Opérations Ethernet Couche 2 et Analyse du Protocole de Résolution d'Adresses
PRÉSENTATION DU MODULE
Section intitulée « PRÉSENTATION DU MODULE »Dans les environnements de réseau local (LAN) modernes, la communication de données repose sur l’encapsulation des protocoles des couches supérieures dans des trames de Couche 2. Ce processus est dicté par le type d’accès au médium ; spécifiquement, pour les suites TCP/IP (Transmission Control Protocol / Internet Protocol) opérant sur Ethernet, le format d’encapsulation standard est la trame Ethernet II.
Une communication efficace nécessite la synchronisation de deux schémas d’adressage distincts : l’adressage physique (MAC) et l’adressage logique (IP). Tandis que les adresses IP facilitent l’acheminement des paquets de la source d’origine vers la destination finale à travers les frontières réseau, les adresses MAC sont utilisées pour la livraison nœud à nœud au sein d’un même segment réseau local. Le protocole ARP (Address Resolution Protocol) constitue le mécanisme critique permettant de mapper les adresses IPv4 logiques aux adresses MAC physiques.
Périmètre de ce document : Cette référence couvre la structure des trames Couche 2, le flux opérationnel d’ARP, l’analyse de trafic par Wireshark (basée sur le TP Cisco Networking Academy « Using Wireshark to Examine Ethernet Frames »), des Q&R orientés examens, et les vulnérabilités de sécurité connues d’ARP.
CONCEPTS FONDAMENTAUX & DÉFINITIONS
Section intitulée « CONCEPTS FONDAMENTAUX & DÉFINITIONS »| Terme | Définition |
|---|---|
| Adresse MAC | Identifiant physique de 48 bits (6 octets) exprimé sous forme de 12 chiffres hexadécimaux. Utilisée pour la communication NIC-à-NIC sur le même segment réseau. Les 6 premiers chiffres hex = OUI (fabricant) ; les 6 derniers = numéro de série de la NIC. |
| Adresse IP | Adresse logique identifiant la source d’origine et la destination finale. Reste constante à travers tous les sauts réseau ; la trame Couche 2 est ré-encapsulée à chaque routeur. |
| ARP | Address Resolution Protocol — mappe une adresse IPv4 connue à une adresse MAC physique. Maintient un cache ARP (stocké en RAM). Lorsque la destination est sur le même réseau, ARP résout le MAC de l’hôte destination. Lorsque la destination est distante, ARP résout le MAC de la passerelle par défaut (et non le MAC de l’hôte distant). |
| Cache ARP / Table ARP | Table résidente en RAM stockant les correspondances IP-vers-MAC connues. Consultée avant toute génération de requête ARP. Les entrées expirent après un délai d’attente. |
| Passerelle par défaut | L’interface du routeur responsable de l’acheminement du trafic vers les réseaux distants. Lorsque la destination est sur un sous-réseau différent, l’hôte résout l’adresse MAC de la passerelle, et non celle de l’hôte distant. |
| ICMPv6 Neighbor Discovery (ND) | L’équivalent fonctionnel IPv6 de l’ARP. Utilise des messages Neighbor Solicitation (NS) et Neighbor Advertisement (NA) en lieu et place des broadcasts ARP. |
| EtherType | Champ de 2 octets dans l’en-tête Ethernet II identifiant le protocole de couche supérieure encapsulé (ex. : 0x0800 = IPv4, 0x0806 = ARP). |
| FCS | Frame Check Sequence — séquence de contrôle de trame de 4 octets basée sur un CRC, utilisée pour la détection d’erreurs. Non affichée dans les captures Wireshark. |
| OUI | Organizationally Unique Identifier — les 3 premiers octets (6 chiffres hex) d’une adresse MAC, attribués au fabricant de la NIC par l’IEEE. |
TAXONOMIE TECHNIQUE & CLASSIFICATION
Section intitulée « TAXONOMIE TECHNIQUE & CLASSIFICATION »Tableau 1 : Structure de la Trame Ethernet II
