Royaume du Maroc

Ntic hayryad

Au sein du Ministre de lEconomie et

des Finances

Directions des Affaires Administratives et

Gnrales

*DAAG*

Encadr

par : Mme El HARI Ouissal

1
 Royaume du Maroc
Ntic hayryad

Raliser par:

Mlle ELBOUAZZAOUI Hajar

Sommaire
Partie I. : Prsentation du lieu de stage.
I. Prsentation de Ministre de
finance ..
1. Organisme daccueil ..
1.1 Organigramme du ministre
1.2 Prsentation de la DAAG.
..
1.3 Organisation
1.4 Structure de lorganisation de la
DAAG
1.5 Etude de lexistant
1.6 Architecture Rseaux du ministre de
finances
1.7 Conception Rseaux ..
Partie II : Prsentation du projet Colasoft-Capsa
6.9Enterprise
I. Introduction ..
II. Installation
III. Mode de fonctionnement
1 .Onglet de vue
offert.
3.1.1 -Summary..
3.1.2 - Diagnostic.
3.1.2- Endpoint
3.1.4- Protocols
3.1.5 - Conversation
3.1.6 -Matrix .
3.1.7 -Packet ..
3.1.8- Logs .
3.1.9 - Graphs ....

2
 Royaume du Maroc
Ntic hayryad

3.1.10 -Reports

2. Supervision du Trafic Rseaux ..
3.2.1-Analyser le Trafic de Diffusion

3.2.2-Vrification du Trafic de
Diffusion ..............................................................................
3 .Surveiller le Trafic http..
4. Rsoudre les problmes avec ARP Attaque

5. Colasoft Mac scanner .
6. Colasoft Ping Tools
7. Colasoft Packet Builder
8. Colasoft Packet player.
9. Filtrage...
10. Rsum ..
11. Surveiller les courriers Electronique avec Colasoft packet
sniffer ........................
VI. Technologies (port mirroring SPAN).
4.1- Local SPAN
4.2- RSPAN (Remote SPAN).
V.Rsume

Ddicace
A mes trs chers parents,

Aucun mot ne pourra exprimer mes

sentiments envers vous.

A mes trs chers frres

A mes trs chres amies,

3
 Royaume du Maroc
Ntic hayryad

Pour tout le soutien que vous mavez offert,

je vous dis MERCI.

A toute ma famille et surtout ma chre mre.

A tous ceux qui maiment.

A tout le peuple palestinien rsistant, je ddie

ce travail

Que Dieu les protge tous

Remerciements

4
 Royaume du Maroc
Ntic hayryad

Cest avec un grand plaisir que nous nous permettons dexprimer nos
gratitudes et Nos vifs remerciements tous ceux et celles qui par leurs
efforts ou par leurs conseils, Ont rendu possible la ralisation de ce
travail, et en particulier :
M. zakani
Chef de division informatique
De nous avoir permit deffectuer notre stage
Au sein du ministre des finances et de la
Privatisation.
Mme. Ouissal El HARI
Chef du service rseau informatique
Pour son encouragement.
Et en particulier,
M. Mohamed GHALLALI
Ingnieur au ministre ( la DAAG).
Pour la qualit de son encadrement, ainsi de nous
Avoir accompagn tout au long de cette exprience professionnelle avec
Beaucoup de patience et de pdagogie.
Je remercie en outre Mr. HAJI Rachid, pour mavoir soutenu tout
au long de cette priode de ce stage, et pour sa prsence
constante mes cots. Ce travail naurait certes pas pu tre
ralis sans ses efforts et sa gentillesse.
Nous adressons nous profonds respect Mr. BEKKARI
Hicham pour le soutien qui Nous accord, ainsi que pour ses
conseils et ses recommandations judicieuses tout au long de la
ralisation de ce projet.
Merci aussi Mr .SKHOUN Omar pour sa disponibilit
envers nous, son soutien, conseils et pour le temps et la confiance
quil nous a accord durant le stage.

5
 Royaume du Maroc
Ntic hayryad

Nous tenons aussi exprimer notre gratitude et notre

reconnaissance Mr. LAHBIB Khalid, qui a t serviable avec
nous.
Bref, que tout ceux qui mont prt main forte de prs ou de
loin la ralisation de ce travail trouvent ici lexpression de ma profonde
gratitude.

Avant-
propos
Dans le cadre de la formation des jeunes stagiaires
de lISTA-NTIC, des stages sont organiss au profit de ceux-
ci dans le but de renforcer leur potentiel de connaissance,
et de mettre en pratique lenseignement acquis.
Par consquent, ce stage constitue une occasion
pour le stagiaire de sinsrer dans le nouvel environnement
o il sera appel sexercer.
IL contribuera galement amliorer ses contacts
avec les gens du milieu qui lentourent, et lui permettra
dans le futur une intgration aise dans la vie
professionnelle.

6
 Royaume du Maroc
Ntic hayryad

Le prsent rapport traite certains lments

concernant le Ministre de lEconomie et des Finances
telles ses identifications et ses activits, il comprendra en
second lieu des informations sur la direction des affaires
administratives et gnrales DAAG, et les diffrentes
taches que jy ai effectues.

7
 Royaume du Maroc
Ntic hayryad

8
 Royaume du Maroc
Ntic hayryad

I. Prsentation du
Ministre
De lEconomie et des
Finances

9
 Royaume du Maroc
Ntic hayryad

1. Organisme daccueil :
Le Ministre des Finances et de la Privatisation labore la politique
financire, montaire et du crdit, des finances extrieures et des
investissements extrieurs et en assure, et suit l'excution
conformment aux lois et rglements en vigueur et sous rserve des
comptences dvolues au premier ministre en matire de coordination et
de suivi de l'excution de la politique gouvernementale dans le domaine
des relations avec les institutions du groupe de la banque mondiale.

