Главная страница
Навигация по странице:

  • Часть 1. Изучение полей заголовков в кадре Ethernet II Часть 2. Захват и анализ кадров Ethernet с помощью программы Wireshark

  • Значение поля LENGTH / TYPE Название протокола

  • Filter

  • Packet Details

  • Packet Bytes

  • 142.250.186.164 MAC-адрес назначения для www.google.com

  • Введите ваш ответ здесь.

    		•

    Лаба по сетям. Топология Задачи


    Скачать 0.61 Mb.
    НазваниеТопология Задачи
    АнкорЛаба по сетям
    Дата10.04.2023
    Размер0.61 Mb.
    Формат файлаdocx
    Имя файлаLab02.1 - Use Wireshark to Examine Ethernet Frames.docx
    ТипСценарий
    #1050899



    Lab02.1 Анализ кадров Ethernet с помощью программы Wireshark

    1. Топология



    1. Задачи


    Часть 1. Изучение полей заголовков в кадре Ethernet II

    Часть 2. Захват и анализ кадров Ethernet с помощью программы Wireshark

    1. Общие сведения и сценарий


    При взаимодействии протоколов верхнего уровня данные проходят уровни модели взаимодействия открытых систем (OSI) и инкапсулируются в блок данных протокола уровня 2 (кадр). Структура кадра зависит от типа доступа к среде передачи данных. Например, если в качестве протоколов верхнего уровня используются TCP и IP, а тип доступа к среде передачи — Ethernet, то к данные инкапсулируются в кадр Ethernet II (IEEE 802.3). Это типично для среды локальных сетей.

    При изучении особенностей информационного взаимодействия на канальном уровне OSI нам будет полезно проанализировать содержание некоторых полей заголовка кадров. В первой части этой лабораторной работы вы сможете посмотреть поля в кадре Ethernet II. Во второй части вам предстоит перехватить и проанализировать поля заголовков кадра Ethernet II для локального и удаленного трафика с помощью программы Wireshark.

    1. Необходимые ресурсы


    • 1 ПК (Windows с выходом в Интернет и программой Wireshark)


    1. Инструкции

      1. Изучение полей заголовков в кадре Ethernet II


    В части 1 вы изучите поля и содержание заголовков в кадре Ethernet II. Для этого будет использован перехват данных программой Wireshark.

    Наиболее популярная на настоящий момент технология построения локальных вычислительных сетей — Ethernet — была разработана специалистами Palo Alto Research Center (PARC) корпорации Xerox в середине 1970 годов. К промышленной реализации спецификация Ethernet была подготовлена членами консорциума DIX (DEC, Intel, Xerox). Эта спецификация была принята за основу при разработке спецификации IEEE 802.3, которая появилась в 1980 году. Вскоре после этого Digital Equipment Corporation, Intel Corporation и Xerox Corporation объединенными усилиями создали собственную спецификацию, которая была совместимой с IEEE 802.3 и получила название Ethernet II.Для передачи данных по сети Ethernet используются блоки данных канального уровня — кадры. Особенность технологии Ethernet заключается в том, что она позволяет реализовать передачу данных по принципу «один — для всех» — «широковещание» (broadcasting). Для идентификации получателя информации в технологиях Ethernet используются 6-ти байтовые MAC–адреса.Формат MAC – адреса обеспечивает возможность использования специфических режимов многоадресной адресации в сети Ethernet и, одновременно, исключить возможность появления в пределах одной локальной сети двух станций которые имели бы одинаковый адрес.

    Физический адрес сети Ethernet состоит из двух частей:

    • Идентификатор производителя оборудования (Vendor codes)

    • Индивидуальный идентификатор устройства

    Байт №6
    Байт №5
    Байт №4
    Байт №3
    Байт №2
    Байт №1

    Идентификатор производителя оборудования
    Индивидуальный идентификатор устройства

    Специальная организация в составе IEEE занимается распределением разрешенных кодировок данного поля по заявкам фирм- производителей сетевого оборудования. Для написания MAC адреса могут быть использованы различные формы. Наиболее часто используется шестнадцатеричная форма, в которой пары байтов отделяются друг от друга символами «-»:

    00-e0-14-00-00-00

        1. Изучите назначение и содержание полей заголовка кадра Ethernet II.


