TP n°5 : Étude détaillée des protocoles TCP et UDP

Durée : 4h

Compte rendu individuel

Vous devez obligatoirement déposer un compte rendu illustré individuel pour chaque TP au format TPi.[pdf|odt|docx] sur Moodle.

Vous pouvez compléter vos TP après une séance en déposant un nouveau fichier TPiv2.[pdf|odt|docx].

Objectif

Comprendre les fonctionnalités du protocole de transport TCP :

• Le contrôle et la récupération des erreurs
• Le ré-ordonnancement
• Le contrôle de flux
• Le contrôle de congestion
• Le multiplexage d'applications

Comprendre les fonctionnalités du protocole de transport UDP :

• Utilise uniquement les champs port source et port destination pour réaliser du multiplexage d'applications.

Environnement de travail

Une machine virtuelle avec les droits d'administration en mode bridge.

Étude des protocoles TCP et UDP

Le protocole TCP est un protocole orienté connexion : il y a donc une phase d'établissement de la connexion qui précède les échanges d'informations entre la source et le destinataire, cette phase d'échanges terminée la connexion se termine par une phase de fermeture de la connexion.

Le protocole UDP est un protocole non orienté connexion : les informations à transmettre sont envoyées telles quelles, aucune phase d'établissement de la connexion, aucune fermeture.

Préambule - Rappels des services offerts par TCP et UDP -

À mettre dans votre compte rendu.

• Comment TCP exerce-t-il le contrôle et la récupération des erreurs ?
• Comment TCP permet-il le ré-ordonnancement de messages ?
• Comment TCP exerce-t-il le contrôle de flux ?
• Comment TCP exerce-t-il le contrôle de congestion ?
• Comment TCP exerce-t-il le multiplexage des applications ?
• Parmi les services précédents, quels sont ceux offerts par UDP ?

Établissement et libération d'une connexion TCP

Ouverture/fermeture normales

• Grâce à Wireshark, capturez les segments TCP générés lors de la phase d'établissement d'une connexion TCP (cf Cours "3-way handshake"). Mettre une capture de ces 3 segments dans votre compte-rendu à partir de l'outil de visualisation d'échanges de Wireshark. Les fanions/drapeaux/flags TCP doivent apparaître.
• Pour établir une connexion TCP vous devez faire appel à vos connaissances sur les protocoles de couche application et leurs encapsulations. Dans les TP précédents, vous avez vu que les protocoles FTP, HTTP et SSH s'appuient sur TCP.
• Pour voir ces segments, vous pouvez donc ouvrir une url, une connexion ssh ou une connexion FTP (À l'IUT, vous pouvez ouvrir une connexion FTP sur iut-rt avec le compte guest00, seul ce compte est autorisé à utiliser FTP pour des raisons de sécurité - communications et mots de passe passent en clair - Commande : ftp iut-rt).
• Pour l'analyse avec Wireshark :
• Pour voir l'ensemble des segments TCP liés à une communication, faire un clic droit sur un message et sélectionner Follow TCP Stream
• Puis pour visualiser ces échanges cliquer sur "Flow graph" dans le menu "statistics". Dans la fenêtre du graphe, spécifiez "TCP flows" (flux TCP) dans Flow type et cochez la case "Limit to display filter".
• Le champ TCP "longueur des données" est nommé en raccourci Len (pour length).
• Le champ TCP "taille de fenêtre" est nommé en raccourci Win (pour windows).
• Attention aussi que byte en anglais signifie octet en français (Et bit, eh ben c'est bit aussi, là c'est facile).
• Observez les ports à l'écoute sur votre machine en utilisant la commande netstat -ln.

netstat -ln

Bien étudier les options de la commande netstat, netstat -tn, netstat -lnt.

• À partir d'une même machine, ouvrez plusieurs connexions vers un même port destinataire.

Ouvrez plusieurs connexions SSH ou FTP ou consulter un même site depuis plusieurs onglets d'un navigateur web.

• Toutes ces connexions sur une même machine fonctionnent-elles correctement ? Pourquoi ? Qu'est-ce qui identifie réellement une connexion ?

