|
|
 |
OUTILS
Identifier et manipuler adresses et masques réseau...
La commande de base permettant de visualiser la configuration IP d'une
station s'appelle "ipconfig" sous Windows et "ifconfig" sous Unix.
Certains versions de Windows proposent également une variante avec
interface graphique nommée "winipcfg" :
(commande-Win) ipconfig
(commande-Win95/98/ME) winipcfg
(commande-Unix) ifconfig
-a
(Mac OS X) Préférences Système... >
Réseau > TCP/IP
(Mac OS 8/9) Tableaux de bord > TCP/IP
On peut aussi simplement obtenir son adresse IP en ligne, sur de nombreux
sites tel que celui-ci :
http://www.mon-ip.com/
Cependant, si vous utilisez un proxy Web, l'adresse retournée sera
celle du proxy et non celle de votre station. Par ailleurs, ces outils en
ligne ne permettent pas d'obtenir les autres éléments de
configuration IP (masque de sous-réseau, passerelle par
défaut).
Il est également possible, pour un site Web, d'afficher les
adresses IP de ses propres visiteurs au moyen d'un simple script, par
exemple celui du magazine interactif ActuLab :
Votre adresse IP est 
Cliquer sur l'œil pour visualiser le script utilisé.
On peut utiliser un utilitaire en ligne de calcul de masques fourni
par IXUS.net, à l'adresse :
http://www.ixus.net/modules.php?name=Ixus_Nettools&d_op=Netcalc
Entrer l'adresse et le masque de la station (ou la longueur du
préfixe), puis valider.
Il s'agit de la notation CIDR (Classless Inter-Domain Routing)
permettant d'identifier une plage d'adresses IP. L'adresse IP avant le
caractère / est la première adresse de la plage. Le nombre
après le / correspond au préfixe réseau,
c'est-à-dire le nombre de bits d'adresse utilisés pour
identifier le réseau. Ce préfixe réseau contient
donc la même information que le masque de sous-réseau.
Cette page du site "jessland" donne la correspondance entre les
préfixes CIDR, les masques de sous-réseau (en
décimal et en binaire), et les réseaux de classes A, B, C
:
http://www.jessland.net/ids/resources/CIDR
Cette autre page du site "PacketLatency.net" précise le nombre
d'adresses disponibles pour chaque valeur de préfixe (et le nombre
maximum de stations, en tenant compte des adresses interdites) :
http://packetlatency.net/subnetting/cidrtable.shtml
Le préfixe 17 correspond à un masque de "255.255.128.0". La
notation "62.62.128.0/17" correspond à une plage d'adresses
équivalente à 128 réseaux de classe C, soit à
32 768 adresses, commençant à l'adresse IP 62.62.128.0.
Soit la plage d'adresses IPv4 : 62.62.128.0 à
62.62.255.255.
|
|
|
LOCALISATION
D'UNE ADRESSE IP
Déterminer d'où provient un trafic
indésirable...
Depuis 1993, les adresses sont allouées par IANA aux
différents registres régionaux d'adresses Internet :
AfriNIC (Afrique), APNIC (Asie - Pacifique), ARIN (Amérique du
Nord), LACNIC (Amérique Latine et Caraïbes) et RIPE NCC
(Europe).
L'espace d'adressage IPv4 est décrit sur le site de IANA :
http://www.iana.org/assignments/ipv4-address-space
La colonne "Registry-Purpose" indique :
- le registre régional (AfriNIC, APNIC, ARIN, LACNIC, RIPE NCC) pour les adresses distribuées depuis1993,
- le propriétaire de l'adresse, dans le cas des adresses de classe A distribuées antérieurement,
- "Various Registries" pour les adresses de classe B et C distribuées antérieurement,
- "IANA - Multicast" pour les adresses de classe D,
- "IANA - Reserved" pour les adresses non encore allouées par IANA, et donc toujours disponibles, ainsi que pour les adresses spéciales (boucle locale 127, classe E expérimentale).
La colonne "Date" indique la date d'allocation de la plage d'adresses
par IANA, et la colonne "Reference" à droite précise l'URL
des registres régionaux à utiliser pour obtenir plus
d'informations (outil Whois).
Chercher dans la base de données du RIPE au moyen de l'outil
Whois :
http://www.ripe.net/whois
Saisir l'adresse recherchée dans le champ "Search for".
Pour le fournisseur d'accès, observer quel système autonome
est à l'origine de la route contenant cette adresse.
Les registres des autres continents possèdent des outils de recherche Whois similaires à celui du RIPE, disponibles sur leurs sites Web :
- AfriNIC : http://www.afrinic.net/
- APNIC : http://www.apnic.net/
- ARIN : http://www.arin.net/
- LACNIC : http://www.lacnic.net/en/
Attention, il y a un piège...