    Преамбула1
    Адрес
    назначения
    Адрес
    источника
    Тип
    кадра
    Данные
    FCS2

    8 байт
    6 байт
    6 байт
    2 байта
    от 46 до 1500 байт
    4 байта

    В поле DESTINATION ADDRESS отправитель размещает МАС-адрес получателя. Адрес назначения может иметь любой из разрешенных типов — Unicast/Broadcast/Multicast.В поле SOURCE ADDRESS отправитель размещает свой собственный MAC-адрес, для того чтобы получатель мог его идентифицировать. Адрес источника может быть только индивидуальным (Unicast).Поле TYPE в зависимости от размещенного в нем значения может быть использовано для указания длины или типа полезной нагрузки данного кадра. Поскольку длина поля полезной нагрузки кадра Ethernet не может быть более 1500 байт, то значения поля TYPE превышающие 1536 (60016) можно использовать для указания типа полезной нагрузки кадра. В табл. 1 приведены значения поля TYPE для некоторых протоколов сетевого и канального уровня.

    Таблица 1. Значения поля TYPE для популярных протоколов

    Значение поля LENGTH/TYPE
    Название протокола
    Документ

    Система счисления

    10
    16

    2048
    0800
    IP v4 (Internet Protocol)
    IEEE 802.3

    2054
    0806
    ARP (Address Resolution Protocol)
     

    33100
    814C
    SNMP (Simple Network Management Protocol)
     

    34525
    86DD
    IP v6 (Internet Protocol)
     

    34827
    880B
    PPP (Point To Point Protocol)
     

    34915
    8863
    PPPoE (PPP over Ethernet Protocol)
     

        1. Изучите кадры Ethernet перехваченные программой Wireshark из прилагаемого файла


          1. Запустите на вашем ПК приложение Wireshark. Если это приложение ещё не установлено воспользуйтесь прилагаемой ссылкой для его установки https://www.wireshark.org/download.html.

    Приложение Wireshark представляет собой анализатор сетевых пакетов. Анализатор сетевых пакетов максимально подробно фиксирует и представляет содержание пакетов, которые отправляются или принимаются на вашем персональном компьютере. Анализатор сетевых пакетов можно рассматривать как измерительное устройство для проверки того, что происходит внутри сетевого кабеля, точно так же, как электрик использует вольтметр для проверки того, что происходит внутри электрического кабеля (но, конечно, на более высоком уровне).В прошлом такие инструменты были либо очень дорогими, либо проприетарными, однако с появлением Wireshark все изменилось. Wireshark доступен бесплатно, имеет открытый исходный код и является одним из лучших анализаторов пакетов, доступных на сегодняшний день.

          1. В окне файл приложения Wireshark выберите имя файла, который прилагался к данной лабораторной работе и откройте его в этом приложении.

    Показанный ниже результат перехвата данных в программе Wireshark отображает пакеты, которые были созданы с помощью команды ping, отправленной с хоста ПК на шлюз по умолчанию. В программе Wireshark был включен фильтр для просмотра только ARP- и ICMP-протоколов. В окне перехваченных кадров показаны 18 кадров EthetrnetII, в которых инкапсулированы блоки данных протокола канального уровня ARP и протокола сетевого уровня ICMP.В окне анализа кадра показаны значения полей выбранного кадра из окна перехваченных кадров



          1. Проанализируйте содержание кадров из прилагаемого файла и ответьте на следующие вопросы:

    • Какой MAC-адрес назначения протокола Ethernet содержит кадр №1? LiteonTe_8b:59:47_______________________________

    • Какой MAC-адрес источника протокола Ethernet содержит кадр №1?

    • Tp-LinkT_f1:d4:a6_______________________________

    • Какой тип полезной нагрузки протокола Ethernet содержит кадр №1? ICMP_______________________________

    • Какой MAC-адрес назначения протокола Ethernet содержит кадр №4? Tp-LinkT_f1:d4:a6_______________________________

    • Какой MAC-адрес источника протокола Ethernet содержит кадр №4? LiteonTe_8b:59:47_______________________________

    • Какой тип полезной нагрузки протокола Ethernet содержит кадр №4? ARP_______________________________

    • Какой IP-адрес назначения протокола IP содержит кадр №4? 192.168.1.1_______________________________

    • Какой IP-адрес источника протокола IP содержит кадр №4? 192.168.1.103_______________________________

    • Заполните приведенную ниже таблицу значениями соответствующих полей заголовков Ethernet II кадра №1.

