© 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public.

Page 1 of 6

Lab 7.2.3.5

– Użycie programu Wireshark do analizy pakietów UDP

DNS

Topologia

Cele ćwiczenia

C

zęść 1: Sprawdzenie konfiguracji karty sieciowej

Część 2: Użycie program Wireshark to przechwycenia zapytania i odpowiedzi serwera DNS

Część 3: Analiza przechwyconych pakietów

Wstęp

Niemal zawsze gdy korzystamy

z zasobów sieci Internet, korzystamy z usług serwera Domain Name

System (DNS).

DNS jest siecią serwerów, które zamieniają adresy w postaci słownej jak

www.google.com

na

adres IP przynależny do domeny. Po wpisaniu w oknie przeglądarki adresu strony www, komputer najpierw
wysyła zapytanie do serwera DNS o adres IP żądanej strony. Komunikacja pomiędzy serwerem DNS a
komputer

em użytkownika prowadzona jest z użyciem protokołu User Datagram Protocol (UDP), jako protokołu

warstwy transportowej. UDP

jest protokołem bezpołączeniowym i nie wymaga nawiązywania sesji jak to miało

miejsce w przypadku protokołu TCP. Zapytania i odpowiedzi DNS są na tyle małe i proste, że nie wymagają
narzutu związanego z połączeniem TCP.

W trakcie ćwiczenia nawiązana zostanie komunikacja z serwerem DNS poprzez wysłanie zapytania z użyciem
protokołu UDP. Za pomocą programu Wireshark dokonana zostanie analiza przysłanych danych pomiędzy
komputerem a serwerem.

Wymagania sprzętowe

1 PC (Windows 7, Vista, lub XP

z dostępem do wiersza poleceń oraz Internetu, a także zainstalowanym

programem Wireshark.

C

zęść 1: Sprawdzenie konfiguracji karty sieciowej

W części pierwszej zostanie użyte polecenie ipconfig /all na komputerze lokalnym w celu poznania

adresów IP oraz MAC karty sieciowej, adresu IP bramy domyślnej i ustawionych adresów serwerów DNS.
Zebrane informacje

należy zapisać w tabeli poniżej, będą one potrzebne w dalszych etapach laboratorium

Lab

– Użycie programu Wireshark do analizy pakietów UDP DNS

© 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. Tłumaczenie: Piotr Piotrowski PWr 2014

Page 2 of 6

Adres IP

Adres MAC

Adres IP bramy domyślnej

Adres IP serwera DNS

Część 2: Użycie program Wireshark to przechwycenia zapytania i

odpowiedzi serwera DNS

W części drugiej, za pomocą program Wireshark zostaną przechwycone pakiety przesyłane podczas
zapytania oraz odpowiedzi serwera DNS.

Ma to na celu pokazanie użycia protokołu UDP do komunikacji

serwerem.

a.

Proszę otworzyć menu Start i uruchomić program Wireshark.

b.

Następnie należy wybrać interfejs sieciowy z którego będą przechwytywane pakiety. Należy kliknąć
Interface List i

wybrać kartę sieciową której konfiguracja została zapisana w części 1.

c.

Po wybraniu kart sieciowej należy kliknąć Start aby rozpocząć przechwytywanie.

d. Nast

ępnie należy otworzyć przeglądarkę internetową i przejść na stronę www.google.com.

e.

Po załadowaniu strony www należy zatrzymać przechwytywanie pakietów w programie Wireshark klikając
Stop.

Część 3: Analiza przechwyconych pakietów

W części 3 zostaną przeanalizowane pakiety UDP przechwycone podczas komunikacji z serwerem DNS.

Krok 1 Odfiltrowanie pakietów DNS.

a.

W programie Wireshark w polu filtrów należy wpisać dns, a następnie kliknąć Apply lub nacisnąć klawisz
Enter.

Uwaga: Je

śli po odfiltrowaniu DNS nie pojawiły się na liście żadne pakiety, należy zamknąć przeglądarkę

internetową i w oknie wiersza poleceń wydać komendę ipconfig /flushdns. Spowoduje to usunięcie
wszystkich

wcześniejszych wyników zapytań DNS. Następnie należy ponownie uruchomić

przechwytywanie pakietów w programie Wireshark i powtórzyć kroki od b. do e. z części 2. Jeżeli to również
nie pomoże można z wiersza poleceń wydać komendę nslookup www.google.com zamiast otwierania
strony www z przeglądarki.

Lab

– Użycie programu Wireshark do analizy pakietów UDP DNS

© 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. Tłumaczenie: Piotr Piotrowski PWr 2014

Page 3 of 6

b. Na li

ście pakietów w głównym oknie Wireshark należy odnaleźć pakiet który zawiera informacje “standard

query” i “A www.google.com”. Przykład: ramka 4 powyżej.

Krok2 Analiza datagramu UDP zapytania DNS.

Korzystając z ramek przechwyconych przez program Wireshark, należy przeanalizować zawartość
datagramu UDP z zapytania DNS.

W przykładzie powyżej analizie zostanie poddana ramka nr.4. Protokoły

zawarte w analizowanej ramce są pokazane w środkowym panelu programu.

a.