En outre, il participe activement l'laboration, la mise en uvre et

l'valuation des politiques conomiques, sectorielles et sociales. A ce
titre, il est charg notamment :
d'laborer le projet de loi de finances sur la base des scnarios de
politique conomique et financire.
de proposer les mesures de nature promouvoir le dveloppement
conomique national et encourager l'investissement public et
priv en relation avec les autorits gouvernementales concernes.
Le Ministre est aussi charg de la mise en uvre des transferts des
entreprises publiques au secteur priv.

10
 Royaume du Maroc
Ntic hayryad

1.1-Organigramme du ministre

Le ministre est constitu de plusieurs directions dont chacune soccupe

dun certain nombre dactivits particulires. Chaque direction est
constitue, son tour, de plusieurs divisions.

11
 Royaume du Maroc
Ntic hayryad

1.2. Prsentation de la DAAG :

Missions :
La Direction des Affaires Administratives et Gnrales (DAAG) est
charge de :

12
 Royaume du Maroc
Ntic hayryad

* coordonner et veiller la mise en uvre des schmas d'organisation

des services du
Ministre aux niveaux central et dconcentr.
*concevoir et participer la mise en uvre des actions de modernisation
et de promotion des mthodes de management au sein du Ministre.
* promouvoir la culture de programmation et de planification et
dvelopper les techniques de sa mise en uvre.

Coordonner l'laboration, le suivi de ralisation et l'valuation du Plan

d'Action Stratgique du Ministre.
dfinir la politique de gestion des ressources humaines et
matrielles et veiller leur mise en uvre en collaboration avec les
directions du Ministre.
laborer, diffuser et veiller la mise en uvre des normes de
gestion des ressources.
coordonner la mise en uvre du plan d'action en matire de
dconcentration de la gestion des ressources et de veiller son
application.

laborer la politique du Ministre en matire de formation, assurer

la mise en uvre des actions de formation transversale,
accompagner les actions de formation spcifique et en assurer
l'valuation.
prparer, excuter et assurer le suivi du budget du Ministre.
laborer et mettre en uvre la dmarche de contractualisation de
l'allocation des crdits et le systme de contrle de gestion y
affrent.
tablir, excuter et suivre le programme annuel des travaux et des
achats de biens et services.
dfinir, coordonner et assurer la mise en uvre des systmes
d'information des domaines de gestion des ressources du Ministre.
coordonner et veiller la mise en uvre de la politique
d'information et de communication du Ministre.
promouvoir l'utilisation des nouvelles technologies de l'information
et de la communication.

13
 Royaume du Maroc
Ntic hayryad

mettre des avis sur les projets de textes juridiques dont elle est
saisie.
dfinir et adapter la politique informatique aux orientations et aux
objectifs du Ministre.
Cest dans loptique de promouvoir la culture de programmation et
de planification que sinscrit notre projet de fin dtude au sein de la
division informatique.

1.3-Organisation :
La Direction des Affaires Administratives et Gnrales comprend 7
divisions:

Division de l'Organisation et de la Programmation.

Division de la Gestion des Ressources Humaines.
Division de la Formation et de la Coopration.
Division du Budget et de la Comptabilit.
Division de la Gestion du Patrimoine et des moyens logistiques.
Division de l'Informatique.
Division de la Communication et de l'Information.

1.4 Structure Organisationnel de la DAAG

14
 Royaume du Maroc
Ntic hayryad

15
 Royaume du Maroc
Ntic hayryad

1.5-Etude de lexistant :
Le ministre des finances et de la privatisation est
connect linternet via deux firewalls (par feu) qui
contrlent le trafic entrant et sortant. Ils sont connects
au firewall de la direction des affaires administratives et
gnrales (DAAG) et au rseau local du Ministre
travers un Switch fdrateur (voir la Figure). Les
firewalls, cits ci-dessus, affichent sur la console
dadministration de lAppliance Symantec V8 toutes les
informations de contrle sont stocker dans des fichiers
logs. La supervision des fichiers logs sous format binaire,
savre complexe. Les administrateurs rseau se
contentent de faire des captures dcrans pour analyser
des milliers de lignes affiches en temps rel sur la
console dadministration du firewall (Symantec) ce qui
mne une perte de temps considrable sans possibilit
de tout consulter. Plus grave encore, les fichiers logs des
deux firewalls sont supprims au bout dune semaine ce
qui implique une perte dinformation.

16
 Royaume du Maroc
Ntic hayryad

1.6Architecture du Rseau du ministre de

finances

17
 Royaume du Maroc
Ntic hayryad

18
 Royaume du Maroc
Ntic hayryad

1 .7 Conception Rseaux

19
 Royaume du Maroc
Ntic hayryad

20
 Royaume du Maroc
Ntic hayryad

I. Prsentation du
projet
Colasoft-Capsa
21
 Royaume du Maroc
Ntic hayryad

6.9Enterprise

1. Introduction
Colasoft Capsa Enterprise- (Network Analyzer) est
un outil avec lequel on peut maintenir le contrle du rseau, car il a
des utilits pour analyser et suivre les travaux qui sont raliss et
faire face aux menaces qui peuvent se produire.

Cet outil regroupe de nombreuses fonctionnalits pour garantir une

parfaite scurit et gestion de votre rseau. L'application surveille
l'ensemble des paquets qui transitent sur votre rseau, et analyse les
diffrents protocoles qui tournent. En cas de problme dtect, vous
serez immdiatement averti par email, boite d'alerte, etc. et pourrez
intervenir directement via le logiciel en cas de lenteur de connexion,
d'attaque ou virus.

Le logiciel peut analyser les sites web visits, les services de courrier
lectronique, les paquets dlments entrants et sortants, les
logiciels de messagerie instantane, etc.

Supporte toute sorte de protocoles,ils les analysent en temps rel. Il

est mme compatible avec des adaptateurs de rseau sans fil.

22
 Royaume du Maroc
Ntic hayryad

Avec Colasoft Capsa Enterprise on peut mesurer et contrler tout

le trafic du rseau, gardant la scurit et lintgrit des lments qui
y sont changs.