      Поле
      Значение
      Описание

      Адрес назначения
      Broadcast
      Адреса уровня 2 для кадра. Длина каждого адреса составляет 48 бит или 6 октетов, выраженных 12 шестнадцатеричными цифрами: 0-9,A-F.
      Общий формат ― 12:34:56:78:9A:BC.

      Первые шесть шестнадцатеричных цифр обозначают производителя сетевой платы, а последние — ее серийный номер.

      Адрес назначения может быть адресом широковещательной рассылки (состоящим только из единиц) или одноадресной рассылки. Адрес источника всегда является адресом одноадресной рассылки.

      Адрес источника
      LiteonTe_8b:59:47

      Тип полезной нагрузки кадра
      cc:b0:da:8b:59:47
      В кадрах Ethernet II это поле содержит шестнадцатеричное значение, которое используется для указания типа протокола верхнего уровня, который размещается в поле данных кадра. Ethernet II поддерживает множество протоколов верхнего уровня.

      Данные
      ARP
      Содержит инкапсулированный блок данных протокола верхнего уровня. Размер поля данных изменяется в диапазоне от 46 до 1500 байт.

    • адреса какого типа (Unicast|Multicast|Broadcast) могут находиться в поле адреса назначения кадра Ethernet?

    Broadcast

    • Какой код имеет идентификатор производителя (OUI) сетевой платы у МАС-адреса источника?

    Tp-linkT

    • Какой код имеет серийный номер сетевой интерфейсной платы (NIC) у МАС-адреса источника?

          1. Закройте приложение Wireshark.

      1. Перехват и анализ кадров Ethernet с помощью программы Wireshark


    В части 2 вы воспользуетесь программой Wireshark для перехвата локальных и удаленных кадров Ethernet. Затем вы изучите сведения, содержащиеся в полях заголовков кадров.

        1. Изучите текущие настройки вашего ПК.


          1. В командной строке вашего ПК введите следующую команду и проанализируйте результаты ее выполнения по приведенному ниже образцу.

    C:\> ipconfig /all

    Ethernet adapter Ethernet:

    Connection-specific DNS Suffix . :

    Описание . . . . . . . . . . . : Intel(R) 82579LM Gigabit Network Connection

    Физический адрес. . . . . . . . . : F0-1F-AF-50-FD-C8

    DHCP включен. . . . . . . . . . . : Да

    Автонастройка включена . . . . : Да

    Link-local IPv6-адрес. . . . . : fe80::58c5:45f2:7e5e:29c2%11(Preferred)

    IPv4-адрес. . . . . . . . . . . : 10.241.162.135(Основной)

    Маска подсети . . . . . . . . . . . : 255.255.255.0

    Аренда получена. . . . . . . . . . : Пятница, Сентябрь 6, 2019 11:08:36

    Аренда истекает . . . . . . . . . . : Saturday, September 7, 2019 11:08:36 AM

    Шлюз по умолчанию . . . . . . . . . : 10.241.128.1

    DHCP-сервер . . . . . . . . . . . : 192.168.1.1



    В приведенном примере IP-адрес узла ПК — 10.241.162.135, MAC-адрес узла ПК — 30-D1-6B-C5-78-3D,IP-адрес шлюза по умолчанию — 10.241.128.1

          1. Ответьте на приведенные ниже вопросы используя результаты выполнения команды ipconfig /all на вашем компьютере:

    • Какой IP-адрес имеет ваш ПК? 10.241.162.135

    • Какой MAC-адрес имеет ваш ПК? 30-D1-6B-C5-78-3D

    • Какой IP-адрес имеет шлюз по умолчанию вашего ПК? 10.241.128.1


        1. Подключите Wireshark к активному интерфейсу своего ПК и проанализируйте перехваченные программой кадры Ethernet.


          1. Запустите приложение Wireshark на своем ПК и включите перехват кадров на активном интерфейсе по приведенному ниже образцу.(Обратите внимание, что номер и тип активного интерфейса могут меняться в зависимости от способа вашего текущего подключения к сети)



    Закройте окно командной строки.

        1. Начните захват трафика на сетевой интерфейсной плате своего ПК.


          1. Откройте программу Wireshark и начните захват данных.

          2. Понаблюдайте за трафиком в окне списка пакетов.