L'outil "Norton Internet Security" de la société
Symantec contient une fonction dénommée "Visual Tracking",
permettant d'afficher graphiquement l'origine supposée d'une
attaque. Cet outil développé par la société
Visualware est accessible en ligne au moyen d'URL du type :
"http://visualtracking.symantec.com/vt_main.asp?langid=fr&go=AAA.BBB.CCC.DDD",
où le dernier paramètre représente l'adresse IP
recherchée. Par exemple pour les trois adresses
précédentes :
http://visualtracking.symantec.com/vt_main.asp?langid=fr&go=193.48.251.195
http://visualtracking.symantec.com/vt_main.asp?langid=fr&go=64.248.129.75
http://visualtracking.symantec.com/vt_main.asp?langid=fr&go=202.56.176.26
Cet outil automatise les recherches dans les bases de données
d'adresses IP (IANA, AfriNIC, APNIC, ARIN, LACNIC, RIPE NCC) et tente de
déduire la localisation géographique de la station. Cliquer
sur "Detail" en bas de l'écran pour obtenir plus d'informations
sur le fournisseur d'accès correspondant.
Les bases de données Whois des registres d'adresses IP
permettent en général d'obtenir les coordonnées du
fournisseur d'accès responsable de l'adresse recherchée.
Cependant, la station correspondante n'est pas nécessairement
localisée au même endroit que le siège social du FAI,
surtout pour les plus importants d'entre eux...
La société Geobytes propose une gamme d'outils basés
sur une méthode de localisation géographique
entièrement différente. Des indications
géographiques sont fournies directement pas des internautes, puis
corrélées avec leurs adresses IP. D'après la
société Geobytes, cette technique permettrait de localiser
98 % des adresses. Le pays serait correct dans 97 % des cas, et
la ville à 50 Km près dans 75 % des cas.
Une version gratuite de l'outil "IP Address Locator" est disponible en
ligne :
http://www.geobytes.com/IpLocator.htm
Entrer par exemple les trois adresses précédentes et
valider. L'outil fournit un ensemble d'informations géographiques
: pays, région, ville, latitude, longitude, villes les plus
proches, carte du pays... Le pourcentage de certitude sur les
résultats est également affiché.
Dans le cas des adresses précédentes, les résultats
de Geobytes diffèrent-ils de ceux de l'outil "Visual Tracking",
basé sur les bases Whois des registres d'adresses ?
Certains fournisseurs d'accès Internet attribuent des noms de
station à leurs abonnés, associés à leurs
adresses IP. Ces noms contiennent parfois des indications
géographiques. Par exemple, le FAI Free utilise des noms en
"fbx.proxad.net" contenant le nom du DSLAM pour les accès
dégroupés. Orange utilise des noms en "abo.wanadoo.fr"
contenant le nom de la plaque ADSL concernée. La localisation au
moyen du nom du DSLAM (quartier d'une ville) est en général
plus précise que celle par la plaque ADSL (grande ville
avoisinante).
Dans le cas d'autres FAI, le nom DNS n'apportera aucune indication
géographique. C'est également le cas lorsque les
accès sont basés sur une offre de collecte nationale
(IP/ADSL), ou pour des accès bas débit.
Essayons de localiser par ce biais l'adresse suivante : 82.231.114.123
(Free).
La première étape consiste à obtenir le nom DNS
associé à cette adresse au moyen d'une requête DNS
inverse. On utilise un outil nslookup en ligne, par exemple celui de
Kloth.net :
http://www.kloth.net/services/nslookup.php
Entrer l'adresse IP dans le champ "Domain" et valider au moyen du bouton
"Look it up". Observer le nom DNS retourné (name =). Le premier
terme de ce nom (3 lettres et 2 chiffres) est le code du nœud de
raccordement d'abonnés France Télécom. Observer
qu'il n'est pas nécessairement évident de savoir de quelle
ville il s'agit à partir du seul code de NRA.
L'étape suivante consiste donc à localiser ce NRA. On
peut utiliser l'excellent site de François04 :
http://francois04.free.fr/liste_dslam.php
Entrer dans le champ NRA le code de NRA obtenu précédemment
(3 lettres et 2 chiffres) et valider. Le résultat indique la ville
et le nom complet de ce NRA. Cliquer sur le nom du NRA pour visualiser le
quartier concerné sur la carte de dégroupage de Free.
Ce site permet même d'obtenir la localisation directement à
partir de l'adresse IP (à entrer dans le champ le plus à
droite), ce qui permet de se passer de la première étape
d'obtention du nom DNS.
Même question pour l'adresse suivante : 82.122.136.123
(Orange).