Section intitulée « Tableau 1 : Structure de la Trame Ethernet II » +-----------+---------+---------+-------+------------------+-----+ | Préambule | Dst | Src | Type | Données | FCS | | (8 octets)| (6 o) | (6 o) | (2 o) | (46 – 1500 o) | (4o)| +-----------+---------+---------+-------+------------------+-----+| Champ | Taille | Description Technique | Visibilité Wireshark |
|---|---|---|---|
| Préambule | 8 o | Bits de synchronisation traités par le matériel NIC au niveau physique. | ❌ Non affiché |
| Adresse de destination | 6 o | Adresse Couche 2 de 48 bits. Peut être unicast, multicast ou broadcast (FF:FF:FF:FF:FF:FF). | ✅ |
| Adresse source | 6 o | Adresse 48 bits de la NIC émettrice. Toujours unicast. | ✅ |
| Type de trame (EtherType) | 2 o | Identifie le protocole de couche supérieure. 0x0800 = IPv4 · 0x0806 = ARP. | ✅ |
| Données | 46–1500 o | PDU de Couche 3 encapsulé (paquet IPv4, charge utile ARP, etc.). | ✅ |
| FCS | 4 o | Contrôle de Redondance Cyclique (CRC) pour la détection d’erreurs. Calculé par l’émetteur, vérifié par le récepteur. | ❌ Non affiché |
Remarque : Ni le Préambule ni le FCS ne sont affichés dans Wireshark. Le Préambule est entièrement consommé par le matériel pour la synchronisation d’horloge avant que les données soient transmises au système d’exploitation.
Tableau 2 : Valeurs EtherType Courantes
Section intitulée « Tableau 2 : Valeurs EtherType Courantes »| Valeur EtherType | Protocole |
|---|---|
0x0800 | Internet Protocol version 4 (IPv4) |
0x0806 | Address Resolution Protocol (ARP) |
0x86DD | Internet Protocol version 6 (IPv6) |
0x8100 | Marquage VLAN IEEE 802.1Q |
Tableau 3 : Adresse MAC vs. Adresse IP — Comparaison des rôles
Section intitulée « Tableau 3 : Adresse MAC vs. Adresse IP — Comparaison des rôles »| Attribut | Adresse MAC (Couche 2) | Adresse IP (Couche 3) |
|---|---|---|
| Rôle principal | Livraison locale NIC-à-NIC au sein d’un domaine de broadcast | Identification de bout en bout des équipements à travers les réseaux |
| Portée | Limitée au segment réseau local | Routage global / inter-réseau |
| Persistance | Change à chaque saut Couche 3 (le routeur ré-encapsule) | Reste constante de la source à la destination finale |
| Longueur d’adresse | 48 bits (6 octets) | 32 bits (IPv4) / 128 bits (IPv6) |
| Notation | Hexadécimal (ex. : f4:8c:50:62:62:6d) | Décimal pointé (ex. : 10.0.0.13) |
| Attribution | Gravée dans le matériel NIC (peut être usurpée par logiciel) | Attribuée par l’administrateur réseau ou par DHCP |
| Couche d’examen | Commutateurs (équipements Couche 2) | Routeurs (équipements Couche 3) |
ANALYSE OPÉRATIONNELLE
Section intitulée « ANALYSE OPÉRATIONNELLE »Flux de Résolution ARP
Section intitulée « Flux de Résolution ARP »Lorsqu’un hôte prépare un PDU Couche 2 pour transmission, il applique la logique de décision suivante :
L'hôte souhaite envoyer un paquet │ ▼La destination est-elle sur le réseau LOCAL ? │ OUI │ NON ▼ ▼Recherche dans le cache ARP Utiliser l'IP de la passerelle par défautpour le MAC de destination Recherche dans le cache ARP pour │ l'adresse MAC de la passerelle │ │ Trouvé ? ── OUI ──────────────► Encapsuler la trame │ et transmettre NON │ ▼Envoyer une Requête ARP (Broadcast : FF:FF:FF:FF:FF:FF)« Qui a [IP cible] ? Répondre à [IP source] » │ ▼L'équipement cible répond avec une Réponse ARP (Unicast)« [IP cible] se trouve à [MAC cible] » │ ▼Mise à jour du cache ARP (stocké en RAM) │ ▼Encapsuler la trame et transmettreDétail étape par étape :
Section intitulée « Détail étape par étape : »- Recherche dans le cache ARP (PREMIÈRE étape, toujours) — L’hôte consulte toujours sa table ARP en premier (stockée en RAM). Si une entrée IP-vers-MAC correspondante existe, elle est utilisée immédiatement — aucune requête ARP n’est envoyée.