Exigences indispensables pour le bon fonctionnement du

logiciel

Processeur Intel ou AMD une vitesse de 1,2 GHz.

512 de Mmoire
RAM Microsoft Internet Explorer 5.5 ou plus.

II. Installation
Colasoft-Capsa
23
 Royaume du Maroc
Ntic hayryad

6.9Enterprise

*Source de tlchargement

Vous pouvez tlcharger Colasoft-Capsa partir de la source

suivante

http://www.colasoft.com/download/products/download_capsa.php

En cliquant sur le setup du Colasoft, linstallation commence :

24
 Royaume du Maroc
Ntic hayryad

Accepter les termes de la licence, on appuyant sur I Accepte the

agreement, pour continuer appuyer sur Next

Choisissez le chemin o vous voulez placer le fichier d'installation, puis

vous cliquer sur Next pour continuer votre installation .

25
 Royaume du Maroc
Ntic hayryad

Slectionner les composants installer, puis appuyer sur Next pour

continuer le processus dinstallation.

Slectionner lemplacement du programme cre et Appuyer sur Next

encor une fois

26
 Royaume du Maroc
Ntic hayryad

Slectionner les icnes installer, pour continuer appuyer sur Next

27
 Royaume du Maroc
Ntic hayryad

Pour dmarrer votre installation veuillez appuyer sur Install.

La progression de linstallation seffectueras alors .

28
 Royaume du Maroc
Ntic hayryad

Des informations sur le fichier dinstallation sont fournis, pour continuer

appuyer sur Next

Voila votre Installation est termine, veuillez appuyer sur Finish

pour passer a ltape suivante ACTIVATION DU PROGRAMME

29
 Royaume du Maroc
Ntic hayryad

Juste Apres linstallation une icne de Colasoft saffichera sur votre le

bureau

En cliquant sur cette icne, la fentre suivante saffichera .

30
 Royaume du Maroc
Ntic hayryad

III. Mode de
fonctionnement du
Colasoft
Capsa 6.2 Entreprise

31
 Royaume du Maroc
Ntic hayryad

Page de dmarrage

32
 Royaume du Maroc
Ntic hayryad

Start capture now : Vous pouvez commencer

immdiatement la capture des paquets en cliquant sur ce bouton,
Colasoft Capsa appliquera automatiquement les paramtres
prdfinis du projet.

Open file : Vous pouvez ouvrir les fichiers des projets

rcemment enregistrs partir de la liste, certains paquets seront
supprims ou rinitialiss lorsque le buffer devient plein .

Load Template : Vous pouvez galement enregistrer un projet

sous forme de modle, dans ce cas, quand vous louvrez, Colasoft va
charger ses paramtres de capture.

1. Onglets de vue offerts:

3.1 .1 Summary : Selon votre choix au niveau du Project
Explorer , cet onglet vous offre une vue rcapitulative sur votre rseau
global. Dans longlet "Summary" nous pouvons obtenir un aperu rapide
du trafic total, trafic en temps rel, le trafic de diffusion, le trafic
multicast et ainsi de suite. Quand vous slectionnez le nud racine du
projet, vous pouvez obtenir les statistiques sur lensemble du rseau,
mais si un nud de rseau est spcifi, ses informations particulires
seront les seuls afficher.

33
 Royaume du Maroc
Ntic hayryad

3.1.2 Diagnoses : Longlet Diagnoses prsente les vnements

de diagnostic du rseau global ou bien du nud. Par un double-clic sur
un vnement, Colasoft ouvrira une fentre Event Paquets Relative
en montrant le paquet dinformations lies cet vnement , pour
obtenir une description dtaille, consultez la sous vue infrieure.

34
 Royaume du Maroc
Ntic hayryad

NB : Les vnements du diagnostic sont marqus par les icnes

des niveaux de gravit suivantes :

35
 Royaume du Maroc
Ntic hayryad

3.1.3 Endpoints : Grce sa fonctionnalit, nous pouvons surveiller

les informations du rseau pour chaque nud ainsi que les dtails des
communications tablis. Nous pouvons galement utiliser la liste droulante
pour slectionner un type d'affichage.

*ALL : affiche tous les plages d'adresses hirarchique, y compris les

adresses physiques et adresses IP.

*Physical : affiche les htes par adresse physique.

*IP : affiche les htes par adresse IP.

Les colonnes de pourcentage prsentent le pourcentage du trafic total, trafic
sortant, entrant et interne.

3.1.4-Protocols : affiche les informations concernant les protocoles

utiliss pendant les communications tablies dans le rseau. la sous vue
infrieure offre les dtails de connexion du protocole actif, qui peut tre
galement viss dans une nouvelle fentre lorsque vous double-cliquez sur
le protocole.

36
 Royaume du Maroc
Ntic hayryad

3.1.5-Conversations : Dans cet onglet nous pouvons surveiller le

trafic rseau de chaque conversation et dterminer laquelle qui a gnr le
plus important trafic, cette liste contient aussi les conversations TCP et UDP
circules.

37
 Royaume du Maroc
Ntic hayryad

3.1.6-Matrix : "Matrix"
est une vue qui visualise toutes les
connexions rseau et les dtails de trafic dans un seul graphe. Le poids des
lignes entre les nuds indique le volume du trafic et la couleur indique le
statut. Dplacez le curseur sur un nud spcifique, et les dtails du trafic
rseau du nud seront fournis.

38
 Royaume du Maroc
Ntic hayryad

3.1.7-Packets : prsente une liste des paquets capturs et des

informations sur des paquets dcods en Hexadcimale ASCII et EBCDIC

39
 Royaume du Maroc
Ntic hayryad

3.1.8- Logs : Cela comprend : transfert de FTP, les emails, les requtes
http, Et les analyses du DNS, do vous pouvez trouvez les enregistrements
de conversations TCP, emails, accs web, analyses de DNS. En outre, Logs
permet de suivre quatre types de messageries instantanes :MSN, AIM, ICQ
et Yahoo Messenger.

