La couche de liaison de données
Cette couche permet d'adresser et d'envoyer des paquets n'importe où sur un réseau. Cette couche met en oeuvre les protocoles MAC (Media Access Control) dont le très célèbre Ethernet. Cette couche fournit un adressage standard pour tous les périphériques Ethernet : c'est l'adresse MAC. Chaque périphérique Ethernet est pourvu d'une adresse MAC unique : c'est un moyen d'identifier n'importe quel périphérique établissant une connexion sur un réseau. Cette adresse est constituée de 6 bytes de la forme xx:xx:xx:xx:xx:xx, généralement communiquée en hexadécimal.
Les headers Ethernet contiennent une source (l'envoyeur) et une destination, ce qui permet a la couche réseau de router les paquets. De plus, une adresse spéciale existe sur un réseau, labroadcast, d'adresse MAC FF:FF:FF:FF:FF:FF et en général d'IP 255.255.255.255. La broadcast est un alias qui concerne tous les systèmes connectés au réseau. Autrement dit, un paquet envoyé à la broadcast sera envoyé à tous les périphériques appartenants au réseau. L'adresse MAC ne peut a priori pas changer puisqu'elle est inscrite dans la mémoire intégrée du circuit électronique de chaque périphérique. Ceci dit, l'IP du système peut changer sur un réseau : on ne peut donc pas relier une IP à un système précis. Dans les faits, il existe un protocole qui permet de lier une adresse IP à une adresse MAC, c'est le protocole ARP (Address Resolution Protocol).
Il y a 4 types de messages ARP : les requêtes et réponses ARP ainsi que les requêtes et réponses RARP (ARP/RARP requests ou replies). Dans l'optique de la section sur l'ARP Cache Poisoning, nous n'expliquerons ici que les paquets ARP.
Une requête ARP est un message qu'un ordinateur enverra à la broadcast qui demande "Qui a cette adresse IP ? Si c'est vous, envoyez la réponse à l'adresse MAC suivante". Le message est diffusé à tous les ordinateurs du réseau. Si cette IP existe sur le réseau, l'entité concernée va répondre en adressant une réponse ARP à l'adresse MAC indiquée dans la requête, disant "Mon adresse MAC est la suivante, et mon IP est ceci". En général, on garde en mémoire temporairement les associations MAC/IP, de façon à ne pas avoir à envoyer une requête ARP pour chaque paquet envoyé au même destinataire. Résumons ceci par l'exemple suivant, où on prend deux ordinateurs A et B d'un réseau, d'adresses MAC et IP 12:34:56:78:9A:BC/192.168.0.101 et DE:F1:23:45:67:89/192.168.0.102 respectivement :
- L'ordinateur A forge le paquet ARP suivant :
Requête ARP - MAC Source : 12:34:56:78:9A:BC - MAC Destinataire : FF:FF:FF:FF:FF:FF - "Qui est à 192.168.0.102 ?", puis l'envoie. - Après que la broadcast ait diffusé le paquet sur tout le réseau, l'ordinateur B reçoit le paquet écrit précédemment. Reconnaissant son adresse IP, il renvoie le paquet suivant :
Réponse ARP - MAC Source : DE:F1:23:45:67:89 - MAC Destinataire : 12:34:56:78:9A:BC - "192.168.0.102 est à DE:F1:23:45:67:89". - L'ordinateur A garde localement dans son cache la correspondance entre le MAC DE:F1:23:45:67:89 et l'IP 192.168.0.102.
Ainsi, si un programme tournant sur la machine A veut contacter 192.168.0.102 et qu'il ne trouve aucune correspondance dans le cache local, il va envoyer la requête ARP précédemment décrite. Après avoir reçu la requête et sauvegardé la correspondance, il peut désormais communiquer avec la machine B. Il est à noter que généralement, le routeur ou serveur central dans un réseau garde dans son cache local la correspondance MAC/IP de tous les ordinateurs du réseau.
Nous vous avons désormais décrit les trois couches qui seront essentielles dans la manipulation des réseau, à commencer par ce que nous nous proposons de vous expliquer désormais, à savoir le détournement du protocole TCP/IP. C'est parti...
