© 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public.

Page 1 of 6

Lab 7.2.1.8

– Użycie programu Wireshark do obserwacji

mechanizmu trójstronnego uzgadniania połączenia

Topologia

Cele ćwiczenia

Część 1: Przygotowanie programu Wireshark do przechwytywania pakietów



Wybór właściwej karty sieciowej do przechwytywania pakietów

Część 2: Przechwytywanie, wyszukiwanie i analiza pakietów



Przechwycenie sesji www do www.google.com.



Wyszukanie pakietów należących do sesji



Analiza informacji w pakietach

dotycząca: adresów IP, portów oraz flag TCP

Wprowadzenie

Podczas ćwiczenia, przy użyciu programu Wireshark zostaną zarejestrowane pakiety przesyłane protokołem
HyperText Transfer Protocol (HTTP)

pomiędzy komputerem a serwerem www (np.

www.google.com

). Gdy

aplikacja korz

ystająca z protokołów takich jak HTTP czy File Transfer Protocol (FTP) nawiązuje, po raz pierwszy

po uruchomieniu, połączenie z serwerem wykorzystuje mechanizm potrójnego uzgadniania (three-way
handshaking).

Umożliwia to na zapewnienie niezawodnego połączenia pomiędzy dwoma hostami. Na przykład

gdy użytkownik komputera PC korzysta z przeglądarki WWW do oglądania stron www, inicjowane jest
trójstronne porozumienie w celu nawiązania połączenia i zestawienia sesji z serwerem www. Komputer PC
może mieć wiele jednoczesnych, aktywnych sesji TCP z różnymi serwisami www.

Wymagania sprzętowe

1 PC (Windows 7, Vista, lub XP

z dostępem do wiersza poleceń oraz Internetu, a także zainstalowanym

programem Wireshark.

Część 1 Przygotowanie programu Wireshark do przechwytywania pakietów

W tej

części zostanie uruchomiony program Wireshark oraz wybrana odpowiednia karta sieciowa, która posłuży

do przechwytywania pakietów.

Krok 1 Sprawdzenie

adresów interfejsu sieciowego.

Podczas

ćwiczenia będą potrzebne adresy IP oraz adres fizyczny MAC karty sieciowej (NIC Network Interface

Card).

W tym celu należy:

a.

Otworzyć wiersz poleceń, a w nim wpisać ipconfig /all i potwierdzić klawiszem Enter.

Lab

– Użycie programu Wireshark do obserwacji mechanizmu trójstronnego uzgadniania połączenia

© 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. Tłumaczenie: Piotr Piotrowski PWr 2014

Page 2 of 6

b. Za

pisać adres IP oraz MAC przypisany do karty sieciowej . Będzie to adres, z którego będą

przechwytywane pakiety.

Adres IP komputera: ____________________________________________________________

Adres MAC komputera: __________________________________________________________

Krok 2 Uruchomienie programu Wireshark i wybranie odpowiedniego interfejsu sieciowego.

a. W menu Start

należy znaleźć i uruchomić program Wireshark.

b. Po uruchomieniu programu

wcisnąć przycisk Interface List.

c. W oknie Wireshark: Capture Interfaces

zaznaczyć kartę sieciową sieci LAN.

Lab

– Użycie programu Wireshark do obserwacji mechanizmu trójstronnego uzgadniania połączenia

© 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. Tłumaczenie: Piotr Piotrowski PWr 2014

Page 3 of 6

Uwaga:

Jeśli na liście znajduje się więcej niż jeden interfejs i nie ma pewności, który jest właściwy należy

kliknąć Details następnie wybrać zakładkę 802.3 (Ethernet) i sprawdzić, który z interfejsów ma adres MAC
zgodny z zapisanym w kroku 1b.

Część 2 Przechwytywanie, wyszukiwanie i analiza pakietów

Krok1

Nacisnąć przycisk start aby rozpocząć przechwytywanie pakietów

a.

W oknie przeglądarki internetowej należy przejeść na stronę www.google.com. Zminimalizować okno
przeglądarki i powrócić do programu Wireshark. Zatrzymać przechwytywanie pakietów. Przechwycony ruch
sieciowy powinien być podobny do pokazanego w podpunkcie b) poniżej.

Uwaga:

Jeżeli instruktor poleci wejście na inna stronę www, jej adres należy zapisać poniżej:

____________________________________________________________________________________

b. Okno przechwytywania jest teraz aktywne. N

ależy odnaleźć kolumny Źródło, Przeznaczenie, Protokół

(Source, Destination, Protocol)

Krok 2

Odnaleźć pakiety przesyłane podczas otwierania strony www.