- Requête ARP — Uniquement si aucune entrée en cache n’est trouvée, l’hôte diffuse une Requête ARP (
MAC destination : FF:FF:FF:FF:FF:FF) à tous les équipements du segment local. Le commutateur inonde cette trame sur tous les ports sauf le port récepteur. - Réponse ARP — Seul l’équipement possédant l’IP demandée répond par une Réponse ARP unicast contenant son adresse MAC. La réponse est envoyée uniquement à l’hôte demandeur.
- Mise à jour du cache — Le mapping est stocké dans la table ARP. L’hôte procède à l’encapsulation de la trame et à la transmission.
Distinction clé : Les requêtes ARP sont des broadcasts (inondées par le commutateur) ; les réponses ARP sont des unicasts (envoyées uniquement au demandeur).
⚠️ Piège d’examen : La première action est toujours la recherche dans le cache ARP, PAS l’envoi d’une requête ARP.
Caractéristiques des Messages ARP — Référence Examen
Section intitulée « Caractéristiques des Messages ARP — Référence Examen »| Caractéristique | Valeur Correcte | Réponse Incorrecte Fréquente |
|---|---|---|
| Acheminement de la requête ARP | Broadcast — inondée sur tous les ports par le commutateur (sauf le port récepteur) | |
| Acheminement de la réponse ARP | Unicast — envoyée uniquement à l’hôte ayant émis la requête | |
| EtherType pour ARP | 0x0806 | 0x0805 |
| En-tête IPv4 dans une trame ARP | Aucun — ARP est encapsulé directement dans Ethernet | |
| Stockage du cache ARP | RAM (volatile — effacé au redémarrage, entrées expirant après délai) |
Trafic Local vs. Distant — Comparaison Détaillée
Section intitulée « Trafic Local vs. Distant — Comparaison Détaillée »Les scénarios suivants sont basés sur la topologie du TP Cisco (réseau local 10.0.0.0/24, réseau distant 172.16.0.0/12 via le routeur R1) :
Scénario A — Trafic Local (H3 → H1, même sous-réseau)
Section intitulée « Scénario A — Trafic Local (H3 → H1, même sous-réseau) »| Étape | Action | Détail Couche 2 |
|---|---|---|
| 1 | H3 (10.0.0.13) pingue H1 (10.0.0.11) | Reconnaît le même sous-réseau |
| 2 | H3 consulte le cache ARP pour 10.0.0.11 | Le cache peut être vide après arp -d |
| 3 | H3 diffuse une Requête ARP | MAC dst : FF:FF:FF:FF:FF:FF |
| 4 | H1 répond avec une Réponse ARP unicast | L’adresse MAC de H1 est retournée |
| 5 | H3 envoie la Requête Echo ICMP directement à H1 | MAC dst = MAC de H1 |
Scénario B — Trafic Distant (H3 → H4, sous-réseau différent)
Section intitulée « Scénario B — Trafic Distant (H3 → H4, sous-réseau différent) »| Étape | Action | Détail Couche 2 |
|---|---|---|
| 1 | H3 (10.0.0.13) pingue H4 (172.16.0.40) | Reconnaît un sous-réseau différent |
| 2 | H3 consulte le cache ARP pour la passerelle par défaut 10.0.0.1 | Pas l’IP de H4 — l’IP de la passerelle |
| 3 | H3 résout via ARP le MAC de la passerelle | MAC dst dans la trame = MAC de R1 |
| 4 | H3 envoie la trame ICMP à R1 | IP dst du paquet = 172.16.0.40 ; MAC dst de la trame = MAC de R1 |
| 5 | R1 achemine le paquet vers H4 | R1 ré-encapsule avec une nouvelle trame Couche 2 |
Point critique : L’adresse IP de destination diffère entre les scénarios A et B, mais l’adresse MAC de destination dans la trame pointe toujours vers l’équipement au prochain saut (hôte directement connecté ou passerelle par défaut). L’adresse IP dans le paquet reste la vraie destination finale tout au long du chemin.
