СУБД и работа с ней. Анализ кадров Ethernet с помощью программы Wireshark Топология
 Скачать 0.65 Mb.
|
|
Анализ кадров Ethernet с помощью программы Wireshark Топология При взаимодействии протоколов верхнего уровня данные проходят уровни модели взаимодействия открытых систем (OSI) и инкапсулируются в кадре уровня 2. Структура кадра зависит от типа доступа к среде передачи данных. Например, если в качестве протоколов верхнего уровня используются TCP и IP, а тип доступа к среде передачи — Ethernet, то инкапсуляция кадров уровня 2 происходит через Ethernet II. Это типично для среды локальных сетей. При изучении концепций уровня 2 будет полезно проанализировать данные заголовков кадров. В первой части этой практической работы вы сможете посмотреть поля в кадре Ethernet II. Во второй части вам предстоит захватить и проанализировать поля заголовков кадра Ethernet II для локального и удаленного трафика с помощью программы Wireshark. Часть 1: Изучение полей заголовков в кадре Ethernet II В части 1 вы изучите поля и содержание заголовков в кадре Ethernet II. Для этого будет использован захват данных программой Wireshark. Шаг 1: Просмотрите длины и описания полей заголовков Ethernet II. Шаг 2: Изучите конфигурацию сети ПК. Определите IP-адрес ПК и IP-адрес шлюза по умолчанию, согласно примера изображенного на рисунке. IP-адрес узла ПК — 192.168.1.147, IP-адрес шлюза по умолчанию — 192.168.1.1. Шаг 3: Изучите кадры Ethernet в данных, захваченных программой Wireshark. Показанный ниже результат захвата данных в программе Wireshark отображает пакеты, которые были сгенерированы с помощью команды ping, отправленной с узла ПК на шлюз по умолчанию. В программе Wireshark включен фильтр для просмотра только ARP- и ICMP-протоколов. Сеанс начинается с ARP-запроса МАС-адреса маршрутизатора шлюза, за которым следуют четыре эхо-запроса и ответа. Шаг 4: Изучите содержание заголовков Ethernet II в ARP-запросе. В приведенной ниже таблице выбран первый кадр из данных, захваченных программой Wireshark, и отображаются данные в полях заголовков Ethernet II. Дайте ответы на следующие вопросы: 1. Какова особенность содержания поля адреса назначения? 2. Почему перед первым эхо-запросом ПК отправляет широковещательную рассылку ARP? 3. Назовите MAC-адрес источника в первом кадре. (подтвердить скриншотом) 4. Назовите идентификатор поставщика (OUI) сетевой интерфейсной платы (NIC) источника. (подтвердить скриншотом). 5. Какая часть МАС-адреса соответствует OUI? 6. Назовите серийный номер сетевой интерфейсной платы (NIC) источника. (подтвердить скриншотом). Часть 2: Захват и анализ кадров Ethernet с помощью программы Wireshark В части 2 вы воспользуетесь программой Wireshark для захвата локальных и удаленных кадров Ethernet. Затем вы изучите сведения, содержащиеся в полях заголовков кадров. Шаг 1: Определите IP-адрес шлюза по умолчанию на своем ПК. Откройте окно командной строки и введите ipconfig . 1. Запишите в отчет IP-адрес шлюза ПК по умолчанию. (подтвердить скриншотом). Шаг 2: Начните захват трафика на сетевой интерфейсной плате своего ПК. a. Закройте программу Wireshark. Не нужно сохранять собранные данные. b. Откройте программу Wireshark и начните захват данных. c. Понаблюдайте за трафиком в окне списка пакетов. Шаг 3: С помощью фильтров программы Wireshark отобразите на экране только трафик ICMP. Чтобы скрыть ненужный трафик, установите соответствующий фильтр Wireshark. Фильтр не блокирует захват ненужных данных, а лишь отбирает то, что нужно показывать на экране. На данный момент разрешено отображение только трафика ICMP. В поле Filter (Фильтр) программы Wireshark введите icmp. При правильной настройке фильтра поле должно стать зеленым. Если поле стало зеленым, нажмите кнопку Apply (Применить) (кнопка со стрелкой вправо), чтобы применить фильтр. Шаг 4: Из