Travaux pratiques - Utilisation de Wireshark pour observer la
connexion TCP en trois étapes
Topologie
Objectifs
Partie 1 : Préparer Wireshark pour capturer des paquets
Partie 2 : Capturer, localiser et examiner les paquets
Contexte/scénario
Au cours de ces travaux pratiques, vous utiliserez Wireshark pour capturer et examiner les paquets générés
entre le navigateur de l'ordinateur en utilisant le protocole HTTP (Hypertext Transfer Protocol) et un serveur
web, tel que www.google.com. Lorsqu'une application, comme le protocole HTTP ou FTP (File Transfer
Protocol) démarre d'abord sur un hôte, TCP utilise la connexion en trois étapes pour établir une session TCP
fiable entre les deux hôtes. Par exemple, lorsqu'un ordinateur utilise un navigateur web pour naviguer sur
Internet, une connexion en trois étapes est lancée et une session est établie entre l'ordinateur hôte et le
serveur web. Un ordinateur peut avoir des sessions TCP actives, multiples et simultanées avec différents
sites web.
Attention : l’installation ou l’utilisation d’une application Analyseur de paquets peut constituer une violation de
la politique de sécurité d’une organisation, qui peut entraîner de graves conséquences légales et financières.
Il est donc recommandé d’obtenir les autorisations requises avant de télécharger, d’installer ou d’exécuter
une application Analyseur de paquets.
Ressources requises
1 ordinateur (Windows 10,11 équipé d'un accès à Internet, d'un accès aux invites de commandes et de
Wireshark
Partie 1 : Préparer Wireshark pour capturer des paquets
Dans la première partie, vous allez démarrer le programme Wireshark et sélectionner l'interface appropriée
pour commencer à capturer des paquets.
Étape 1 : Récupérez les adresses d'interface de l'ordinateur.
Dans le cadre de ces travaux pratiques, vous devez récupérer l'adresse IP de votre ordinateur et l'adresse
physique de sa carte réseau, également appelée adresse MAC.
Travaux pratiques - Utilisation de Wireshark pour observer la connexion TCP en trois étapes
a. Ouvrez une fenêtre d'invite de commande, tapez ipconfig /all et appuyez sur Entrée.
b. Inscrivez les adresses IP et MAC associées à la carte Ethernet sélectionnée. Il s'agit de l'adresse source
à rechercher lors de l'examen des paquets capturés.
Adresse IP de l'ordinateur hôte : _________________________________________________________
Adresse MAC de l'ordinateur hôte : _______________________________________________________
Étape 2 : Démarrez Wireshark et sélectionnez l'interface appropriée.
a. Cliquez sur le bouton Démarrer de Windows. Dans le menu déroulant, double-cliquez sur Wireshark.
b. Une fois Wireshark démarré, sélectionnez l'interface active pour la capture des données. L'interface
active affiche les activités de trafic.
Partie 2 : Capturer, localiser et examiner des paquets
Étape 1 : Capturez les données.
a. Cliquez sur le bouton Start (Démarrer) pour démarrer la capture des données.
b. Ouvrez un navigateur web et tapez www.google.com.
192.168.10.4
F8-63-3F-CD-57-34
Travaux pratiques - Utilisation de Wireshark pour observer la connexion TCP en trois étapes
c. Réduisez la fenêtre du navigateur et revenez à Wireshark. Arrêtez la capture des données.
Remarque : votre formateur peut vous fournir un site web différent. Dans ce cas, tapez l'adresse ou le
nom du site web ici :
____________________________________________________________________________________
La fenêtre de capture est désormais activée. Localisez les colonnes Source, Destination et
Protocol (Protocole).
Étape 2 : Localisez les paquets appropriés pour la session web.
Si l'ordinateur a démarré récemment et qu'il n'y a eu aucune activité en lien avec des accès à Internet, vous
pouvez consulter le processus entier dans le résultat capturé, y compris le protocole ARP (Address
Resolution Protocol), le système de noms de domaine (DNS) et la connexion TCP en trois étapes.
L'ordinateur disposait déjà d'une entrée ARP pour la passerelle par défaut. Il a donc commencé par la
requête DNS afin de résoudre www.google.com.
a. La trame 6 affiche la requête DNS depuis l'ordinateur vers le serveur DNS, en essayant de résoudre le
nom de domaine www.google.com sur l'adresse IP du serveur web. L'ordinateur doit disposer de
l'adresse IP avant de pouvoir envoyer le premier paquet au serveur web.