⚠️ Piège d’examen (destination distante, cache ARP vide) : L’hôte envoie une requête ARP pour le MAC de la passerelle par défaut — PAS pour le MAC de l’hôte distant. ARP opère uniquement dans le domaine de broadcast local et ne peut pas traverser les routeurs.
Analyse de Trafic avec Wireshark (PCAP)
Section intitulée « Analyse de Trafic avec Wireshark (PCAP) »Wireshark est l’outil principal utilisé pour inspecter le comportement des trames ARP et ICMP. Ci-dessous une référence de ce qu’observent les analystes lors d’une session de capture ARP + ping typique.
Trame de Requête ARP Observée (EtherType 0x0806)
Section intitulée « Trame de Requête ARP Observée (EtherType 0x0806) »| Champ | Valeur Observée | Remarques |
|---|---|---|
| MAC destination | ff:ff:ff:ff:ff:ff | Broadcast — envoyé à tous les hôtes du segment |
| MAC source | f4:8c:50:62:62:6d (ex. : NIC IntelCor) | Adresse physique de l’hôte émetteur |
| EtherType | 0x0806 | Identifie la charge utile comme ARP |
| Info (Wireshark) | Who has 192.168.1.1? Tell 192.168.1.6 | Message de Requête ARP |
| En-tête IPv4 | Absent | ARP est encapsulé directement dans une trame Ethernet — il n’y a pas d’en-tête IPv4. EtherType 0x0806 ≠ 0x805 (réponse incorrecte fréquente aux examens). |
| Préambule | Non affiché | Consommé par le matériel |
| FCS | Non affiché | Calculé et vérifié par le matériel |
Trame de Requête Echo ICMP Observée (EtherType 0x0800)
Section intitulée « Trame de Requête Echo ICMP Observée (EtherType 0x0800) »| Champ | Ping Local (même sous-réseau) | Ping Distant (sous-réseau différent) |
|---|---|---|
| MAC dst | MAC de l’hôte cible | MAC du routeur (passerelle par défaut) |
| MAC src | MAC de l’émetteur | MAC de l’émetteur |
| EtherType | 0x0800 (IPv4) | 0x0800 (IPv4) |
| IP src (dans les données) | IP de l’émetteur | IP de l’émetteur |
| IP dst (dans les données) | IP de la cible locale | IP de la cible distante |
Référence des Filtres Wireshark
Section intitulée « Référence des Filtres Wireshark »| Filtre | Utilisation |
|---|---|
arp | Afficher uniquement les trames ARP |
icmp | Afficher uniquement le trafic ICMP (ping) |
arp or icmp | Afficher les deux — utile pour l’analyse complète d’une session ARP + ping |
eth.dst == ff:ff:ff:ff:ff:ff | Isoler toutes les trames broadcast |
Anatomie d’une Adresse MAC
Section intitulée « Anatomie d’une Adresse MAC » f4 : 8c : 50 : 62 : 62 : 6d└────────────────┘ └────────────────┘ OUI / Identifiant Fabricant Numéro de Série NIC (Fabricant = Intel)- OUI (3 premiers octets / 6 chiffres hex) : Attribué par l’IEEE au fabricant. Dans la capture du TP,
f4:8c:50= Intel Corporation. - Numéro de série (3 derniers octets / 6 chiffres hex) : Identifie de manière unique la NIC au sein de la gamme de produits du fabricant.
