Analyse du trafic réseau

Objectif :

En tant qu'administrateur, on doit analyser et détecter les problèmes de trafic sur notre réseau. Grâce au Moniteur réseau, on peut recueillir des informations sur le trafic réseau en provenance et à destination de l’interface réseau de l'ordinateur sur lequel elle est installée. Après avoir capturé des informations, utilisez le Moniteur réseau pour les analyser, diagnostiquer les caractéristiques des problèmes de trafic et élaborer des stratégies pour empêcher de nouveaux problèmes de trafic réseau. Les tâches les plus courantes sont, entre autres, l'installation de Moniteur réseau, calcul de taux d’utilisation de la bande passante, la capture et analyse de trames réseau afin d’extraire les trames erronées. Il est également possible d'analyser le trafic réseau à partir de la Gestion du Moniteur réseau à partir de la ligne de commande en utilisant la commande Netstat.

1) Trames sur le réseau :

• Unicast : C’est le fait de communiquer avec un ordinateur distant identifié par une adresse spécifique (adresse IP).
• Multicast : On désigne par multicast le fait de communiquer simultanément avec un groupe d'ordinateurs identifiés par une adresse spécifique (adresse de groupe).
• Broadcast : Le broadcast est un terme anglais (en français on utilise le terme diffusion) définissant une diffusion de données à un ensemble d'ordinateurs connectés à un réseau informatique.

2) Trame erronée :

A la suite d'incidents tels qu'une collision, le débranchement brutal d'une machine, la perte du bouchon d'adaptation d'impédance ou le mauvais fonctionnement d'une partie du matériel, des trames non cohérentes peuvent apparaître.

Format de trame erroné

Préambule | Adresse | destination | Adresse source | Type/ Longueur | LLC | Données | FCS

Les incidents que peut rencontrer une trame sont nommés par un vocabulaire particulier :

• Runt: Ce terme désigne les trames trop courtes (moins de 64 octets). Ce type de trame est le plus souvent le résultat d'une collision.
  
  
• Jabber: Il s'agit d'une trame trop longue (plus de 1518 octets).
  
  
• Misaligned frame: Une trame désalignée est une trame dont le nombre de bits n'est pas divisible par 8. Dans la pratique, ce type de trame possède presque toujours un CRC faux.
  
  
• Bad FCS: Il s'agit d'une trame complète dont un bit n'a pas été reçu tel qu'il avait été transmis ou d'une trame tronquée résultant d'une collision.
  
  
• Les collisions: Ce phénomène résulte de la superposition de 2 trames sur le média lorsque deux stations émettent simultanément.
  
  
• Les collisions tardives: Ce type de collision intervient lorsque la longueur du câble dépasse la norme ou lorsqu'il y a trop de répéteurs dans le réseau.
  
  C'est le seul type de collision que l'on rencontre sur les réseaux câblés en paires torsadées et constitués de commutateurs et de routeurs. Les «collisions» apparaissent avec des segments de plus 100m.

3) NETSTAT:

a.Syntaxe

Netstat [-a] [-e] [-n] [-o] [-p Protocol] [-r] [-s] [Interval]

Affiche les statistiques de protocole et des connexions réseau TCP/IP actuelles.

NETSTAT [-a] [-b] [-e] [-n] [-o] [-p protocole] [-r] [-s] [-v] [intervalle]

Netstat e : Affiche les statistiques Ethernet. Cette option peut être combinée avec l'option -s.

netstat r : affiche la table de routage.

Netstat n : Affiche les adresses et les numéros de port au format numérique.

Netstat o: Affiche l'identificateur du processus propriétaire associé à chaque connexion.

Netsat p: Affiche les connexions pour le protocole spécifié; protocole peut être une des valeurs suivantes: TCP, UDP, TCPv6 ou UDPv6.

netstat s : Affiche les statistiques par protocole. Par défaut, les statistiques sont affichées pour IP,IPv6, ICMP, ICMPv6, TCP, TCPv6, UDP et UDPv6.