Retrouver les infos d'une trame ethernet altéré

L'auteur de ce sujet a trouvé une solution à son problème.
Auteur du sujet

Bonjours à tous,

je suis en ce moment en train de faire les challenges réseaux de root-me.org mais je suis bloqué sur celui là où il faut reconstituer la dernière trame donnée dans l'énoncé, j'ai déjà commencé a organiser les données comme ceci :

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
   00-50-56-9e-7b-f9                       // Destination address
   00-50-56-9e-7b-fb                       // Source address
   8100                                    // EtherType
   0185                                    // TCI
   86dd                                    // IPv6
   60 00 00 00                             // Version + Traffic Class + Flow Label
   0040                                    // Payload Length
   3a                                      // Next Header ICMP
   40                                      // Hop Limits
   2002:c000:0203:0000:0000:0000:0000:7331 // Source address
   2002:c000:0203:0000:0000:0000:0000:dead // Destination address
   80                                      // Type
   00 0af0 0792  
   0001 146d a451 0000 0000 d020 0300 0000  
   0000 2d4d 452e 4f52 4720 524f 4f54 2d4d  
   452e 4f52 4720 524f 4f54 2d4d 452e 4f52  
   4720 524f 4f54 2d4d 452e



   00-50-56-9e-7b-f7                       // Destination address
   00-50-56-9e-7b-f9                       // Source address
   8100                                    // EtherType
   0186                                    // TCI
   86dd                                    // IPv6
   60 00 00 00                             // Version + Traffic Class + Flow Label
   0040                                    // Payload Length
   3a                                      // Next Header ICMP
   40                                      // Hop Limits
   2002:c000:0203:0000:0000:0000:0000:b00b // Source address
   2002:c000:0203:0000:0000:0000:0000:fada // Destination address
   80                                      // Type
   00 0af0 0792  
   0001 146d a451 0000 0000 d020 0300 0000  
   0000 2d4d 452e 4f52 4720 524f 4f54 2d4d  
   452e 4f52 4720 524f 4f54 2d4d 452e 4f52  
   4720 524f 4f54 2d4d 452e



   00-50-56-9e-7b-fe                       // Destination address
   00-50-56-9e-7b-f7                       // Source address
   8100                                    // EtherType
   0186                                    // TCI
   86dd                                    // IPv6
   60 00 00 00                             // Version + Traffic Class + Flow Label
   0040                                    // Payload Length
   3a                                      // Next Header ICMP
   40                                      // Hop Limits
   2002:c000:0203:0000:0000:0000:0000:7331 // Source address
   2002:c000:0203:0000:0000:0000:0000:b00b // Destination address
   80                                      // Type
   00 c760 0795  
   0001 906d a451 0000 0000 8fac 0b00 0000  
   0000 2d4d 452e 4f52 4720 524f 4f54 2d4d  
   452e 4f52 4720 524f 4f54 2d4d 452e 4f52  
   4720 524f 4f54 2d4d 452e



   00-50-56-9e-7b-??(??)                         // Destination address
   00-50-56-9e-7b-??(??)                         // Source address
   ????(8100)                                    // EtherType
   0186                                          // TCI              
   86dd                                          // IPv6
   60 00 00 00                                   // Version + Traffic Class + Flow Label
   0040                                          // Payload Length
   ??(3a)                                        // Next Header IMCPv6
   40                                            // Hop Limit
   2002:c000:0203:0000:0000:0000:0000:????(????) // Source Address
   2002:c000:0203:0000:0000:0000:0000:????(????) // Destination Address 
   ??(80)                                        // Type Echo Request
   00                                            // Code
   09f0                                          // Checksum
   07 92 00 01                                   // Message body
   146d a451 0000 0000 d020 0300 0000  
   0000 2d4d 452e 4f52 4720 524f 4f54 2d4d  
   452e 4f52 4720 524f 4f54 2d4d 452e 4f52  
   4720 524f 4f54 2d4d 452e

ce qui m'a permis de déterminer tous les champs sauf les adresses, et c'est précisément là que je bloque, comment je peux faire pour déterminer toutes les adresses ?

Je vous remercie d'avance pour votre aide et vous souhaites une bonne journée. :)

« La Nature est un livre écrit en langage mathématique », Galilée

+0 -0
Staff

Cette réponse a aidé l'auteur du sujet

Ah je me rappelle de ce challenge mais plus de la solution.

En gros il s'agit des trames ethernet qui contiennent des requêtes ping sur un réseau IPv6. Si je me souviens bien, il faut s'aider des payloads et de la spec du protocole ICMP pour en déduire une architecture probable du réseau. La payload devrait te servir à savoir ce que contient le message (une réponse ? une requête ? de qui ? pour qui ?), et du coup de deviner entre qui et qui il a été transmis.

PS:

Ah ça y est je me rappelle. Regarde les addresses mac, dernier octet.

1
2
3
4
fb  -> f9    (ping)
f9  -> f7    (ping)
f7  -> fe    (ping)
??  -> ??

Le message suivant ne peut être que deux choses :

  • soit une transmission d'un ping à une nouvelle machine, mais comment deviner laquelle si on ne nous donne aucune addresse ?
  • soit la réponse de la machine destination d'un ping, dont le "pong" doit faire le chemin inverse.