VULNÉRABILITÉS DE SÉCURITÉ
Section intitulée « VULNÉRABILITÉS DE SÉCURITÉ »Usurpation ARP / Empoisonnement ARP
Section intitulée « Usurpation ARP / Empoisonnement ARP »ARP ne possède aucun mécanisme d’authentification intégré. N’importe quel équipement sur le réseau peut envoyer une Réponse ARP sans avoir reçu de Requête ARP. Cette faille de conception permet :
Mécanisme d’Attaque
Section intitulée « Mécanisme d’Attaque »Flux légitime : Hôte A ──Requête ARP──► (broadcast) ──► Routeur (10.0.0.1) Hôte A ◄──Réponse ARP─────────────────── Routeur (MAC : aa:bb:cc:dd:ee:ff)
Attaque par Empoisonnement ARP : Hôte A ──Requête ARP──► (broadcast) L'attaquant envoie une Réponse ARP NON SOLLICITÉE : « 10.0.0.1 se trouve à [MAC Attaquant] » Hôte A ◄──Réponse ARP Forgée────────── Attaquant Hôte A envoie désormais tout son trafic à l'Attaquant → Homme du Milieu (MitM)Usurpation ARP vs. Usurpation MAC
Section intitulée « Usurpation ARP vs. Usurpation MAC »| Attaque | Mécanisme | Objectif |
|---|---|---|
| Usurpation ARP / Empoisonnement ARP | Envoie des Réponses ARP forgées pour associer le MAC de l’attaquant à une IP légitime (ex. : passerelle par défaut) | Intercepter / rediriger le trafic (MitM), permettre l’écoute clandestine ou la modification |
| Usurpation MAC | Modifie l’adresse MAC de la NIC de l’attaquant pour usurper l’identité d’un hôte légitime | Tromper les commutateurs pour qu’ils acheminent les trames vers l’attaquant plutôt que vers le vrai hôte ; contourner les filtres de sécurité basés sur les MAC |
- Homme du Milieu (MitM) : L’attaquant intercepte, lit ou modifie le trafic entre deux hôtes.
- Déni de Service (DoS) : L’attaquant associe un MAC invalide à l’IP de la passerelle, provoquant la perte de tout le trafic.
- Détournement de Session : Une fois le MitM établi, l’attaquant peut injecter des données malveillantes dans des sessions actives.
Contre-mesures
Section intitulée « Contre-mesures »| Contre-mesure | Description |
|---|---|
| Dynamic ARP Inspection (DAI) | Fonctionnalité des commutateurs Cisco validant les paquets ARP par rapport à une table de liaison DHCP snooping de confiance |
| Entrées ARP statiques | Configurer manuellement les mappages IP-vers-MAC critiques (non scalable pour les grands réseaux) |
| Authentification de port 802.1X | S’assurer que seuls les équipements authentifiés peuvent se connecter aux ports du commutateur |
| Supervision réseau / IDS | Détecter les patterns de trafic ARP anormaux (ex. : inondations d’ARP gratuits) |
| VPN / Canaux chiffrés | Même si le trafic est intercepté, le chiffrement le rend illisible |
BANQUE DE Q&R
Section intitulée « BANQUE DE Q&R »Q : Comment le processus ARP utilise-t-il une adresse IP ?
✅ Pour déterminer l’adresse MAC d’un équipement sur le même réseau. ARP résout une adresse IP connue en une adresse MAC inconnue au sein du domaine de broadcast local.
Q : Que fera un hôte EN PREMIER lors de la préparation d’un PDU Couche 2 destiné à un hôte sur le même réseau Ethernet ?
✅ Il recherche dans la table ARP l’adresse MAC de l’hôte destination. Ce n’est que si aucune entrée n’est trouvée qu’il initiera une requête ARP.
Q : Lorsqu’un paquet IP est envoyé vers un hôte sur un réseau DISTANT, quelle information ARP fournit-il ?
✅ Le MAC de l’interface du routeur la plus proche de l’hôte émetteur (c’est-à-dire le MAC de la passerelle par défaut). ARP ne résout jamais directement les MAC des hôtes distants — il résout l’équipement au prochain saut.
Q : Un hôte doit atteindre un autre hôte sur un réseau distant, mais le cache ARP ne contient aucun mapping. À quelle adresse de destination la requête ARP sera-t-elle envoyée ?
✅ L’adresse MAC de broadcast (
FF:FF:FF:FF:FF:FF). Les requêtes ARP sont toujours des broadcasts sur le segment réseau local.
Q : Quel est l’objectif d’une attaque par usurpation ARP ?
✅ Associer des adresses IP à une adresse MAC incorrecte. Cela permet à l’attaquant d’intercepter ou de rediriger le trafic (MitM).