Quelle est l'adresse IP du serveur DNS que l'ordinateur a interrogé ? ____________________
b. La trame 7 est la réponse du serveur DNS. Elle contient l'adresse IP de www.google.com.
c. Recherchez le paquet approprié pour le début de votre connexion en trois étapes. Dans cet exemple, la
trame 8 correspond au début de la connexion TCP en trois étapes.
Quelle est l'adresse IP du serveur web de Google ? __________________________________
youtube
192.168.10.254
192.168.10.4
Travaux pratiques - Utilisation de Wireshark pour observer la connexion TCP en trois étapes
d. Si vous avez de nombreux paquets qui ne sont pas liés à la connexion TCP, il peut être nécessaire
d'utiliser la fonction de filtre de Wireshark. Saisissez tcp dans la zone de saisie du filtre dans Wireshark
et appuyez sur Entrée.
Étape 3 : Examinez les informations au sein des paquets, y compris les adresses IP, les
numéros de port TCP et les indicateurs de contrôle TCP.
a. Dans notre exemple, la trame 8 correspond au début de la connexion en trois étapes entre l'ordinateur et
le serveur web de Google. Dans le volet de la liste des paquets (section supérieure de la fenêtre
principale), sélectionnez la trame. Cette action met en surbrillance la ligne et affiche les informations
décodées de ce paquet dans les deux volets inférieurs. Examinez les informations du protocole TCP
dans le volet de détails des paquets (section centrale de la fenêtre principale).
b. Cliquez sur l'icône + à gauche du protocole TCP (Transmission Control Protocol) dans le volet de détails
des paquets pour développer l'affichage des informations TCP.
c. Cliquez sur l'icône + à gauche des indicateurs. Examinez les ports source et de destination ainsi que les
indicateurs qui sont définis.
Travaux pratiques - Utilisation de Wireshark pour observer la connexion TCP en trois étapes
Remarque : vous devrez peut-être modifier la taille des fenêtres du haut et du milieu dans
Wireshark pour afficher les informations nécessaires.
Quel est le numéro du port source TCP ? __________________________
Quel est le numéro du port de destination TCP ? _______________________
51563
80
Travaux pratiques - Utilisation de Wireshark pour observer la connexion TCP en trois étapes
d. Pour sélectionner la trame suivante dans la connexion en trois étapes, sélectionnez Go dans le menu
Wireshark et sélectionnez Next Packet In Conversation. Dans cet exemple, il s'agit de la trame 13.
C'est la réponse du serveur web Google à la requête initiale de démarrage d'une session.
Quelles sont les valeurs des ports source et de destination ? ___________________________________
Quels sont les indicateurs définis ? _______________________________________________________
____________________________________________________________________________________
Src port : 80 et DST port = 51563
SYN , ACK
Travaux pratiques - Utilisation de Wireshark pour observer la connexion TCP en trois étapes
e. Enfin, examinez le troisième paquet de la connexion en trois étapes de l'exemple. Cliquez sur la trame 14
dans la fenêtre du haut pour afficher les informations suivantes dans cet exemple :
Examinez le troisième et dernier paquet de la connexion.
Quel indicateur est défini ? (plusieurs réponses possibles) _____________________________________
Les numéros d'ordre relatif et d'accusé de réception sont définis sur 1 comme point de départ. La
connexion TCP est désormais établie et la communication entre l'ordinateur source et le serveur web
peut commencer.
f. Fermez le programme Wireshark.
© 2018 Cisco et/ou ses filiales. Tous droits réservés. Ceci est un document public de Cisco. Page 7 sur 8
ACK
Travaux pratiques - Utilisation de Wireshark pour observer la connexion TCP en trois étapes
Remarques générales
1. Des centaines de filtres sont disponibles dans Wireshark. Un réseau de grande taille peut avoir de nombreux
filtres et de nombreux types de trafic. Indiquez trois filtres qui pourraient être utiles à un administrateur réseau.
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
2. De quelles autres façons Wireshark pourrait-il être utilisé dans un réseau de production ?
_______________________________________________________________________________________
_______________________________________________________________________________________
_____________________________________________________________________________________
capturer des divers trafics de type media tel que inthernet , LAN , USB , Bluetooth
les 3 filtres qui pourraient être utiles à un administrateur réseau est : TCP , ICMP ET adresse ip