Obtenir le nom DNS au moyen de la première étape ci-dessus
(nslookup). Le nom DNS contient cette fois le nom de la plaque ADSL, donc
de la grande ville la plus proche. Il n'est pas possible d'avoir plus
d'informations sur le quartier concerné (centre ville ou banlieues
avoisinantes).
Les annuaires officiels des adresses IP sont gérés par
les registres régionaux d'adresses IP (AfriNIC, APNIC, ARIN,
LACNIC et RIPE NCC). Leurs bases de données ne sont pas
accessibles intégralement, mais au moyen de l'outil Whois.
Il existe un annuaire non officiel des adresses IP dans le monde :
http://www.ipindex.de/
INDISPONIBLE
ACTUELLEMENT
http://www.flumps.org/ip/
Cliquer sur une classe (A, B ou C), puis sur un bloc d'adresses (premier
octet d'adresse).
Cet annuaire est obtenu à partir des bases de données
officielles, et il est accessible intégralement. Cependant, il
n'est pas toujours maintenu à jour, et il contient des
informations partielles (uniquement plage d'adresses, nom et
identité du réseau).
Inutile ici de visualiser l'espace d'adressage IPv4 sur le site de
IANA... Certaines adresses sont réservées pour des
réseaux privés, et ne doivent pas apparaître sur le
réseau Internet public. Elles sont listées dans le RFC 1918
:
http://www.faqs.org/rfcs/rfc1918.html
La liste est au début du paragraphe 3.
L'espace d'adressage IPv4 sur le site de IANA indique simplement qu'il
s'agit d'une adresse multicast. Celles-ci sont détaillées
sur la page suivante :
http://www.iana.org/assignments/multicast-addresses
De manière simplifiée :
- Les adresses 224.0.0.x sont réservées pour des protocoles de contrôle (par exemple de routage) limités au réseau local.
- Les adresses 224.0.1.x correspondent à des protocoles de contrôle à portée globale.
- Les adresses 224.0.2.0 à 238.255.255.255 sont utilisables pour des applications multicast à portée globale.
- Les adresses 239.x.y.z sont utilisables pour des applications multicast locales à une organisation.
À qui appartiennent les adresses 224.0.18.0 et 224.0.19.0 ?
|
|
|
ALLOCATION DES
ADRESSES IP
Des registres continentaux d'adresses aux FAI, puis aux
internautes...
L'outil Whois du registre d'adresses RIPE NCC permet de trouver
à qui appartient une adresse IP donnée. Inversement, il
permet également d'obtenir l'ensemble des adresses IP
attribuées à un organisme donné de la zone
gérée par RIPE (requête inverse).
Il faut dans un premier temps connaître l'identifiant RIPE du
fournisseur d'accès cherché. Voici les identifiants
d'organisation pour les principaux FAI français (me contacter si
le vôtre n'est pas dans cette liste) :
- Bouygues Telecom : ORG-BT2-RIPE
- Cegetel : ORG-CE1-RIPE (CEGETEL Entreprises)
- Chello : ORG-CBF1-RIPE (Chello Broadband France)
- Claranet : ORG-CF1-RIPE (Claranet France)
- Club Internet : ORG-TFCI1-RIPE (T-Online France - Club Internet)
- Completel : ORG-CSF1-RIPE (COMPLETEL SAS France)
- Easynet France : ORG-EA23-RIPE (EASYNET)
- Free : ORG-PISP1-RIPE (Proxad, Internet Service Provider in France)
- MCI France : ORG-UFW1-RIPE (UUNET France/Internet Way)
- Nerim : ORG-NA20-RIPE (Nerim)
- neuf telecom : ORG-LA7-RIPE (LDCOM)
- Noos : ORG-LC2-RIPE (LYONNAISE COMMUNICATIONS)
- Numericable : ORG-NNS2-RIPE (NC Numericable S.A.)
- Orange : ORG-FT2-RIPE (France Telecom)
- Outremer Télécom : ORG-OT1-RIPE
- RENATER : ORG-RA8-RIPE
- SFR : ORG-VF1-RIPE (Vivendi France ?)
- Tele2 : ORG-TFS1-RIPE (Tele2 France S.A.)
- Tiscali : ORG-TT1-RIPE (TISCALI TELECOM)
Utiliser ensuite l'outil Whois du RIPE accessible sur cette page
:
http://www.ripe.net/whois
Entrer un champ de recherche du type : "-r -i org Identifiant-RIPE", par
exemple pour RENATER : -r -i org
ORG-RA8-RIPE
(-r : "Turn off recursive lookups", -i : "Inverse attributes").
Les résultats de type "inetnum" représentent les adresses
IPv4, et ceux de type "inet6num" les adresses IPv6 (en bas de page, s'il
y en a). Pour chaque plage d'adresses, la première ligne
"changed:" indique à quelle date elle a été
allouée au FAI pour la première fois.