*Email Messages : Colasoft Capsa peut capturer et analyser les

messages lectroniques transmis en clair, la liste de courriers et leurs
informations sont affiches dans la vue message lectronique. Pour

40
 Royaume du Maroc
Ntic hayryad

visualiser le contenu email reconstruit, vous pouvez double-cliquer sur l'e-

mail slectionn, il sera ouvert avec votre logiciel client de messagerie;
alternativement, vous pouvez faire un clic droit et slectionnez la
commande Ouvrir dans le menu contextuel. Crypte des e-mails ne peuvent
tre capturs et reconstruites.

*FTP Transfers : Vous pouvez notamment afficher les registres dtaills

des tlchargements et transferts FTP.

* DNS analysis : Pour montrer les dtails des analyses de DNS.

Avec DNS Advanced Analyzer, vous pouvez analyser les requtes DNS, les
rponses et le statut.

41
 Royaume du Maroc
Ntic hayryad

*MSN Activities : Vous pouvez suivre l'information en temps rel de

toutes les activits de MSN, y compris la date, l'heure, le nud, nom de la
session, ainsi que le contenu du message.

Tous les messages MSN sont numres par une squence du temps, pour
afficher les messages d'une session spcifique, vous pouvez cliquer sur le
nom de votre choix de session de la colonne Name column , puis un
fichier texte s'affichera pour afficher tous les messages de la session
choisie.

42
 Royaume du Maroc
Ntic hayryad

3.1.9- Graphs : permet de visualiser les statistiques du rseau de

manire dynamique dans diffrents types de graphiques, comme la lingue
tableau, graphique barres, et camembert. Les titres du graphique et les
options d'affichage disponibles varieront en fonction du nud spcifique
que vous slectionnez dans l'Explorateur de projet.

43
 Royaume du Maroc
Ntic hayryad

3.1.10 Reports : contient des statistiques sommaires, des

vnements de diagnostic, des statistiques de protocole, le Top 10 du

44
 Royaume du Maroc
Ntic hayryad

protocole IP, adresses physiques top 10, top 10 adresses IP, Top 10 des
adresses IP locales, Top 10 adresses IP distantes, et tous les graphiques
disponibles avec les paramtres actuels.

2. Superviser votre trafic rseau.

45
 Royaume du Maroc
Ntic hayryad

Comment faire pour surveiller le trafic rseau ?

Comme un analyseur de rseau (renifleur de paquets Aka. Et analyseur
de protocole), ACCOR rendre plus facile la surveillance et lanalyse du
trafic rseau. Avec un trafic en fonction de l'ACOR Moniteur rseau, nous
pouvons rapidement identifier les goulots d'tranglement du rseau et
de dtecter les erreurs connues dans le rseau. Comme nous pouvons
surveiller le trafic rseau avec un trafic en fonction de l'ACOR Moniteur
rseau.
Analyser les protocoles Rseau avec Colasoft
Capsa.
En analysant les protocoles de rseau de distribution et de
l'apprentissage on obtient alors la Rponse sur quels sont les protocoles
utiliss dans le rseau ? Nous pouvons rapidement trouver l'hte qui
gnre nimport quelle Activit. Par exemple, quand on voit le protocole
RSTP dans le rseau, nous pouvons rapidement dterminer que certains
htes (s) dans le rseau actuel Appliquant en ligne les flux de mdias
de service. Les utilisateurs peuvent comprendre clairement les
protocoles d'utilisation dans longlet "protocoles" de Colasoft Capsa.

Dans la figure ci-dessus, nous pouvons voir un affichage global des

protocoles. Les utilisateurs peuvent analyser les informations dtailles

46
 Royaume du Maroc
Analyzer les protocoles dans
Ntic hayryad
longlet "Node Explorer"
Nous pouvons aussi analyser les
protocoles de distribution en "Node
Explorer". Aprs avoir progress de
"Protocole Explorer" nous pouvons
analyser tous les protocoles dans le
rseau, mais sans informations
dtailles telles que le trafic, les
paquets, etc. C'est parce que
"Protocole Explorer" sert
principalement pour la commutation
rapide de ces protocoles a fin de
visualiser les donnes
correspondantes dans des onglets.
En comparant ces deux chiffres, nous
pouvons trouver des protocoles de
distribution dont ces deux vues sont
identiques.

de tous les protocoles dans le rseau, telles que le trafic, les paquets,
connexions, etc.

3.2.1- Analyser le trafic de diffusion avec

Colasoft Capsa
cest quoi un trafic de diffusion ?
En Ethernet, toutes les communications sont bases sur le Broadcast. Par
dfaut, chaque hte doit traiter tous les paquets de diffusion dans le
rseau. Le trafic qui occupent les paquets de diffusion est appel le trafic
de diffusion. Le trafic de diffusion excessive peut conduire des
amortissements de la performance de Rseau, ou mme de provoquer
des pannes de rseau comme le rseau lent et les intermittences.
si le trafic de diffusion est faible, Le rseau sera moins
influenc, Toutefois, l'influence des paquets de diffusion sur le rseau ne
peuvent pas tre limins. En Ethernet, il ya beaucoup de protocoles tels
47
 Royaume du Maroc
Ntic hayryad

que ARP, RARP, NetBEUI, SMB, DHCP, RIP, SAP, et IPX dans une certaine
mesure ils travail en mode Broadcast. Normalement, le trafic de diffusion
ne devrait pas dpasser 20% du trafic total. Pour viter la tempte de
Broadcast et d'autres pannes de rseau, les administrateurs rseau
doivent vrifier rgulirement le trafic de diffusion dans le rseau.

3.2.2-Vrification du trafic de diffusion dans

le rseau.
Notre rseau est un rseau Ethernet 100M.