        2. С помощью фильтров программы Wireshark отобразите на экране только трафик ICMP.


    Чтобы скрыть ненужный трафик, установите соответствующий фильтр Wireshark. Фильтр не блокирует захват ненужных данных, а лишь отбирает то, что нужно показывать на экране. На данный момент разрешено отображение только трафика ICMP.

    В поле Filter (Фильтр) программы Wireshark введите icmp. При правильной настройке фильтра поле должно стать зеленым. Если поле стало зеленым, нажмите кнопку Apply (Применить) (кнопка со стрелкой вправо), чтобы применить фильтр.

          1. Из окна командной строки отправьте эхо-запрос на шлюз ПК по умолчанию.

    Откройте окно командной строки Windows.

    Из окна командной строки отправьте эхо-запрос на шлюз по умолчанию, используя IP-адрес, определенный ранее.

    Закройте окно командной строки Windows.

          1. Остановите захват трафика на сетевой плате.

    Нажмите значок Stop Capture Packets (Остановить захват), чтобы остановить захват трафика.

        1. Изучите первый эхо-запрос в программе Wireshark.


    Главное окно программы Wireshark состоит из трех разделов: панель списка пакетов (вверху), панель Packet Details (Сведения о пакете) (посередине) и панель Packet Bytes (Последовательность байтов пакета) (внизу). Если вы выбрали правильный интерфейс для захвата пакетов ранее, Wireshark должен отобразить информацию ICMP на панели списка пакетов Wireshark.

          1. На панели списка пакетов (верхний раздел) выберите первый указанный кадр. В столбце Info (Информация) появится значение Echo (ping) request (Эхо-запрос с помощью команды ping). Теперь линия должна быть выделена.

          2. Изучите первую строку на панели сведений о пакете в средней части экрана. В этой строке показана длина кадра.

          3. Вторая строка на панели сведений о пакете показывает, что это кадр Ethernet II. Также отображаются MAC-адреса источника и назначения.

    Вопросы:


    • Какой MAC-адрес назначения протокола Ethernet содержит кадр Echo (ping) request?

    C8:4c:75:be:8e:00

    • Какой MAC-адрес источника протокола Ethernet содержит кадр Echo (ping) request? 30:d1:6d:c5:78:3d

          1. Вы можете щелкнуть знак больше (>) в начале второй строки, чтобы получить больше информации о кадре Ethernet II.

    • Какой тип полезной нагрузки протокола Ethernet содержит кадр Echo (ping) request?

    icmp

          1. Последние две строки среднего раздела содержат информацию о поле данных кадра. Обратите внимание на то, что данные содержат IPv4-адреса источника и назначения.

    • Какой IP-адрес назначения протокола IP содержит кадр Echo (ping) request?

    10.241.162.135

    • Какой IP-адрес источника протокола IP содержит кадр Echo (ping) request?

    10.241.128.1

          1. Для того чтобы выделить эту часть кадра (в шестнадцатеричной системе и в кодировке ASCII) на панели Packet Bytes (Последовательность байтов пакета) (нижний раздел), щелкните по любой строке в среднем разделе. Щелкните по строке Internet Control Message Protocol (Протокол ICMP) в среднем разделе и посмотрите, что будет выделено на панели Packet Bytes (Последовательность байтов пакета).

    Вопрос:




          1. Выберите на панели списка пакетов следующий кадр в верхнем разделе и изучите кадр эхо-ответа. Обратите внимание на то, что МАС-адреса источника и назначения поменялись местами, поскольку маршрутизатор, который служит шлюзом по умолчанию, отправил этот кадр в ответ на первый эхо-запрос.

    Вопрос:


    • Какой MAC-адрес назначения протокола Ethernet содержит кадр Echo reply?

    Address: Cisco_be:8e:00 (c8:4c:75:be:8e:00)

    • Какой MAC-адрес источника протокола Ethernet содержит кадр Echo reply?

    Address: LiteonTe_c5:78:3d (30:d1:6b:c5:78:3d)

        1. Захват пакетов для локального узла.


          1. Обменяйтесь с одним из своих соседей по аудитории, который находится в том же сегменте локальной сети и использует тот же адрес шлюза по умолчанию что и ваш РС, значениями IP и MAC адресов.