Comme vu en cours, une connexion est identifiée par un couple <adresse ip, numéro de port> appelé socket (une "prise" en français)

• Manipulez maintenant vous même ces sockets avec Java (cf prochains modules de programmation)

Créez un fichier Client.java contenant le code suivant

import java.io.*;
import java.net.Socket;

public class Client {

  public static void main(String[] args) throws IOException {
    try (Socket s = new Socket("localhost", 53200)) {
      BufferedReader br = new BufferedReader(
              new InputStreamReader(s.getInputStream(), "utf-8"));
      System.out.println("Message reçu du serveur : " + br.readLine());
    } catch (IOException e) {
      System.err.println("Connexion au serveur impossible");
    }
  }
}

Créez un fichier Serveur.java contenant le code suivant

import java.io.*;
import java.net.ServerSocket;
import java.net.Socket;

public class Serveur {
  public static void main(String[] args) throws IOException {
    ServerSocket socketEcoute = new ServerSocket(53200);
    while (true) {
      System.out.println("En attente de client.....");
      try (Socket socketService = socketEcoute.accept()) {
        System.out.println("Un client s'est connecté (" 
                + socketService.getRemoteSocketAddress() + ")");
        PrintStream ps = new PrintStream(
                socketService.getOutputStream(), true, "utf-8");
        ps.println("Bonjour");
        socketService.close();
      } catch (IOException e) {
        System.err.println("Connexion impossible.");
      }
    }
  }
}

Lancez le serveur dans un onglet de terminal. Quel nouveau port voyez-vous maintenant à l'écoute ?

Lancez ensuite le client dans un autre onglet du terminal (le client doit être lancé alors que le serveur est toujours en fonctionnement), quel est le résultat ?

• Capturez (toujours à l'aide de Wireshark) les segments TCP générés par la fermeture d'une connexion (cf Cours fermeture avec 4 échanges). Mettre une capture de ces segments dans votre compte-rendu à partir de l'outil de visualisation d'échanges de Wireshark. Les fanions/drapeaux/flags TCP doivent apparaître.

Quitter une connexion SSH ou FTP ou utiliser les programmes Java.

Gestion des numéros de séquence initiaux

• Ouvrez plusieurs connexions TCP successivement (SSH ou FTP ou Web par exemple). Quels sont les numéros de séquence initiaux ? Comment sont-ils choisis ?

Attention, par défaut wireshark indique des numéros de séquence relatifs (Le premier numéro de séquence est décalé à 0). Pour voir les vrais numéros de séquence, il faut aller dans le menu préférences de wireshark, puis dans le protocole TCP, vous décochez la case "Relative sequence numbers".

• Remettez ensuite l'option pour avoir des numéros de séquence et d'acquittement relatifs (plus facile pour étudier TCP).

Ouverture vers un port non utilisé

• Capturez les trames TCP issues d'une demande de connexion vers un port non utilisé.

Faîtes par exemple un ssh vers une deuxième machine où le service ssh est fermé, ou alors utilisez le programme client Java alors que le serveur n'est pas actif.

• Expliquez ce qu'il se passe.

Connexion coupée

• Capturez les trames TCP issues d'une connexion coupée.

Faire un ssh vers une deuxième machine, et une fois la connexion établie, coupez le réseau de cette deuxième machine (déconnectez en mode graphique ou débranchez le câble réseau).

• Que se passe-t-il sur le réseau ? Mettre une capture de ces segments dans votre compte-rendu à partir de l'outil de visualisation d'échanges de Wireshark.
• Le timer de ré-émission utilisé dans ce cas par TCP, a-t-il une durée fixe ? Comment évolue-t-il ? Quel intérêt ?
• Combien de temps TCP insiste-il avant d'arrêter de réémettre.
• Si la deuxième machine se reconnecte, que se passe-t-il ?

Étude du séquencement

Dans cette partie, au lieu des programmes Java, vous allez utiliser le petit utilitaire très connu netcat permettant d'ouvrir des connexions réseau.

Netcat permet d'ouvrir simplement un serveur grâce à la commande nc -l hote num_port (un serveur sur l'hôte "hote" à l'écoute sur le port "port"). On peut aussi ne pas préciser l'hôte et l'ouverture se fera sur la boucle locale (interface lo).

un client peut alors se connecter grâce à la commande nc hote num_port.