Comme on peut le voir sur cette figure, le pourcentage de trafic de

diffusion n'est que 6,762%. Il indique que le rseau de diffusion est
normal.

Si vous voulez Avoir une vue de l'application spcifique du trafic de

48
 Royaume du Maroc
Ntic hayryad

diffusion, vous pouvez slectionner "Explorer-> Physical Explorer->

Broadcaste Adresse", et cliquez sur Afficher les paquets droite. , tous
les paquets en paquets view sont des paquets de diffusion. Le paquet
que nous avons slectionn est NBNS (NetBIOS Name Service) paquets
de protocole. Cela signifie qu'il existe un service de noms NetBIOS
d'interrogation dans le rseau. En outre, on peut reprer hte spcifique
par source, qui nous facilite le dpannage rseau lors de l'mission
quand la fuite concernent le Broadcaste.

Avec Colasoft Capsa, nous pouvons non seulement de surveiller

efficacement le trafic de diffusion dans le rseau, viter la tempte de
diffusion, mais aussi de localiser rapidement et dpanner des pannes de
rseau, de manire garantir le fonctionnement solide et correcte du
rseau.

3. Surveiller le trafic HTTP avec Packet Sniffer

HyperText Transfer Protocol (HTTP) est un protocole de niveau application
pour la rpartition des systmes de collaboration hypermdia,. Son
utilisation pour la rcupration des ressources inter-relies conduit la

49
 Royaume du Maroc
Ntic hayryad

cration du World Wide Web.

Afin de surveiller le trafic HTTP, nous aurons besoin d'un sniffer de

paquets (ou un analyseur de protocole) de logiciels. Voici un processus
dtaill qui nous montre comment nous pouvons surveiller le trafic HTTP
en LAN avec Colasoft Packet Sniffer.

Encore une fois nous allons lancer Colasoft Packet Sniffer et dmarrer un
nouveau projet. Ne pas oublier une chose, nous devons dployer le
renifleur de paquets vers le port miroir de l'interrupteur de base afin de
surveiller tout le trafic HTTP en rseau local, sinon, on ne peut contrler
que le trafic HTTP de notre propre ordinateur.
Ensuite, il faudra parcourir un site web, par exemple, www.colasoft.com,
pour gnrer un trafic http. Maintenant, nous allons revenir la renifleur
de paquets et de voir s'il ya du trafic HTTP.OK, on peut voir le renifleur de
paquets a dj conquis une partie du trafic http dans longlet
"protocoles"

50
 Royaume du Maroc
Ntic hayryad

Nous pouvons voir la fois le trafic HTTP agrgs depuis le dbut de la

capture et le trafic http du temps rel dans cet onglet.

Si nous voulons faire une analyse plus approfondie sur le trafic Http,
nous aurons besoin d'utiliser le " Locate" la fonction pour localiser le
protocole HTTP dans l'Explorateur et dafficher que les donnes du
protocole HTTP. Faites un clic droit sur le protocole et slectionner
"Locate Explorer Node" dans la fentre pop-up menu.

Si nous voulons savoir ceux qui utilisent le protocole Http et leur

sites de navigation, nous allons utiliser deux onglets, les onglets "
Endpoints" et "Logs"
puis On vas voir les utilisateures qui utilise le protocole http.

51
 Royaume du Maroc
Ntic hayryad

On trouve ici les sites de navigation.

4. Rsoudre les problmes avec ARP Attaques

Dans Colasoft

52
 Royaume du Maroc
Ntic hayryad

Capsa.
ARP, en raison de sa simplicit, sa solidit et sont efficacit, est
devenu plus en plus populaire parmi les Raggers Internet,
provoquant ainsi de graves influence dans lenvironnement
internet .Avec Colasoft Capsa, nous pouvons rapidement localiser
plus prcisment la source ARP si lattaque ARP arrive au rseau,
de sorte assurer la fiabilit du fonctionnement du rseau.

Nous avons quatre solutions de base pour localiser attaque ARP

avec Colasoft Capsa:
*Voir le diagnostic des vnements ARP dans l'affichage du
diagnostic.
*Voir les requte ARP et paquets de rponse dans la vue du
Protocole.
*Voir les informations originales des paquets ARP dans les dossiers
remis aux amis.
*Voir les informations de nud dans l'affichage des points de
terminaison.
*Voir le diagnostic est la place la plus directe et efficace pour
localiser ARP attaque.
Voir le diagnostic est la place la plus directe et efficace pour localiser ARP attaque

53
 Royaume du Maroc
Ntic hayryad

Certainement il existe deux sortes dvnement d'attaques ARP,

ARP Avec plusieurs Demande non sollicits et ARP avec demande
de tempte , dans cette figure la source de l'attaque est clairement
donne la base dans le Rseau. Pendant ce temps, Capsa doit
fournir les motifs de ces attaques ARP et des solutions
correspondantes.

Solution 2:
Le statut des paquets ARP sont affiches dans la vue protocole, la
ou nous devons accorder une attention particulire la valeur de
l'ARP de la demande et de la rponse. La valeur de l'ARP demande
et ARP Rponse devrait tre d'environ 1:1 dans des conditions
gnrales. Si il ya une grande diffrence entre ces deux valeurs, il
existe peut tre des attaques ARP dans le rseau.

Dans cette photo il ya des paquets de requtes ARP 3484, mais il ya que
507 paquets de rponse ARP, en comparant ces deux valeurs, nous
pouvons rsumer quil ya des attaques ARP dans le rseau

Solution 3:
Information sur le paquet de dcodage dans les paquets de vue ne peut
nous dire l'information d'origine des paquets ARP.

54
 Royaume du Maroc
Ntic hayryad

En dcodant les paquets ARP, nous pouvons dcouvrir la source et la

destination des paquets ARP aussi bien la fonction et la ralit de ces
paquets ARP.
Solution 4:
Identifiez- lattaque par ARP : Voir les points de terminaison dans le
fichier.