          2. Нажмите пиктограмму Start Capture (Начать перехват), чтобы начать новый перехват данных в программе Wireshark. Откроется всплывающее окно с предложением сохранить предыдущие перехваченные пакеты в файл перед началом нового перехвата. Нажмите Continue without Saving (Продолжить без сохранения).

    Откройте окно командной строки Windows.

          1. Через окно командной строки отправьте эхо-запрос на РС соседа.

    Закройте окно командной строки Windows.

          1. Остановите захват пакетов.

          2. Изучите новые данные на панели списка пакетов в программе Wireshark.

    Вопросы:


    Определите IP и МАС-адреса источника и назначения в первом кадре эхо-запроса.

    • Какой MAC-адрес назначения протокола Ethernet содержит кадр Echo request? _______________________________

    • Какой MAC-адрес источника протокола Ethernet содержит кадр Echo request? _______________________________

    • Какой IP-адрес назначения протокола IP содержит кадр Echo request?

    _______________________________

    • Какой IP-адрес источника протокола IP содержит кадр Echo request?

    _______________________________

    • Совпадает ли IP-адрес назначения кадра Echo request с IP адресом соседнего РС ?

    _______________________________

    • Совпадает ли MAC-адрес назначения кадра Echo request с MAC адресом соседнего РС ?

    _______________________________

        1. Захват пакетов для удаленных узлов.


          1. Нажмите пиктограмму Start Capture (Начать перехват), чтобы начать новый перехват данных в программе Wireshark. Откроется всплывающее окно с предложением сохранить предыдущие перехваченные пакеты в файл перед началом нового перехвата. Нажмите Continue without Saving (Продолжить без сохранения).

    Откройте окно командной строки Windows.

          1. Через окно командной строки отправьте эхо-запрос на веб-сайт www.cisco.com.

          1. Появится окно с предложением сохранить полученные ранее данные перед началом нового захвата. Сохранять эти данные необязательно. Нажмите Continue without Saving (Продолжить без сохранения).

          2. Активировав захват данных, отправьте эхо-запрос с помощью команды ping на следующие три URL-адреса веб-сайтов с командной строки Windows:

    Откройте окно командной строки Windows.

            1. www.yahoo.com

            2. www.google.com

            3. www.cisco.com

    Примечание. При отправке эхо-запросов с помощью команды ping на указанные URL-адреса обратите внимание на то, что служба доменных имен (DNS) преобразует адрес URL в IP-адрес. Запишите IP-адреса, полученные для каждого URL-адреса.

          1. Остановите захват данных, нажав на значок Stop Capture (Остановить захват).

        1. Изучите и проанализируйте данные, полученные от удаленных узлов.


          1. Просмотрите собранные данные в программе Wireshark и изучите IP- и MAC-адреса трех веб-сайтов, на которые вы отправили ping-запросы. Ниже в оставленном месте укажите IP- и MAC-адреса назначения для всех трех веб-сайтов.

    Вопросы:


    IP-адрес назначения для www.yahoo.com: 87.248.100.215

    MAC-адрес назначения для www.yahoo.com:c8:4c:75:be:8e:00

    IP-адрес назначения для www.cisco.com: 104.109.67.132

    MAC-адрес назначения для www.cisco.com: 94-b8-6d-71-55-0c

    IP-адрес назначения для www.google.com: 142.250.186.164

    MAC-адрес назначения для www.google.com: 94-b8-6d-71-55-0c

          1. Сравните эти адреса с адресами, полученными в шаге 5.

    Почему IP-адрес назначения изменяется, а MAC-адрес назначения остается неизменным?

    _________________________ __________________________________________________

          1. Закройте окно командной строки Windows и подготовьтесь к защите выполненной лабораторной работы.

    Введите ваш ответ здесь.

    1. Вопросы для повторения


    2. 1.Какую цель преследует ограничение размера максимального кадра Ethernet?

    3. _________________________ __________________________________________________

    4. _________________________ __________________________________________________

    2. Адреса какого типа (Unicast|Multicast|Broadcast) могут находиться в поле адреса источника кадра Ethernet?

    1. _________________________ __________________________________________________

    2. _________________________ __________________________________________________



    1

     Не используется в технологиях IEEE 802.3 10/100/1000 Base T

    2

     Не отображается в программе Wireshark

    © 2023 г. УрФУ ИРИТ-РТФ ДИТА РЛК страница из


    написать администратору сайта