• Lancez Wireshark sur l'interface boucle locale (lo)
• Lancez dans un terminal un serveur sur la boucle locale à l'écoute sur le port 8000

nc -l 8000

• Lancez dans un autre terminal un client

nc localhost 8000

Vous disposez alors en fait d'un mini "tchat" (une messagerie instantannée) entre le client et le serveur (Vous tapez votre texte dans les terminaux du client et du serveur).

• Effectuez un échange de mots

Par exemple : Bonjour | Salut | Ca va | Oui super

• Finissez la discussion par ctrl+D.
• Coupez la capture Wireshark et filtrez cette discussion.

N'oubliez pas que Wireshark fait ça pour vous, avec Follow TCP Stream pour sélectionner le flux TCP que vous voulez étudier, puis "Flow graph" dans le menu "statistics" pour voir l'illustration de l'échange des trames. Spécifiez "TCP flows" (flux TCP) dans Flow type et "Limit to display filter" pour avoir que le trafic TCP concerné.

Voici par exemple une capture du flux TCP associée à l'exemple précédent.



Et le graphe d'échanges TCP est le suivant.


• Vérifiez que les numéros de séquence et d'acquittement correspondent bien à ce que vous avez vu en cours et TD.

Par exemple : numéro de séquence (Seq) + longueur des données (Len) = numéro d'acquittement (Ack)

• Le champ taille de fenêtre (Win) est codé sur 2 octets, sa valeur maximale est donc de 65535 octets. Pourtant vous pouvez apercevoir des valeurs plus grande pour ce champ dans cet échange.

  Vous pouvez avoir cela par exemple

  
  Recherchez dans l'analyse Wireshark d'une de ces trames, une raison grâce à laquelle c'est possible.

Analyse de ports

Avec Netcat

Une analyse de ports ou scan de ports ou balayage de ports consiste à trouver les ports ouverts d'un machine.

Netcat peut le faire avec l'option -z

• Lancez dans un terminal un serveur sur la boucle locale à l'écoute sur le port 800

nc -l 800

• Lancez Wireshark sur l'interface boucle locale (lo)
• Lancez dans un terminal le scan Netcat sur la plage réduite 800-802

nc -z localhost 800-802

• Coupez la capture Wireshark et filtrez cette discussion.

Filtre Wireshark pour aider tcp.port == 800

• Que fait netcat pour scanner un port ? Mettre une capture du scan du port 800 dans votre compte-rendu. Mettre aussi une capture du scan d'un port non ouvert comme le 801 par exemple dans votre compte-rendu.

Avec Nmap

Un outil bien plus puissant et tout aussi connu pour faire de l'analyse de ports est Nmap. Vous allez pour finir ce TP capturer et analyser grâce à Wireshark différent type de scans via Nmap.

Les scans sur votre localhost (attention ce n'est pas autorisé de faire ceci sur une machine qui n'est pas à vous) à analyser sont les suivants

1. nmap -sS localhost
2. nmap -sT localhost
3. nmap -sA localhost
4. nmap -sF localhost
5. nmap -sM localhost
6. nmap -sN localhost
7. nmap -sW localhost
8. nmap -sX localhost

• Pour chacun de ces scans, vous devez comme l'analyse du scan via netcat :
1. Lancez un serveur dans un terminal (nc -l 800)
2. Lancez Wireshark sur la boucle locale, le filtre d'affichage tcp.port == 800 va vous aider
3. Lancez le scan puis analyser le résulat : quel(s) format(s) de segment TCP est/sont envoyé(s) pour chaque type de scan ? Mettre les captures de chaque scan du port 800 dans votre compte-rendu.

Pour finir, Nmap peut aussi faire des scans UDP avec la commande nmap -sU localhost.

• Lancez Wireshark. Lancez la commande nmap -sU localhost. Filtrez l'analyse d'un port, par exemple udp.port == 800. Conclure sur le fonctionnement de ce scan : quel type de trame est envoyé ? Quel type de de trame est retourné ? Mettre une capture dans votre compte-rendu.

Pour aller plus loin

• Pour aller plus loin dans la génération de trafic réseau et son étude, vous pouvez explorer les possibilités du générateur scapy (Une doc ici).

IUT Béthune - Département R&T

Dernière modification : Février 2021

Rédacteurs : David Mercier

---