Jeżeli komputer został niedawno uruchomiony i wcześniej nie łączono się z siecią Internet będzie można
za

obserwować cały proces zestawiania połączenia. Przechwycone zostaną pakiety protokołu Address

Resolution Protocol (ARP), Domain Name System (DNS), oraz mechanizm

trójstronnego nawiązania

połączenia. Na zrzucie ekranowym w kroku 1 widoczne są wszystkie pakiety przesyłane w celu nawiązania
połączenia ze storną

www.google.com

.

W tym przypadku komputer miał już wpis w tablicy ARP, dlatego

połączenie rozpoczęło się od zapytania DNS o adres www.gooogle.com

a. Ramka nr. 11 pokazuje zapytanie DNS z komputera do serwera DNS o adres IP strony

www.google.com

.

Komputer musi

znać adres IP strony przed tym jak wyśle pierwszą ramkę do serwera WWW

Jaki jest adres IP serwera DNS, do którego skierowano zapytanie? ____________________

b.

Ramka 12 jest odpowiedzią serwera DNS zawierającą adres IP strony www.google.com.

Lab

– Użycie programu Wireshark do obserwacji mechanizmu trójstronnego uzgadniania połączenia

© 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. Tłumaczenie: Piotr Piotrowski PWr 2014

Page 4 of 6

c.

Należy znaleźć pierwszy pakiet mechanizmu trójstronnego uzgadniania w przykładzie powyżej jest to
ramka 15

Jaki jest adres serwera www.google.com? __________________________________

d.

Jeżeli przechwycono wiele pakietów niezwiązanych z połączeniem TCP, może okazać się konieczne
odfiltrowanie pakietów TCP. W tym celu należy w polu Filter programu Wireshark wpisać tcp i wcisnąć
Enter.

Krok 3 Analiza informacji w pakietach

dotycząca: adresów IP, portów oraz flag TCP

a.

W przykładzie powyżej ramka 15 jest początkiem mechanizmu trójstronnego uzgadniania połączenia
pomiędzy komputerem a serwerem WWW. W oknie głównym programu Wireshark należy zaznaczyć
wybraną ramkę klikając na nią. Powoduje to zdekodowanie ramki i wyświetlenie informacji w okienku
poniżej. Należy zapoznać się z informacjami zawartymi w zdekodowanej ramce.

b.

Należy kliknąć w znak + po lewo od Transmission Control Protocol w oknie szczegółów pakietu, aby
rozwinąć widok dotyczący TCP

c.

Następnie należy rozwinąć element Flags i zaobserwować porty źródła i przeznaczenia pakietu oraz flagi,
które są tam ustawione.

Lab

– Użycie programu Wireshark do obserwacji mechanizmu trójstronnego uzgadniania połączenia

© 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. Tłumaczenie: Piotr Piotrowski PWr 2014

Page 5 of 6

Jaki jest port TCP

źródła? __________________________

Proszę określić jakiego rodzaju jest to port? ________________________

Jaki jest port TCP celu? _______________________

Proszę określić jakiego rodzaju jest to port? _____________________

Jakie flagi są ustawione? ________________________

Jakie jest względny numer sekwencyjny ? ____________________

d.

Aby przejść do następnej ramki należy wybrać menu głównym Go, a następnie Next Packet In
Conversation.

W przykładzie powyżej jest to ramka 16. Jest to odpowiedz serwera WWW na żądanie

rozpoczęcia połączenia.

Jakie są numery portów źródła i przeznaczenia? ______________________________________

Lab

– Użycie programu Wireshark do obserwacji mechanizmu trójstronnego uzgadniania połączenia

© 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public. Tłumaczenie: Piotr Piotrowski PWr 2014

Page 6 of 6

J

akie flagi są ustawione?

___________________________________________________________________

Jakie są względne numery sekwencyjny i potwierdzenia?

____________________________________________________________________________________

e. Na koniec n

ależy przeanalizować trzeci pakiet mechanizmu trójstronnego potwierdzania. W przykładzie

powyżej jest to ramka 17, której szczegóły wyglądają następująco:

J

akie flagi są ustawione?? _____________________________________________________________

Za

równo względny adres sekwencyjny jak i potwierdzenia są ustawione na 1. Połączenie TCP zostało

ustanowione i komunikacja pomiędzy komputerem a serwerem WWW może się rozpocząć.

f.

Proszę zamknąć program Wireshark.

Do przemyślenia

1. W programie Wireshark

są dostępne setki filtrów. W przypadku rozległej sieci możliwe, że zarejestrowane

zostanie wiele

różnych rodzajów ruchu. Jakie trzy filtry mogą być najbardziej przydatne dla administratora.

_______________________________________________________________________________________

2.

Do jakich celów można jeszcze użyć programu Wireshark?
_______________________________________________________________________________________