De manière plus synthétique, le RIPE fournit sur son
site FTP la liste des adresses IPv4 et IPv6 allouées aux
différents opérateurs et fournisseurs d'accès de la
zone gérée par le RIPE :
ftp://ftp.ripe.net/pub/stats/ripencc/membership/alloclist.txt
Les FAI sont représentés par un identifiant
précédé du code du pays sur 2 caractères.
Chercher "fr." pour visualiser les FAI français.
Pour chaque opérateur, le fichier indique au moyen d'une ou
plusieurs lignes les allocations d'adresses correspondantes. Chaque ligne
indique la date d'allocation (par exemple "20000831" pour le 31
août 2000), la plage d'adresses IP en notation CIDR (par exemple
"62.106/17" pour la plage d'adresses commençant à
62.106.0.0 et contenant 32 768 adresses) et le type d'allocation (PA :
"Provider Aggregatable", PI : "Provider Independent"). Les adresses IPv6
sont représentées de manière analogue (par exemple
"2001:4080::/32").
Observer le nombre impressionnant d'adresses attribuées à
France Télécom.
Les définitions complètes des types d'allocation sont
ici :
http://www.ripe.net/ripe/docs/ipv4-policies.html#assignment-type
Les tarifs 2005 du RIPE sont ici :
http://www.ripe.net/ripe/docs/billing2005.html#fee2005
(colonne "Annual fee" pour une année pleine)
Ces tarifs dépendent de la catégorie du FAI (Extra
Small, Small, Medium, Large, Extra Large). La catégorie d'un FAI
dépend de la quantité de ressources (adresses IPv4 et IPv6,
numéros de système autonome) qui lui ont été
attribuées, en donnant plus de poids aux allocations
récentes. Voici par exemple les catégories des FAI
français :
http://www.ripe.net/membership/indices/FR.html
|
|
|
ÉCHANGE DE TRAFIC ENTRE FAI ET
BACKBONES
Déterminer qui échange du trafic avec qui...
Une liste de tous les AS existants est proposée par Geoff
Huston de l'APNIC : http://bgp.potaroo.net/cidr/autnums.html
Ces numéros sont utilisés dans la configuration des
routeurs BGP gérant l'échange de trafic entre FAI et
opérateurs de backbones (peering et transit IP).
Les numéros de système autonome sont codés sur 2
octets et donc compris entre 0 et 65 535. Ils sont attribués par
plages aux divers registres continentaux (AfriNIC, APNIC, ARIN, LACNIC,
RIPE NCC) conformément à ce tableau sur le site de l'IANA
:
http://www.iana.org/assignments/as-numbers
Utiliser à nouveau la base du RIPE :
http://www.ripe.net/whois
Entrer l'adresse IP souhaitée.
Observer la route correspondant à cette adresse.
Cliquer sur le numéro d'AS (Autonomous System) correspondant
à la ligne "origin:" dans la description de la route obtenue
précédemment.
Les lignes "import:" (et "export:") indiquent avec quels autres FAI et
opérateurs on échange du trafic.
Visualiser quelques uns d'entre eux en entrant leur numéro d'AS
dans le champ de recherche en haut de la page.
L'outil en ligne "Network Explorer" de la société RobTex
permet d'obtenir en une seule requête la liste des systèmes
autonomes échangeant du trafic avec un FAI ou un opérateur
:
http://www.robtex.com/netexp/
Entrer l'adresse IP souhaitée ou un numéro d'AS, ou bien
encore cliquer sur "your AS" pour obtenir les informations concernant le
système autonome gérant votre propre adresse IP.
L'outil retourne le nom du système autonome, ainsi que le nombre
d'AS avec lesquels celui-ci échange du trafic (import et export),
en précisant le point d'échange Internet au travers duquel
se font les échanges (ix), si cette information est disponible.
Puis un tableau fournit la liste détaillée des
systèmes autonomes en question. On peut alors obtenir d'autres
informations de manière itérative en cliquant sur le
numéro ou le nom d'un de ces AS.
L'outil GASP (Graphical AS Path) du projet Netlantis permet d'obtenir
ces mêmes informations de manière synthétique et
visuelle :
http://www.netlantis.org/index.php?menu=2&page=gasp
INDISPONIBLE
ACTUELLEMENT
Entrer l'adresse IP souhaitée, ou le nom "www.int-edu.eu".
Étonnant, non ?
Dans le même ordre d'idée, l'outil "AS MATRIX" de
Netlantis également donne une autre vision graphique de ces
échanges de trafic :
http://www.netlantis.org/index.html?menu=2&page=sagm
INDISPONIBLE
ACTUELLEMENT
Sélectionner "IP Query", entrer l'adresse "157.159.11.8", puis valider au moyen du
bouton "Generate the graph" en bas de la page.
Étonnant aussi...