Dans l'affichage des points de terminaison nous pouvons voir la

corrlation de l'adresse MAC et adresse IP. D'une manire gnrale, une
adresse MAC ne dispose que d'une adresse IP qui lui correspond. Si une
seule adresse MAC possde plusieurs adresses elle, la condition peut
tre:

1-l'hte avec l'adresse MAC est la passerelle;

2-les adresses IP sont lies l'adresse MAC manuellement.

55
 Royaume du Maroc
Ntic hayryad

3-ARP attaque
Ainsi, l'affichage des points de terminaison pourras aussi nous donner
un indice pour localiser l attaque ARP.

En outre, le mode Matrix nous permet de voir les informations de

communication entre ces htes dans le rseau, ce qui nous permet
d'identifier rapidement des conditions anormales et de localiser la source
de l'attaque.

5. Colasoft Mac scanner :

Colasoft MAC Scanner est un outil d'analyse pour la numrisation de
l'adresse IP et l'adresse MAC. Il peut automatiquement dtecter tous les
sous-rseaux en fonction des adresses IP configures sur plusieurs cartes
d'une machine et scanner les adresses MAC et les adresses IP de sous-
rseaux dfinis comme le besoin. En envoyant des requtes ARP pour le
sous-rseau spcifi et l'coute des rponses ARP, Colasoft MAC
Scanner peut lister les adresses IP et des adresses MAC avec leur
corrlation dans les rsultats de seconds. Les scans peuvent tre dits

56
 Royaume du Maroc
Ntic hayryad

et attachs avec des attributs indiquant lemplacement de lhote et le

nom de lutilisateur. En outre, grce sa fonctionnalit de base de
donnes, les rsultats de l'analyse peut facilement tre maintenu
comme base de donnes. En comparant automatiquement de nouveaux
rsultats d'analyse avec les enregistrements de base de donnes,
Colasoft MAC Scanner peut instantanment identifier le matriel de
rseau tranger qui n'appartient pas votre rseau local.

6. Colasoft Ping tool

Colasoft Ping est un outil puissant dans le cadre de pinger sur
plusieurs adresses IP simultanment et de comparer les temps de
rponse dans une carte graphique. Les utilisateurs peuvent afficher
des graphiques historiques et sauvegarder les graphiques dans un
fichier dune extention *. bmp. Avec cette accumulation dans l'outil,
les utilisateurs sont en mesure de Ping sur l'adresse IP,des paquets
capturs dans un analyseur de protocole y compris des sources IP, IP
de destination ou les deux.

57
 Royaume du Maroc
Ntic hayryad

Colasoft Ping outil affiche le fonctionnement et les rsultats statistiques

de Ping avec trois fentres.

Fentre Graphique
La fentre suprieure montre chaque commande Ping en mode
graphique, sert visualiser la tendance sculaire Ping temps. Les
axes X indiquent le temps rel du Ping, les axes Y rvlent le temps
de rponse en MS.

Ping - Sommaire
cest une Fentre qui rpertorie toutes les adresses IP requises ou
noms de domaine avec son rsum, comme l'adresse IP, la

58
 Royaume du Maroc
Ntic hayryad

localisation gographique, les paquets envoys / reus / perdus et le

temps de rponse.

Ping - Dtails
La fentre de dtail Affiche les informations d'excution de Ping.
Lorsque vous slectionnez une adresse IP ou un nom de domaine
dans le Ping Sommaire , le Ping Dtails affichera les
rsultats correspondants.

Ping une adresse / domaine

Pour une vue claire, si vous placez le curseur de la souris sur le
graphique. Colasoft outil- Ping mettra en vidence le nud spcifique.
Une annotation sera automatiquement demarrer. (pop-up) elle contient
le nom de domaine et les temps de rponse. Le temps de rponse dans
l'annotation sera une plage de temps lorsque votre curseur de la souris
est mis sur la grille.

Ping plusieurs adresses / domaines

Colasoft outil Ping vous permet de faire un Ping sur plusieurs adresses IP
et noms de domaine en une seule fois, sans limite suprieure du nombre
d adresses .Les adresses IP et le nom de domaine dans le volet de
l'adresse sont spars entre eux par un espace, virgule ou point-virgule,
puis vous cliquez sur le bouton Dmarrer Ping pour excuter la
commande Ping.

7. Colasoft Packet Builder

Colasoft Packet Builder permet la cration de paquets rseau sur
mesure. Les utilisateurs peuvent utiliser cet outil pour vrifier leur
59
 Royaume du Maroc
Ntic hayryad

protection du rseau contre les attaques. Outre les donnes d'dition

courantes HEX premires, Colasoft Packet Builder intgre un diteur de
dcodage permettant aux utilisateurs de modifier le champ de protocole
spcifique ayant des valeurs beaucoup plus facile.

Les utilisateurs sont galement en mesure de modifier le dcodage des

informations dans deux rdacteurs en chef - Decode Editor et Hex Editor.
Les utilisateurs peuvent slectionner l'un des modles fournis : Ethernet
Packet, ARP Packet, Paquets IP, TCP Packet et UDP Packet, Et modifiez les
paramtres dans l'diteur de dcodeur, diteur hexadcimal ou
ASCII :diteur pour crer un paquet. Tous les changements seront
immdiatement affichs dans les deux autres fentres. En plus des
paquets de construction, Colasoft Packet Builder supporte galement
l'conomie des paquets aux fichiers de paquets et l'envoi de paquets
vers le rseau.
Il ya trois points de vue dans le Gnrateur de paquets qui sont : Packet
Liste, Decode Editor, Hex Editor.

*La Liste de paquets affiche tous les paquets construits, lorsque vous
slectionnez un ou plusieurs paquets dans la liste de paquets, les
premiers paquets afficher seront mis en avant dans les deux fentres
Sous la direction de dcoder et Hex Editor pour l'dition.

