captures est le dossier avec les captures wireshark keys sont les clés des captures LINFO1115-synthese.pdf est le fichier test pour upload/download
dns
tcp.flags.syn==1 && tcp.flags.ack==0
pour client hellotcp.flags.syn==1 && tcp.flags.ack==1
pour server hellotls
- Premier packet avec shawdow: 218
- Packet auth: 779
- Premier packet shadow drive: 1412
- Packet drive download: 7312
- Packet certificats : 1434
- Upload start: 1875
- Upload end: 7032
- Download start: 7352
- Download end: 10021
- IP : 46.105.132.156
-
drive.shadow.tech
-
Standard query 0xbc80 A drive.shadow.tech OPT -> Standard query response 0xbc80 A drive.shadow.tech A 46.105.132.157 A 46.105.132.156 OPT
-
Standard query 0x3b8d AAAA drive.shadow.tech OPT -> Standard query response 0x3b8d AAAA drive.shadow.tech SOA candy.ns.cloudflare.com OPT
Quels sont les serveurs autoritatifs pour ces noms de domaines ? Sont-ils gérés par des entreprises différentes ?
- candy.ns.cloudflare.com
À quelles entreprises appartiennent les noms de domaines résolus ? Il y en a-t-il d’autres que celle qui détient l’application ?
- Cloudflare
- Toutes les deux récursives
Lorsqu’une requête DNS souhaite obtenir une adresse IP, quelle est sa famille ? Il y a-t-il une version IP préférée par l’application ?
- 2 requêtes sont envoyées, une pour ipv4 et une pour ipv6, mais seul la ipv4 reçoit une réponse, donc la communication se fait dessus
Sur l'App:
- Pour les requêtes AAAA, le TTL est de 1030s (17 minutes 10 secondes)
- Pour les requêtes A, le TTL est de 30s
Sur le site:
- Pour les requêtes AAAA, le TTL est de 173
- Pour les requêtes A, le TTL est de 54 ou même 42 (<1 minute)
- À part pour les requêtes DNS, tous les protocoles de transport sont du TCP
-
shadow drive est un sous-domaine de shadow.tech, mais shadow.tech redirige vers une IPv6: 2606:4700:10::6816:1e7e alors que shadow drive redirige vers une IPv4: 46.105.132.156
-
2606:4700:10::6816:1e7e est un serveur Cloudflare, alors qu'un whois sur 46.105.132.156 donne: "RIPE Network Coordination Centre"
Si vous observez du trafic QUIC, quels sont les versions utilisées ? Pouvez-vous identifier des extensions négociées dans le handshake ?
- Aucun trafic QUIC
Lorsque vous observez du trafic UDP, identifiez-vous d’autres protocoles que QUIC et DNS ? Expliquez comment ils sont utilisés par l’application.
- Non
Quelles versions de TLS sont utilisées ? Précisez les protocoles de transport sécurisés par ces versions.
- TLSv1.3
4 Certificats:
- 12 ans (utcTime: 2018-11-02 00:00:00 (UTC) -> utcTime: 2030-12-31 23:59:59 (UTC)): "(id-at-commonName=USERTrust RSA Certification Authority,id-at-organizationName=The USERTRUST Network,id-at-localityName=Jersey City id-at-stateOrProvinceName=New Jersey,id-at-countryName=US)"
- 10 ans (utcTime: 2019-03-12 00:00:00 (UTC) -> utcTime: 2028-12-31 23:59:59 (UTC)): "(id-at-commonName=AAA Certificate Services,id-at-organizationName=Comodo CA Limited,id-at-localityName=Salford,id-at-stateOrProvinceName=Greater Manchester,id-at-countryName=GB)"
- 24 ans (utcTime: 2004-01-01 00:00:00 (UTC) -> utcTime: 2028-12-31 23:59:59 (UTC)): "(id-at-commonName=AAA Certificate Services,id-at-organizationName=Comodo CA Limited,id-at-localityName=Salford,id-at-stateOrProvinceName=Greater Manchester,id-at-countryName=GB)"
- 1 an (utcTime: 2023-10-30 00:00:00 (UTC) -> utcTime: 2024-10-29 23:59:59 (UTC)): "(id-at-commonName=Sectigo RSA Extended Validation Secure Server CA,id-at-organizationName=Sectigo Limited,id-at-localityName=Salford,id-at-stateOrProvinceName=Greater Manchester,id-at-countryName=GB)"
Lorsque vous pouvez observer l’établissement du chiffrement, quels sont les algorithmes de chiffrement utilisés ?
- rsa_pss_rsae_sha256 pour les certificats
- Cipher suite: TLS_AES_128_GCM_SHA256 pour le chiffrement TLS sur le site
- Cipher suite: TLS_AES_256_GCM_SHA384 pour le chiffrement TLS sur l'app
Quels comportements observer-vous lors du transfert de nouveaux fichiers comparé à la modification de fichiers existant ? Quel impact a la modification par plusieurs utilisateurs par rapport à un seul ?
Quel est le volume de données échangées par l’application pour chacune de ces fonctionnalités ? Utilisez une base appropriée permettant la comparaison (par ex. par minute).
- Upload site wifi : 40.028511 -> 41.148425 = 1.119914s pour 4886979 bytes repartis en 3403 packets avec un payload de 1440 bytes = 4583584.09664 bytes/s
- Download site wifi : 50.785856 -> 51.399411 = 0.613555s pour 4886979 bytes repartis en 1502 packets avec des payloads variant de 1440 à 12960 = 8151719.07979 bytes/s
- Upload app wifi : 0.272820 -> 0.353642 = 0.080822s pour 275703 bytes repartis en 192 packets avec un payload de 1440 bytes = 3582390.93316 bytes/s
- Download app wifi : 13.382106 -> 15.064120 = 1.682014s pour 4886979 bytes repartis en 1208 packets avec des payloads variant de 1440 à 12960 = 2957064.56664 bytes/s
- Upload site 4G : 8.575866 -> 12.253166 = 3.6773s pour 275703 bytes repartis en 204 packets avec un payload de 1348 bytes = 78553.2863786 bytes/s