окна командной строки отправьте эхо-запрос на шлюз ПК по умолчанию. Из окна командной строки отправьте эхо-запрос на шлюз по умолчанию, используя IP-адрес, записанный в шаге 1. Шаг 5: Остановите захват трафика на сетевой плате. Нажмите значок Stop Capture (Остановить захват), чтобы остановить захват трафика. Шаг 6: Изучите первый эхо-запрос в программе Wireshark. Главное окно программы Wireshark состоит из трех разделов: панель списка пакетов (вверху), панель Packet Details (Сведения о пакете) (посередине) и панель Packet Bytes (Последовательность байтов пакета) (внизу). Если вы правильно выбрали интерфейс для захвата пакетов на шаге 3, программа Wireshark отобразит данные протокола ICMP на панели списка пакетов, как показано в приведенном ниже примере. a. На панели списка пакетов (верхний раздел) выберите первый указанный кадр. В столбце Info (Информация) появится значение Echo (ping) request (Эхо-запрос с помощью команды ping). Строка станет синей. b. Изучите первую строку на панели сведений о пакете в средней части экрана. В этой строке указывается длина кадра (в данном примере — 74 байта). c. Вторая строка на панели сведений о пакете показывает, что это кадр Ethernet II. Также отображаются MAC-адреса источника и назначения. Запишите в отчет MAC-адрес сетевой интерфейсной платы этого ПК. Запишите в отчет MAC-адрес шлюза по умолчанию. d. Чтобы получить больше информации о кадре Ethernet II, нажмите на значок плюса («+») в начале второй строки. Обратите внимание на то, что значок плюса при этом изменится на значок минуса («-»). Запишите в отчет отображающийся тип кадра. e. Последние две строки среднего раздела содержат информацию о поле данных кадра. Обратите внимание на то, что данные содержат IPv4-адреса источника и назначения. Запишите в отчет IP-адрес источника. Запишите в отчет IP-адрес назначения. f. Для того чтобы выделить эту часть кадра (в шестнадцатеричной системе и в кодировке ASCII) на панели Packet Bytes (Последовательность байтов пакета) (нижний раздел), щелкните по любой строке в среднем разделе. Щелкните по строке Internet Control Message Protocol (Протокол ICMP) в среднем разделе и посмотрите, что будет выделено на панели Packet Bytes (Последовательность байтов пакета). Какое слово образуют последние два выделенных октета? g. Нажмите на следующий кадр в верхнем разделе и изучите кадр эхо-ответа. Обратите внимание на то, что МАС-адреса источника и назначения поменялись местами, поскольку маршрутизатор, который служит шлюзом по умолчанию, отправил этот кадр в ответ на первый эхо-запрос. Какое устройство и MAC-адрес отображаются в качестве адреса назначения? Запишите в отчет. Шаг 7: Перезапустите захват пакетов в программе Wireshark. Нажмите значок Start Capture (Начать захват), чтобы начать новый захват данных в программе Wireshark. Откроется всплывающее окно с предложением сохранить предыдущие захваченные пакеты в файл перед началом нового захвата. Нажмите Continue without Saving (Продолжить без сохранения). Шаг 8: Через окно командной строки отправьте эхо-запрос на веб-сайт www.yandex.ru Шаг 9: Остановите захват пакетов. Шаг 10: Изучите новые данные на панели packet list (список пакетов) в программе Wireshark. Запишите в отчет МАС-адреса источника и назначения в первом кадре эхо-запроса. Источник: _________________________________ Назначение: ______________________________ Запишите в отчет IP-адреса источника и назначения в поле данных кадра. Источник: _________________________________ Назначение: ______________________________ Сравните эти адреса с адресами, полученными в шаге 6. Изменился только IP-адрес назначения. Почему IP-адрес назначения изменился, а MAC-адрес назначения остался прежним? Дайте ответ на вопросы: Программа Wireshark не отображает поле преамбулы заголовка кадра. Что содержит преамбула? |