*Dans l'diteur Hex, les donnes du paquet est reprsent sous forme de
valeurs hexadcimales et des caractres ASCII, les caractres non
imprimables sont reprsents par un point "." dans la partie ASCII Vous
pouvez soit modifier les valeurs hexadcimales ou les caractres ASCII.

*L'diteur de dcodage est une caractristique unique dans Colasoft

Packet Builder, l'dition dans l'diteur de decodage vous permet de
modifier les paquets sans se souvenir de la longueur de sa valeur, de

60
 Royaume du Maroc
Ntic hayryad

son ordre doctets et des compensations, il vous suffit simplement de

slectionner un champ, et de changer une valeur dans la zone d'dition.

Cration de paquets
Colasoft Packet Builder offre plusieurs faons de crer des paquets:
Vous pouvez importer un fichier de trace de paquets existants cres
par un sniffer de logiciel tel que Colasoft Capsa, Ethereal, Network
General Sniffer et WildPackets EtherPeek / OmniPeek etc.
Vous pouvez utiliser la commande Ajouter ou Insrer dans le menu
Edit de paquets ou la barre d'outils pour crer un nouveau paquet,
Colasoft Packet Builder fournit plusieurs lments communs utilisant
le format de paquets Ethernet Packet, ARP Packet, Paquets IP, TCP
Packet et UDP Packet.

Si vous avez Colasoft Capsa install, vous pouvez galement envoyer

des paquets dans Capsa au Packet Builder la vole.

Colasoft Packet Builder supporte la fonctionnalit d'auto-contrle, vous

pouvez activer cette fonctionnalit si vous cochez le bouton dans la
barre de Checksum, Packet Builder calcule l'IP, TCP, ICMP, UDP et de les
contrler automatiquement chaque fois que vous changer de donnes
par paquets (voir la figure ci-dessous).

61
 Royaume du Maroc
Ntic hayryad

L'envoi de paquets
Colasoft Packet Builder envoie des paquets de fonctionnalit, qui
vous permettent d'envoyer des paquets construits directement. Vous
pouvez galement contrler la manire dont Colasoft Packet Builder
envoie les paquets, tels que l'intervalle entre chaque paquet, les temps
de boucle et le temps de retard entre les boucles.

62
 Royaume du Maroc
Ntic hayryad

8. Colasoft Packet Player

Colasoft Packet Player est un paquet qui permet aux utilisateurs
d'ouvrir des fichiers de trace de paquets capturs et de les lire dans le
rseau. Il soutient par paquets de nombreux formats de fichiers crs
par sniffer de logiciel.
Colasoft Packet Player prend galement en charge l'envoi de fichiers par
paquets et de dfinir le dlai entre les boucles si le compte de la boucle
>1.

Rejouer un fichier paquet est trs simple. Premirement, vous

devez choisir un adaptateur de rseau actif pour l'envoi de paquets, puis
spcifier un fichier de paquets, vous pouvez galement dfinir les
options suivantes:

Mode rafale - Si elle est coche, Colasoft Packet Player envoie des
paquets l'un aprs l'autre sans attendre. Si vous voulez envoyer des
paquets dans sa vitesse normale, laissez cette option dcoche.

63
 Royaume du Maroc
Ntic hayryad

Boucle d'envoi - Prcisez le nombre de fois de la boucle de l'envoi de

fichiers de paquets. Entrez zro si vous souhaitez conserver l'envoi de
paquets jusqu' ce que vous arrtiez manuellement.

Dlai entre les boucles - Spcifier l'intervalle entre chaque boucle.

Exemple:

9. Filtrage
En Colasoft Capsa, un filtre est une rgle ou un ensemble de
rgles qui spare les donnes captures et effectue une action
particulire base sur vos instructions. Les filtres diminuent les
paquets d'tre analyss et affichs, ce qui permet de vous
concentrer sur ce que vous tes vraiment intress par. Colasoft
Capsa a deux types de filtres: filtres globaux et les filtres projet. Les
Filtres globaux sont certains protocoles couramment utiliss dans les
filtres, qui peuvent tre appliques au projet actuel. Les filtres du
projet ne sont appliqus quau projet actuel.

64
 Royaume du Maroc
Ntic hayryad

65
 Royaume du Maroc
Ntic hayryad

10. Rsum
Colasoft Capsa est un outil facile contrler l'utilisation du rseau
et l'analyseur de protocole. Conu pour le dcodage de paquet et le
diagnostic de rseau, Colasoft Capsa surveille le trafic rseau de
transmission sur un hte local et un rseau local, en aidant les
administrateurs rseaux rsoudre les problmes de rseau. Avec la
capacit de capture de paquets en temps rel et la prcis Analyse de
donnes, Colasoft Capsa rend votre rseau transparent devant vous,il
vous aidant rapidement et efficacement de corriger les troubles du
rseau.

la version professionnelle de Colasoft Capsa vous permettant de

visualiser le trafic passant par votre rseau via des adaptateurs
diffrents, lAnalyses avances qui fournient des informations plus

66
 Royaume du Maroc
Ntic hayryad

dtailles sur le trafic rseau, vous permettant de visualiser les donnes

et d analyses les messages d'email, les transferts FTP et les requtes
HTTP.

Filtres simples et des filtres avancs pouvant affiner les machines cibles,
ils vous permettant de se concentrer rapidement sur le trafic suspect et
identifier la source des ennuis de rseau.

les Statistiques et les graphiques vous permettent de voir le rseau de

communications de diverses manires, ils vous apportent une impression
globale et visuelle de votre rseau.

L'interface flexible et intuitive est la caractristique principale de

Colasoft Capsa, vous pouvez facilement passer d'une statistique globale
sur les dtails d'un nud de rseau spcifique, mme si un utilisateur
dbutant peut le grer efficacement dans quelques instants.