Vu qu'on a aucune info pour deviner le premier, le message est très certainement le premier "hop" d'un pong. Ensuite, si on regarde les identifier/sequence number des headers ICMP, on s'aperçoit qu'il y a deux échanges ICMP distincts… du coup y'a un piège mais je préfère ne pas te spoiler la réponse.

Édité par nohar

I was a llama before it was cool

+0 -0
Auteur du sujet

J'ai essayer avec tes pistes, du coup mes trames ressemble à ça :

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
   00-50-56-9e-7b-f9                       // Destination address
   00-50-56-9e-7b-fb                       // Source address
   8100                                    // EtherType
   0185                                    // TCI
   86dd                                    // IPv6
   60 00 00 00                             // Version + Traffic Class + Flow Label
   0040                                    // Payload Length
   3a                                      // Next Header ICMP
   40                                      // Hop Limits
   2002:c000:0203:0000:0000:0000:0000:7331 // Source address
   2002:c000:0203:0000:0000:0000:0000:dead // Destination address
   80                                      // Type
   00                                      // Code
   0af0                                    // Checksum
   0792                                    // Identifier
   0001                                    // Sequence Number
   146d a451 0000 0000 d020 0300 0000  
   0000 2d4d 452e 4f52 4720 524f 4f54 2d4d  
   452e 4f52 4720 524f 4f54 2d4d 452e 4f52  
   4720 524f 4f54 2d4d 452e



   00-50-56-9e-7b-f7                       // Destination address
   00-50-56-9e-7b-f9                       // Source address
   8100                                    // EtherType
   0186                                    // TCI
   86dd                                    // IPv6
   60 00 00 00                             // Version + Traffic Class + Flow Label
   0040                                    // Payload Length
   3a                                      // Next Header ICMP
   40                                      // Hop Limits
   2002:c000:0203:0000:0000:0000:0000:b00b // Source address
   2002:c000:0203:0000:0000:0000:0000:fada // Destination address
   80                                      // Type
   00                                      // Code
   0af0                                    // Checksum
   0792                                    // Identifier
   0001                                    // Sequence Number
   146d a451 0000 0000 d020 0300 0000 
   0000 2d4d 452e 4f52 4720 524f 4f54 2d4d  
   452e 4f52 4720 524f 4f54 2d4d 452e 4f52  
   4720 524f 4f54 2d4d 452e



   00-50-56-9e-7b-fe                       // Destination address
   00-50-56-9e-7b-f7                       // Source address
   8100                                    // EtherType
   0186                                    // TCI
   86dd                                    // IPv6
   60 00 00 00                             // Version + Traffic Class + Flow Label
   0040                                    // Payload Length
   3a                                      // Next Header ICMP
   40                                      // Hop Limits
   2002:c000:0203:0000:0000:0000:0000:7331 // Source address
   2002:c000:0203:0000:0000:0000:0000:b00b // Destination address
   80                                      // Type
   00                                      // Code
   c760                                    // Checksum
   0795                                    // Identifier
   0001                                    // Sequence Number
   906d a451 0000 0000 8fac 0b00 0000  
   0000 2d4d 452e 4f52 4720 524f 4f54 2d4d  
   452e 4f52 4720 524f 4f54 2d4d 452e 4f52  
   4720 524f 4f54 2d4d 452e



   00-50-56-9e-7b-??(f7)                         // Destination address
   00-50-56-9e-7b-??(f9)                         // Source address
   ????(8100)                                    // EtherType
   0186                                          // TCI              
   86dd                                          // IPv6
   60 00 00 00                                   // Version + Traffic Class + Flow Label
   0040                                          // Payload Length
   ??(3a)                                        // Next Header IMCPv6
   40                                            // Hop Limit
   2002:c000:0203:0000:0000:0000:0000:????(fada) // Source Address
   2002:c000:0203:0000:0000:0000:0000:????(b00b) // Destination Address 
   ??(81)                                        // Type Echo Reply
   00                                            // Code
   09f0                                          // Checksum
   0792                                          // Identifier
   0001                                          // Sequence Number
   14 6d a4 51 00 00 00 00 d0 20 03 00 00 00  
   00 00 2d 4d 45 2e 4f 52 47 20 52 4f 4f 54
   2d 4d 45 2e 4f 52 47 20 52 4f 4f 54 2d 4d
   45 2e 4f 52 47 20 52 4f 4f 54 2d 4d 45 2e

donc la 3eme trame n'ayant pas le même identifier dans la requête, je suis sur que ce n'est pas elle, après on remarque une différence sur le TCI dans le vlan de 1 qui affecte donc l'identifier du vlan, je peut donc déterminer que la reply est pour la seconde trame, ce qui me donne ça comme réponse au challenge

f7f981003afadab00b81

sauf que ça marche pas

« La Nature est un livre écrit en langage mathématique », Galilée

+0 -0
Auteur du sujet

Tu as inversé le dernier octet des adresses mac (les deux premiers octets de la réponse).

nohar

-_- pourtant j'ai fais attention. Merci de ton aide, le sujet est résolu :)

« La Nature est un livre écrit en langage mathématique », Galilée

+0 -0
Vous devez être connecté pour pouvoir poster un message.
Connexion

Pas encore inscrit ?

Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte