Network Protocols
Les protocoles sont le langage commun des machines en réseau. Comprendre comment les données circulent est essentiel pour analyser le trafic et détecter les anomalies.
- Comprendre le rôle des protocoles réseau
- Maîtriser les 7 couches du modèle OSI
- Comparer les modèles OSI et TCP/IP
- Expliquer le processus d'encapsulation
- Identifier les protocoles clés et leurs fonctions
- Distinguer les types d'adresses réseau (MAC, IP, Port)
🌐 5.1 — Pourquoi comprendre les protocoles ?
Quand tu envoies un message, regardes une vidéo ou consultes un site web, des dizaines de protocoles travaillent ensemble en coulisses. Un protocole est un ensemble de règles qui définit comment les données sont formatées, transmises et reçues sur un réseau.
Les protocoles sont comme les règles de la route. Pour que la circulation fonctionne, tout le monde doit respecter les mêmes règles : rouler à droite, s'arrêter au feu rouge, céder le passage... Sans ces règles, ce serait le chaos. C'est exactement pareil sur un réseau : sans protocoles, les machines ne pourraient pas communiquer.
Un protocole définit :
- Le format des messages — comment les données sont structurées
- L'encodage — comment les données sont converties pour la transmission
- La taille des messages — la quantité maximale de données par envoi
- Le timing — quand et à quelle vitesse envoyer
- Les options de livraison — unicast, multicast ou broadcast
📚 5.2 — Le modèle OSI (Open Systems Interconnection)
Le modèle OSI est un modèle de référence créé par l'ISO en 1984. Il divise les communications réseau en 7 couches, chacune avec un rôle précis. Clique sur chaque couche pour découvrir son rôle :
Rôle : Interface entre l'utilisateur et le réseau. Fournit les services réseau aux applications.
PDU : Data (Données)
Protocoles : HTTP, HTTPS, FTP, SMTP, DNS, DHCP, SSH, Telnet
Analogie : C'est la vitrine du magasin — ce que le client voit et avec quoi il interagit.
Rôle : Formatage, chiffrement et compression des données. Traduction entre formats.
PDU : Data (Données)
Exemples : SSL/TLS (chiffrement), JPEG, GIF, ASCII, Unicode
Analogie : C'est le traducteur — il s'assure que les deux parties parlent la même langue.
Rôle : Ouvre, gère et ferme les sessions de communication entre applications.
PDU : Data (Données)
Exemples : NetBIOS, RPC, PPTP
Analogie : C'est le maître de cérémonie — il ouvre la réunion, donne la parole et la clôture.
Rôle : Livraison fiable (TCP) ou rapide (UDP) des données de bout en bout. Segmentation et réassemblage.
PDU : Segment (TCP) / Datagram (UDP)
Protocoles : TCP (fiable, connexion), UDP (rapide, sans connexion)
Analogie : TCP = courrier recommandé (accusé de réception). UDP = carte postale (rapide, sans garantie).
Rôle : Adressage logique (IP) et routage des paquets entre réseaux différents.
PDU : Packet (Paquet)
Protocoles : IP (IPv4, IPv6), ICMP, OSPF, BGP
Analogie : C'est le GPS — il détermine le meilleur chemin pour acheminer le colis à destination.
Rôle : Transfert fiable des données sur un lien physique. Adressage physique (MAC), détection d'erreurs.
PDU : Frame (Trame)
Protocoles : Ethernet, Wi-Fi (802.11), ARP, PPP
Analogie : C'est le facteur local — il connaît chaque maison de son quartier et livre de porte à porte.
Rôle : Transmission des bits bruts sur le support physique (câble, fibre, ondes radio).
PDU : Bits
Exemples : Câble Ethernet (RJ-45), fibre optique, Wi-Fi (signal radio), Hub, Repeater
Analogie : C'est la route elle-même — l'asphalte, les rails, le tuyau dans lequel les données circulent physiquement.
De la couche 7 à la couche 1 : All People Seem To Need Data Processing
De la couche 1 à la couche 7 : Please Do Not Throw Sausage Pizza Away
🔄 5.3 — Le modèle TCP/IP
Le modèle TCP/IP est le modèle pratique utilisé sur Internet. Contrairement au modèle OSI (théorique et conceptuel), TCP/IP est le modèle réellement implémenté dans les systèmes d'exploitation et les équipements réseau.
OSI est le plan d'architecte (théorique, détaillé en 7 étapes). TCP/IP est la maison construite (pratique, simplifiée en 4 étapes). Les deux décrivent la même chose, mais TCP/IP est ce qu'on utilise au quotidien.
Comparaison OSI vs TCP/IP
| N° | Modele OSI (7 couches) | Modele TCP/IP (4 couches) | PDU | Exemples de protocoles | Equipements |
|---|---|---|---|---|---|
| 7 | Application | Application | Data | HTTP, HTTPS, DNS, DHCP, FTP, SSH, SMTP, POP3, IMAP, Telnet, SNMP, Syslog, TFTP, RDP | Proxy, Firewall L7, IDS/IPS |
| 6 | Presentation | ||||
| 5 | Session | ||||
| 4 | Transport | Transport | Segment (TCP) Datagram (UDP) | TCP, UDP | Firewall L4 |
| 3 | Network | Internet | Packet | IPv4, IPv6, ICMP, OSPF, BGP, ARP | Routeur, Firewall L3 |
| 2 | Data Link | Network Access | Frame | Ethernet (802.3), Wi-Fi (802.11), PPP, ARP | Switch, Bridge, Point d'acces Wi-Fi |
| 1 | Physical | Bits | Cables (RJ-45, fibre), signaux radio | Hub, Repeater, Modem |
| Critere | Modele OSI | Modele TCP/IP |
|---|---|---|
| Nombre de couches | 7 | 4 |
| Nature | Theorique / Reference pedagogique | Pratique / Implemente dans les OS |
| Developpement | ISO, 1984 | DoD / DARPA, annees 1970 (avant OSI) |
| Couches Application | 3 couches separees (5, 6, 7) | 1 seule couche Application |
| Couches basses | 2 couches separees (1, 2) | 1 seule couche Network Access |
| Usage principal | Enseignement, troubleshooting | Implementation reelle d'Internet |
📦 5.4 — L'encapsulation
L'encapsulation est le processus par lequel chaque couche ajoute son propre en-tête (header) aux données avant de les passer à la couche inférieure. C'est le principe fondamental de la communication réseau.
Imagine que tu envoies une lettre :
- Tu écris le message (les données)
- Tu le mets dans une enveloppe avec l'adresse du destinataire (le segment)
- Le bureau de poste ajoute un code postal et une étiquette de routage (le packet)
- Le facteur le place dans son sac de livraison avec un numéro de tournée (la frame)
- Le sac part en camion sur la route (les bits sur le câble)
Les données brutes de l'application sont préparées. C'est le contenu du message avant tout traitement réseau.
Encapsulation : Les donnees descendent de la couche 7 a la couche 1 (ajout d'en-tetes). Se passe cote emetteur.
Desencapsulation : A la reception, les donnees remontent de la couche 1 a la couche 7 (retrait des en-tetes). Se passe cote recepteur.
Recapitulatif des PDU par couche
Le nom de l'unite de donnees change a chaque couche. C'est un point tres important pour l'examen :
| Couche OSI | Nom de la PDU | Ce qui est ajoute | Information cle dans le header |
|---|---|---|---|
| Layer 7, 6, 5 (Application, Presentation, Session) | Data (Donnees) | Donnees de l'application | Protocole applicatif (HTTP, DNS...) |
| Layer 4 (Transport) | Segment (TCP) / Datagram (UDP) | En-tete Transport | Port source, Port destination, Numero de sequence (TCP), Flags |
| Layer 3 (Network) | Packet (Paquet) | En-tete IP | Adresse IP source, Adresse IP destination, TTL, Protocole |
| Layer 2 (Data Link) | Frame (Trame) | En-tete + Trailer (FCS) | Adresse MAC source, Adresse MAC destination, EtherType, FCS |
| Layer 1 (Physical) | Bits | Conversion en signaux | Signaux electriques, optiques ou radio |
Donnees → Segment → Paquet → Frame → Bits
Do Some People Fear Birthdays ? (De la couche 7 a la couche 1)
🔑 5.5 — Protocoles clés par couche
Voici les protocoles les plus importants que tu rencontreras en CyberOps. Chaque protocole opère à une couche spécifique et a un rôle bien défini.
Couche Application (Layer 7)
| Protocole | Port | Transport | Description |
|---|---|---|---|
| FTP Data | 20 | TCP | File Transfer Protocol — canal de donnees |
| FTP Control | 21 | TCP | File Transfer Protocol — canal de commandes |
| SSH | 22 | TCP | Secure Shell — acces distant chiffre en ligne de commande |
| Telnet | 23 | TCP | Acces distant en texte clair (non securise, remplace par SSH) |
| SMTP | 25 | TCP | Simple Mail Transfer Protocol — envoi d'emails |
| DNS | 53 | TCP/UDP | Domain Name System — resolution de noms de domaine |
| DHCP | 67 (serveur) / 68 (client) | UDP | Dynamic Host Configuration Protocol — attribution d'IP |
| TFTP | 69 | UDP | Trivial FTP — transfert de fichiers simple, sans authentification |
| HTTP | 80 | TCP | HyperText Transfer Protocol — web non chiffre |
| POP3 | 110 | TCP | Post Office Protocol v3 — reception d'emails (telecharge et supprime) |
| IMAP | 143 | TCP | Internet Message Access Protocol — reception d'emails (synchronise) |
| SNMP | 161 (agent) / 162 (trap) | UDP | Simple Network Management Protocol — supervision reseau |
| HTTPS | 443 | TCP | HTTP Secure — web chiffre via TLS/SSL |
| Syslog | 514 | UDP | Centralisation des logs reseau |
| IMAPS | 993 | TCP | IMAP over TLS/SSL — reception d'emails chiffree |
| POP3S | 995 | TCP | POP3 over TLS/SSL — reception d'emails chiffree |
| RDP | 3389 | TCP/UDP | Remote Desktop Protocol — bureau a distance Windows |
FTP utilise 2 ports : 21 (commandes) et 20 (donnees). DNS utilise UDP pour les requetes simples et TCP pour les transferts de zone. DHCP utilise UDP car le client n'a pas encore d'adresse IP.
Couche Transport (Layer 4) — Connection-oriented vs Connectionless
| Caracteristique | TCP (Connection-oriented) | UDP (Connectionless) |
|---|---|---|
| Connexion | Oriente connexion (3-way handshake) | Sans connexion |
| Fiabilite | Fiable — accuse de reception (ACK) | Aucune garantie de livraison |
| Ordre | Les segments sont reordonnes (numero de sequence) | Pas de reordonnancement |
| Controle de flux | Oui (window size) | Non |
| Controle de congestion | Oui | Non |
| Vitesse | Plus lent (overhead du controle) | Plus rapide (moins de overhead) |
| Taille header | 20-60 octets | 8 octets |
| PDU | Segment | Datagram |
| Protocoles | HTTP, HTTPS, FTP, SSH, SMTP, POP3, IMAP, Telnet | DNS, DHCP, TFTP, SNMP, Syslog, VoIP, streaming |
TCP 3-Way Handshake (etablissement de connexion)
TCP 4-Way Termination (fermeture de connexion)
TCP = appel telephonique — tu decroches, tu dis "allo", l'autre repond, et vous communiquez avec confirmation. UDP = carte postale — tu ecris et tu envoies, sans savoir si l'autre a recu.
- SYN Flood — l'attaquant envoie des milliers de SYN sans jamais completer le handshake, epuisant les ressources du serveur
- TCP Reset attack — injection de paquets RST pour couper des connexions etablies
- TCP Session Hijacking — un attaquant devine les numeros de sequence pour prendre le controle d'une session
Couche Network (Layer 3)
| Protocole | Description |
|---|---|
| IPv4 | Adressage 32 bits (ex. 192.168.1.1) — protocole de routage le plus utilisé |
| IPv6 | Adressage 128 bits (ex. 2001:db8::1) — successeur d'IPv4, espace d'adresses quasi-illimité |
| ICMP | Internet Control Message Protocol — diagnostics réseau (ping, traceroute) |
| ARP | Address Resolution Protocol — résolution d'adresse IP vers adresse MAC |
Couche Data Link (Layer 2)
| Protocole | Description |
|---|---|
| Ethernet (802.3) | Standard de réseau local câblé — utilise les adresses MAC pour la communication |
| Wi-Fi (802.11) | Standard de réseau local sans fil — utilise les adresses MAC sur les ondes radio |
| PPP | Point-to-Point Protocol — liaison point à point (connexions WAN) |
Tableau complet des ports a connaitre pour l'examen
Tu dois connaitre chaque port, son protocole, et s'il utilise TCP ou UDP. Ce tableau est a memoriser.
| Port | Protocole | Transport | Description | Securise ? |
|---|---|---|---|---|
| 20 | FTP Data | TCP | Transfert de fichiers — canal de donnees | Non |
| 21 | FTP Control | TCP | Transfert de fichiers — canal de commandes | Non |
| 22 | SSH | TCP | Shell securise (acces distant chiffre) | Oui (chiffre) |
| 23 | Telnet | TCP | Acces distant en texte clair | Non (texte clair) |
| 25 | SMTP | TCP | Envoi d'emails | Non |
| 53 | DNS | TCP / UDP | Resolution de noms de domaine | Non (DNSSEC optionnel) |
| 67/68 | DHCP | UDP | Attribution dynamique d'adresses IP | Non |
| 69 | TFTP | UDP | Transfert de fichiers simple, sans authentification | Non |
| 80 | HTTP | TCP | Web non chiffre | Non |
| 110 | POP3 | TCP | Reception d'emails (telecharge et supprime) | Non |
| 143 | IMAP | TCP | Reception d'emails (synchronise avec le serveur) | Non |
| 161/162 | SNMP | UDP | Supervision reseau (161 = requetes, 162 = traps/alertes) | Non (v1/v2c) |
| 443 | HTTPS | TCP | Web chiffre (TLS/SSL) | Oui (chiffre) |
| 514 | Syslog | UDP | Centralisation des logs reseau | Non |
| 993 | IMAPS | TCP | IMAP over TLS/SSL — emails chiffres | Oui (chiffre) |
| 995 | POP3S | TCP | POP3 over TLS/SSL — emails chiffres | Oui (chiffre) |
| 3389 | RDP | TCP/UDP | Remote Desktop Protocol — bureau a distance Windows | Oui (chiffre) |
- Acces distant : SSH (22), Telnet (23), RDP (3389)
- Transfert de fichiers : FTP (20/21), TFTP (69)
- Email : SMTP (25), POP3 (110), IMAP (143), POP3S (995), IMAPS (993)
- Web : HTTP (80), HTTPS (443)
- Infrastructure : DNS (53), DHCP (67/68), SNMP (161/162), Syslog (514)
📍 5.6 — Les adresses reseau et types de communication
Pour que les donnees arrivent a destination, le reseau utilise trois types d'adresses, chacune operant a une couche differente. Elles travaillent ensemble pour acheminer les donnees de l'application source a l'application de destination.
L'analogie postale :
- MAC address = le nom du voisin qui te passe le courrier (adresse locale, change a chaque relais)
- IP address = l'adresse postale sur l'enveloppe (adresse globale, reste identique du depart a l'arrivee)
- Port number = le numero d'appartement (identifie l'application destinataire dans la machine)
Types de communication reseau
Les donnees peuvent etre envoyees de trois manieres differentes, tant au niveau de la couche 2 (MAC) que de la couche 3 (IP) :
| Type | Description | Layer 2 (MAC) | Layer 3 (IPv4) | Analogie |
|---|---|---|---|---|
| Unicast | Un emetteur vers un seul destinataire | Adresse MAC specifiqueAA:BB:CC:DD:EE:FF |
Adresse IP specifique192.168.1.10 |
Envoyer une lettre a une personne |
| Broadcast | Un emetteur vers tous les appareils du reseau | Adresse MAC broadcastFF:FF:FF:FF:FF:FF |
Adresse de broadcast192.168.1.255 ou 255.255.255.255 |
Crier dans un megaphone dans la salle |
| Multicast | Un emetteur vers un groupe specifique de destinataires | Adresse MAC multicast01:00:5E:xx:xx:xx |
Plage multicast224.0.0.0 a 239.255.255.255 |
Envoyer un message a un club specifique |
IPv6 n'a pas de broadcast. Il utilise a la place :
- Unicast — un a un (pareil qu'IPv4)
- Multicast — un a plusieurs (remplace le broadcast)
- Anycast — un au plus proche parmi un groupe (nouveau en IPv6)
L'adresse MAC (Media Access Control) est une adresse physique unique gravée dans la carte réseau (NIC) de chaque appareil.
- Format : 48 bits, écrite en hexadécimal — ex.
AA:BB:CC:DD:EE:FF - Portée : Locale (même réseau / même segment LAN)
- Composée de : OUI (3 premiers octets = fabricant) + Identifiant unique (3 derniers octets)
- Rôle : Identifier de manière unique un appareil sur le réseau local
L'adresse IP (Internet Protocol) est une adresse logique attribuée par configuration (DHCP ou manuel).
| Caractéristique | IPv4 | IPv6 |
|---|---|---|
| Taille | 32 bits | 128 bits |
| Format | Décimal pointé : 192.168.1.1 | Hexadécimal : 2001:db8::1 |
| Nombre d'adresses | ~4,3 milliards | ~340 sextillions |
| Exemple | 10.0.0.1 | fe80::1 |
L'adresse IP est composée de deux parties :
- Network portion — identifie le réseau (comme le code postal)
- Host portion — identifie l'appareil dans le réseau (comme le numéro de rue)
Le numéro de port identifie l'application ou le service spécifique sur une machine.
- Plage : 0 à 65 535
- Well-known ports (0-1023) : réservés aux services standard (HTTP=80, SSH=22, DNS=53...)
- Registered ports (1024-49151) : attribués à des applications spécifiques
- Dynamic/Private ports (49152-65535) : utilisés temporairement par les clients
Un socket est la combinaison d'une adresse IP et d'un port : 192.168.1.10:443
Si l'adresse IP est l'adresse d'un immeuble, le port est le numéro d'appartement. Le courrier arrive à l'immeuble (IP) puis est distribué au bon appartement (port).
🔬 5.7 — Exercice : Classe les protocoles dans les bonnes couches OSI
Fais glisser chaque protocole dans la couche OSI correspondante :
📡 Layer 7 — Application
🚚 Layer 4 — Transport
🗺️ Layer 3 — Network
🏷️ Layer 2 — Data Link
📝 5.8 — Quiz de révision
Points cles du Module 5
- Un protocole est un ensemble de regles qui regit la communication entre appareils sur un reseau
- Le modele OSI comporte 7 couches : Physical, Data Link, Network, Transport, Session, Presentation, Application
- Le modele TCP/IP comporte 4 couches : Network Access, Internet, Transport, Application
- Les PDU par couche : Data (L7-5) → Segment/Datagram (L4) → Packet (L3) → Frame (L2) → Bits (L1)
- L'encapsulation ajoute des en-tetes (emetteur) ; la desencapsulation les retire (recepteur)
- TCP = connection-oriented, fiable, 3-way handshake. UDP = connectionless, rapide, sans garantie
- Types de communication : Unicast (un a un), Broadcast (un a tous), Multicast (un a un groupe)
- Trois types d'adresses : MAC (L2, physique), IP (L3, logique), Port (L4, application)
- 17 ports a memoriser : FTP (20/21), SSH (22), Telnet (23), SMTP (25), DNS (53), DHCP (67/68), TFTP (69), HTTP (80), POP3 (110), IMAP (143), SNMP (161/162), HTTPS (443), Syslog (514), IMAPS (993), POP3S (995), RDP (3389)