11. Surveiller les courriers lectronique avec

Colasoft Packet Sniffer
ils est possible de surveiller le courrier lectronique d'employs avec un
logiciel de surveillance de courrier lectronique (alias e-mail ou espion
contrleur d'email),dans notre projet Nous allons examiner comment
nous pouvons surveiller le courrier lectronique avec certaines mthodes
techniques, en particulier comment nous pouvons surveiller le courrier
lectronique avec ce renifleur de paquets Colasoft Capsa ?

tape 1. Pourtant nous avons besoin de tlcharger un essai gratuit et

le dployer correctement.
tape 2. Lancement d'un projet :
Si nous n'avons pas configur Capsa Pour enregistrer les journaux e-
mail dans un disque local, nous n'allons pas tre capables de surveiller
le contenu des courriers lectronique, mais nous pouvons surveiller tous
les journaux de courriel. Il nous faut donc dfinir les paramtres de

67
 Royaume du Maroc
Ntic hayryad

journal pour enregistrer les journaux e-mail un chemin local, afin de

contrler le contenu e-mail. Aussi il y aura un avis lorsquon dmarrer un
nouveau projet.

Etape 3: Set Email Logs Settings

68
 Royaume du Maroc
Ntic hayryad

Advanced Email logs Cest un paramtres pour diviser les logs des e-
mails et garder les logs de messagerie les plus rcentes pour
conomiser l'espace disque.

tape 4. Dmarrer la capture et le-mail de surveillance dans longlet

"logs"

Aprs avoir termin la configuration des paramtres du journal e-mail,

nous pouvons faire un test pour voir si nous pouvons obtenir quelques
bches de vrification du courrier. On Lancant Outlook et commenant
envoyer et recevoir des emails. Nous pouvons voir que nous avons
reu un mail de SPAM dans la bote e-mail. Nous pouvons voir beaucoup
d'informations dans les journaux des onglets, comme la date et l'heure,
du nom de client, sujet de lemail, l'expditeur et le nom du destinataire,
la taille, ect.

69
 Royaume du Maroc
Ntic hayryad

tape 5. Surveiller le courrier lectronique Sommaire

Afin de visualiser le contenu d'origine d'un courrier lectronique, le

processus est assez simple, il suffit un double-clique sur les logs, puis
Capsa appellera un logiciel de messagerie pour afficher le contenu des
emails, essentiellement Outlook.

70
 Royaume du Maroc
Ntic hayryad

v. Technologie
4.1-Port mirroring (SPAN)
Le SPAN permet un Switch de rediriger le trafic d'un port source vers
un port de destination afin d'analyser ce flux.

Il existe plusieurs versions du SPAN, la diffrence venant de

l'emplacement du port source.

Le SPAN se configure l'aide de la commande monitor session et une

suite de paramtres dfinissant la source et la destination. Le nombre de
session simultane peut diffrer selon la plateforme du Switch. Les
Switch C3550 et C2950 ne supporte que 2 sessions simultanes, alors
que les Switch les plus puissant peuvent supporter jusqu' 64 sessions.

*Remarque sur la Source

Un port source peut tre utilis dans plusieurs sessions SPAN

simultanment.
Un port source peut faire partie d'un Etherchannel.
Un port source ne peut pas tre dfini comme port de destination.
Un port source peut tre de n'importe quel type - Ethernet,
FastEthernet, etc.

*Remarque sur la Destination

Un port de destination peut tre de n'importe quel type.

Un port de destination ne peut tre utilis que dans une seule
session SPAN.
Un port de destination ne peut tre pas un port source.

71
 Royaume du Maroc
Ntic hayryad

Un port de destination ne peut faire partie d'un Etherchannel.

Un port de destination ne participe pas dans STP, CDP, VTP, PAGP,
LACP, ou DTP.

4.1.2-Local SPAN

Le local SPAN est utilis quand le port source et le port de destination

sont sur le mme Switch. Si la source est un vlan et non un port
physique, nous parlons de VSPAN (VLAN-Based SPAN).

Configuration
Spcifier le port source:

SW (config)# monitor session 1 source interface fa 0/1

Il est possible de spcifier un range de ports en source:

72
 Royaume du Maroc
Ntic hayryad

SW (config)# monitor session 1 source interface fa 0/1 - 5

Spcifier le port de destination.

SW (config) # monitor session 1 destination interface fa 0/10

4.1.3-RSPAN - Remote SPAN

Dans ce cas le port source et le port destination ne sont pas sur le mme
Switch. Il faut alors crer un nouveau VLAN pour transporter ce trafic
"miroir".

Voici quelques points avoir en tte avant de configurer un RSPAN:

S'il y a des Switch intermdiaires entre les 2 Switch source et

destination, ils doivent tre RSPAN-capable.
VTP traite-le VLAN configur pour le RSPAN comme tout autre VLAN.
Ce VLAN sera propag dans le Domain VTP s'il est cr sur le
serveur VTP. Sinon, il faut crer ce VLAN sur tous les Switch utiliss
pour transporter ce flux.
Les adresses MAC ne sont pas enregistres sur un VLAN RSPAN.
La source et la destination doivent tre dfinies sur le Switch
disposant du port source mais aussi sur le port disposant du port de
destination, cependant ces commandes ne seront pas identiques.

Configuration :
Crer un VLAN pour le RSPAN
SW1 (config) # vlan 99
SW1 (config-vlan) # remote-splan
Configuration du switch source
Dfinir le port source
SW1(config)# monitor session 2 source interface fast 0/4
Dfinir la destination
SW1(config)# monitor session 2 destination remote vlan 99

73
 Royaume du Maroc
Ntic hayryad

Configuration du Switch destination

Dfinir la source
SW2 (config)# monitor session 2 source remote vlan 99
Dfinir le port destination
SW2 (config)# monitor session 2 source interface fast 0/10
Verification
SW2# show monitor
Session 2
Type : Remote Destination Session
Source RSPAN VLAN : 99
Destination Ports : Fa0/10
Encapsulation : Native
Ingress : Disabled

74
 Royaume du Maroc
Ntic hayryad

V-Rsum

75
 Royaume du Maroc
Ntic hayryad

76