L'analyse de trame

L'objet de cette manipulation est de vérifier simplement le bon fonctionnement du vpn à l'aide d'une requête DNS (dig www.yahoo.fr) entre le client et le serveur. La capture intercepte ce qui se passe sur eth0 et ppp0.

Le fichier resolv.conf est configuré pour utiliser le serveur de nom :

[client]# more /etc/resolv.conf
nameserver 195.115.88.38

Les requêtes passent dans ce cas par eth0.

Sur ppp0 rien ne passe, sur eth0 par contre, il y a du traffic.

[client]# ettercap -T -i   eth0
Listening on eth0... (Ethernet)
  eth0 ->       00:90:F5:28:D5:06      192.168.90.2     255.255.255.0
Mon Nov 22 10:11:59 2004
 UDP  192.168.90.2:32885 --> 195.115.88.38:53 |
 .}...........www.yahoo.com.....

Il s'agit bien d'une requête UDP qui est passée sur ETH0, en utilisant comme source 192.168.90.2:32885 et à destination de 195.115.88.38:53. Le trafic n'est pas chiffré.

On va modifier le resolv.conf afin que les requêtes passent par le VPN.

nameserver 192.168.0.1

Et on lance la capture sur ppp0 :

[client]# ettercap -T -i   ppp0
  ppp0 ->       00:00:00:00:00:00       192.168.0.2   255.255.255.255

Mon Nov 22 10:24:04 2004
 UDP  192.168.0.2:32885 --> 192.168.0.1:53 |
 iF...........www.yahoo.com.....
Mon Nov 22 10:24:04 2004
 UDP  192.168.0.1:53 --> 192.168.0.2:32885 |

Maintenant on a bien un trafic sur ppp0. Noter qu'elle n'a pas d'adresse MAC car c'est une interface logique. Il s'agit bien d'une requête UDP de l'hôte source 192.168.0.2:3288 vers l'hôte destination 192.168.0.1:53. Ici le trafic n'est pas chiffré.

On la lance également sur eth0 :

[client]# ettercap -T -i   eth0
Listening on eth0... (Ethernet)
  eth0 ->       00:90:F5:28:D5:06      192.168.90.2     255.255.255.0

Mon Nov 22 10:20:39 2004
TCP  195.115.88.38:22 --> 192.168.90.2:33102 | AP
..!..O.R$.[NP...<G.O._uRH?O."..M36<.Gd.?..      ..Vx.
Mon Nov 22 10:20:39 2004
TCP  192.168.90.2:33102 --> 195.115.88.38:22 | AP
8..1.xV....]....D..q.7:3y.%.&.J..2..8.Qp%.*.."..

Là le dialogue n'est plus dirigé vers de l'UDP/53 mais vers du TCP/22. Il s'agit bien de SSH et plus rien n'est lisible.

La maquette fonctionne parfaitement, le service mis en place est le premier service proxy actif. Il s'agit d'un service proxy DNS.