. Comparer les résultats avec les valeurs maximum,

Mr E Snoussi Page 2
Tp : WireShark

moyenne et minium fournies par la commande ping.

4. Analyse avec (tcp)traceroute

Pour répondre aux questions suivantes, utiliser le résultat de la capture issue de l'étape
précédente ou charger un fichier de capture.

4.1. Protocoles capturés

1. Quels sont les protocoles indiqués dans la colonne Protocol de la fenêtre de liste des trames
capturées ?
Il est probable que les paquets ICMP soient précédés d'un jeu de question/réponse DNS.
2. Relever l'adresse IP renvoyée avec la réponse DNS.

4.2. Message UDP

1. Quelle est l'adresse IP destination du premier paquet contenant le message UDP ? Quelles
sont les valeurs des champs Protocol Type et Time to Live ?
Comparer l'adresse IP destination relevée avec celle de la réponse DNS. Noter les valeurs
caractéristiques de l'en-tête IP en vue d'une utilisation ultérieure.
2. Combien d'octets de données sont présents dans ce message de requête ?
Noter la séquence de caractères présente dans la troisième fenêtre.

4.3. Message ICMP «Time Exceeded»

1. Quelles sont les adresses IP source et destination du paquet de la première réponse ICMP
Time Exceeded ?

Étude du message ICMP.

1. Quel est le type de message ICMP ?

Les champs Type, Code et Checksum sont suivis par plusieurs octets à zéro puis par l'en-tête
IP du message ICMP Echo Request. Comparer les valeurs caractéristiques de cet en-tête
avec celles notées ci-avant.
2. Est-ce que le message ICMP contient de nouveaux octets de données ?

4.4. Evolution du champ TTL

1. Combien de messages UDP sont émis avec la même valeur de champ TTL dans l'en-tête de
paquet IP ?
2. Quelles sont les adresses IP source des paquets ICMP Time Exceeded ?
Comparer ces adresses avec celles données lors de l'exécution de la commande traceroute.
3. Quel est le type du message ICMP reçu lorsque l'hôte destinataire est atteint ?
4. Comment calculer les temps affichés par la commande traceroute à partir des valeurs
données dans la colonne Time de la fenêtre des trames capturées ?

Mr E Snoussi Page 3
Tp : WireShark

Utiliser les pages de manuels de la commande traceroute pour obtenir la signification des
différentes valeurs de temps pour atteindre une destination.

4.5. Variantes

Il est possible de reprendre les questions ci-dessus en utilisant différentes options des
commandes traceroute et|ou tcptraceroute.

• Analyse uniquement à base de messages ICMP avec l'option -I : traceroute -I

www.phrack.org.
• Analyse à base de segments TCP en précisant le numéro de port visé : tcptraceroute
www.phrack.org 80.

Cette dernière variante est très utile pour vérifier si un service est ouvert ou non.

Mr E Snoussi Page 4