Q : Dans quel type de mémoire la table ARP est-elle stockée ?
✅ RAM (mémoire volatile). Le cache ARP est effacé au redémarrage et les entrées expirent après un délai configurable.
Q : Quelle est une caractéristique des messages ARP ?
✅ Les réponses ARP sont unicast. Les requêtes ARP sont des broadcasts (inondées sur tous les ports par le commutateur). ARP n’est pas encapsulé dans un en-tête IPv4 — il va directement dans la trame Ethernet.
Q : Quelle affirmation décrit le mieux la fonction d’ARP ?
✅ ARP est utilisé pour découvrir l’adresse MAC de tout hôte sur le réseau local. ARP ne fonctionne pas au-delà des frontières routées — son périmètre est limité au domaine de broadcast local.
Q : Pourquoi un attaquant voudrait-il usurper une adresse MAC ?
✅ Pour qu’un commutateur sur le LAN commence à acheminer les trames vers l’attaquant plutôt que vers l’hôte légitime. L’usurpation MAC peut également servir à contourner les filtres de sécurité de port ou usurper l’identité d’équipements de confiance.
Q : Quelle information importante est examinée dans l’en-tête de la trame Ethernet par un équipement Couche 2 (commutateur) pour acheminer les données ?
✅ L’adresse MAC de destination. Les commutateurs construisent leurs tables d’adresses MAC en lisant les adresses MAC sources, puis acheminent les trames en fonction du MAC de destination.
Q : Que contient le champ Préambule, et pourquoi n’est-il pas affiché dans Wireshark ?
✅ Le Préambule contient des bits de synchronisation utilisés par le matériel NIC pour établir la synchronisation d’horloge au niveau physique. Il est entièrement traité par le matériel avant que les données n’atteignent le système d’exploitation ou le logiciel de capture, donc Wireshark ne le voit jamais.
Q : Pourquoi l’adresse IP de destination change-t-elle lors d’un ping vers un hôte distant, alors que l’adresse MAC de destination reste identique à celle de la passerelle par défaut ?
✅ Parce que l’adresse IP identifie la destination finale (qui se trouve sur un réseau distant), tandis que l’adresse MAC identifie uniquement l’équipement au prochain saut (la passerelle par défaut sur le segment local). Le MAC de destination dans la trame désigne toujours le prochain équipement directement connecté, qui dans ce cas est le routeur.
AIDE-MÉMOIRE RÉCAPITULATIF
Section intitulée « AIDE-MÉMOIRE RÉCAPITULATIF »| Concept | Fait Clé |
|---|---|
| Type de requête ARP | Broadcast (FF:FF:FF:FF:FF:FF) — inondée par le commutateur sur tous les ports sauf le récepteur |
| Type de réponse ARP | Unicast — envoyée uniquement à l’hôte demandeur |
| EtherType ARP | 0x0806 (PAS 0x805) |
| ARP contient un en-tête IPv4 ? | Non — encapsulé directement dans la trame Ethernet |
| Cache ARP consulté | Avant l’envoi de toute requête ARP (première action toujours) |
| Dest. distante, cache vide | La requête ARP cible le MAC de la passerelle par défaut, pas le MAC de l’hôte distant |
| Stockage du cache ARP | RAM |
| EtherType IPv4 | 0x0800 |
| MAC dest. distant résolu par ARP | MAC de la passerelle par défaut, pas celui de l’hôte distant |
| Décision d’acheminement d’un équipement Couche 2 | Basée sur l’adresse MAC de destination |
| Préambule dans Wireshark | Non visible — traité par le matériel |
| FCS dans Wireshark | Non visible — vérifié et supprimé par la NIC |
| Faiblesse de sécurité ARP | Pas d’authentification — vulnérable à l’usurpation/empoisonnement |
| Objectif de l’usurpation ARP | Associer le MAC de l’attaquant à une IP légitime → MitM |
| Objectif de l’usurpation MAC | Usurper l’identité d’un hôte → le commutateur achemine les trames vers l’attaquant |
| Équivalent IPv6 de l’ARP | ICMPv6 Neighbor Discovery (NS/NA) |