W panelu szczegółów ramki w pierwszej linii widać, że analizowana ramka ma długość 74 bajtów. Taka
właśnie liczba bajtów została przesłana podczas zapytania do serwera DNS o adres IP serwera
www.google.com

b. W linii Ethernet II

pokazane są adresy MAC źródła i przeznaczenia ramki. Adres MAC źródła jest adresem

komputera, z którego wysłano zapytanie, natomiast adresem przeznaczenia jest adres MAC bramy
domyślnej, ponieważ tam kończy się sieć lokalna. Dalej ramka zostanie skierowana do serwera DNS,
będącego już poza siecią lokalną.

Czy adres MA

C źródła jest taki sam jak zapisany na początku ćwiczenia? _________________

Lab

– Użycie programu Wireshark do analizy pakietów UDP DNS

© 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. Tłumaczenie: Piotr Piotrowski PWr 2014

Page 4 of 6

c. W linii Internet Protocol Version 4

widać, że adresem IP źródła zapytania DNS jest adres 192.168.1.11,

natomiast adresem IP przeznaczenia 192.168.1.1. W

przykładzie powyżej ten adres IP jest adresem

routera, który jest bramą domyślną dla sieci w której przechwytywano pakiety.

Proszę połączyć adresy IP i MAC urządzeń?

U

rządzenie

Adres IP

Adres MAC

Komputer PC

Brama domyślna

Pakiet IP zawiera segment UDP, z kolei w segmencie UDP zawarte jest zapytanie DNS

d.

Nagłówek pakietu UDP zawiera cztery pola: port źródła, port przeznaczenia , długość, sumę kontrolną.
Każde z pól jest 16 bitowe, pola pokazano poniżej:

e. Pr

oszę rozwinąć zawartość pakietu, poprzez kliknięcie znaku + w linii User Datagram Protocol. Proszę

zwrócić uwagę, że są tam tylko cztery pola. W przykładzie powyżej portem źródłowym jest port o numerze
52110.

Numer portu został wybrany losowo przez komputer z puli nie zarezerwowanych adresów. Port

przeznaczenia ma numer 53, jest to standardowy numer portu

na którym serwery DNS oczekują na

zapytania

f.

W

przykładzie długość segment UDP wynosi 40 bajtów, z których 8 jest przeznaczonych na nagłówek.

Pozostałe 32 bajty stanowią dane zapytania DNS

Suma kontrolna służy do weryfikacji poprawności przesłania pakietu.

Lab

– Użycie programu Wireshark do analizy pakietów UDP DNS

© 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. Tłumaczenie: Piotr Piotrowski PWr 2014

Page 5 of 6

N

agłówek UDP ma mały narzut, ponieważ nie zawiera on pól związanych z mechanizmem trójstronnego

uzgadniania, jak ma to miejsce w TCP. J

ednakże aby zapewnić mechanizmy zabezpieczenia poprawności

przesyłania danych należałoby wykorzystać do tego warstwę aplikacji.

Proszę zapisać zawartość zarejestrowanego przez siebie pakietu:

Rozmiar ramki

Adres MAC źródła

Adres MAC przeznaczenia

Adres IP

źródła

Adres IP przeznaczenia

Port źródłowy

Port docelowy

Czy adres IP źródła jest taki sam jak adres komputera zapisany w części 1? _____________

Czy adres IP przeznaczenia jest taki sam jak adres

bramy domyślnej zapisany w części 1?

_____________

Krok 2 Analiza datagramu UDP odpowiedzi DNS.

W tym kroku zostaną przeanalizowane pakiety odpowiedzi serwera DNS oraz zostanie potwierdzone, że
odpowiedz z serwera DNS również wysyłana jest protokołem UDP.

a. W prz

ykładzie poniżej ramka nr. 5 jest odpowiedzią na zapytanie DNS. Ramka ma długość 290 bajtów, jest

więc znacznie dłuższa od ramki zawierającej zapytanie DNS.

b.

Jakie są adresy MAC źródła i przeznaczenia w przypadku odpowiedzi DNS (można je odczytać w kolejnej
linii - Ethernet II)?

c.

Jakie są adresy IP źródła i przeznaczenia?

Adres IP

źródła: _______________________ Adres IP przeznaczenia: ________________________

Jak zmieniły się role źródła i przeznaczenia komputera i bramy domyślnej?

Lab

– Użycie programu Wireshark do analizy pakietów UDP DNS

© 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. Tłumaczenie: Piotr Piotrowski PWr 2014

Page 6 of 6

____________________________________________________________________________________

d.

W segmencie UDP role portów również zostały odwrócone, portem przeznaczenia jest teraz port 52110.
Jest

to ten sam port który został wcześniej wygenerowany przez komputer w celu wysłania zapytania

DNS. To znaczy komputer oczekuje odpowiedzi na tym porcie z serwera DNS.

Portem źródłowym jest port 53. Serwer DNS nasłuchuje na porcie 53 oczekując na zapytanie jak również
wysyła z niego odpowiedzi.

Po

rozwinięciu odpowiedzi z serwera DNS można zobaczyć w sekcji Answers jakie są adresy IP

serwera www.google.com

Do przemyślenia

Jakie

korzyści niesie ze sobą zastosowanie jako protokołu transportowego UDP zamiast TCP w transmisji

protokołem DNS?

_______________________________________________________________________________________