Lab – Analiza ramek Ethernet przy użyciu program Wireshark
Topologia
Cele
Część 1: Analiza pól nagłówka ramki Ethernet II
Część 2: Użycie program Wireshark do rejestracji i analizy ramek
Scenariusz
Kiedy protokoły wyższych warstw komunikują się ze sobą, dane są przesyłane w dół poprzez warstwy modelu
ISO/OSI i kapsułkowane w ramce warstwy 2. Format ramki zależy od rodzaju medium transmisyjnego. W
przypadku, gdy protokołami warstw wyższych są TCP oraz IP i medium transmisyjnym jest Ethernet w
warstwie 2 dane zastaną enkapsulowane w ramce Etheret II.
Pierwsza część laboratorium pozwoli usystematyzować informacje o polach znajdujących się w ramce
Ethernet II. W drugiej części program Wireshark zostanie użyty do analizy pól nagłówka Ethernet II ruchu
zarejestrowanego podczas komunikacji z hostem lokalnym i zdalnym.
Wymagane zasoby
•
1 komputer PC (Windows 7, Vista lub XP z dostępem do Internetu i zainstalowanym programem
Wireshark)
Część 1: Analiza pól nagłówka ramki Ethernet II
W pierwszej części przeanalizujesz zawartość pól ramki Ethernet II. Zawartość przechwycona przez program
Wireshark zostanie użyta do analizy zawartości tych pól.
Krok 1: Zapoznaj się z opisem i rozmiarem pól w nagłówku ramki Ethernet II.
Preambuła
Adres
docelowy
Adres
źródłowy
Typ ramki
Dane
FCS
8 Bajtów
6 Bajtów
6 Bajtów
2 Bajtów
46 – 1500 Bajtów
4
Bajtów
Krok 2: Przenalizuj konfigurację sieciową komputera PC
Ten komputer PC posiada następujący adres IP 10.20.164.22, natomiast brama domyślna ma adres
10.20.164.17.
© 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public.
Tłumaczenie - Michał Kowal, Politechnika Wrocławska, Katedra Telekomunikacji i Teleinformatyki, luty 2014
Strona 1 of 7
Lab – Analiza ramek Ethernet przy użyciu program Wireshark
Krok 3: Analiza ramek Ethernet w programie Wireshark.
Rysunek poniżej prezentuje dane przechwycone przez program Wireshark podczas wydania polecenia ping
na adres bramy domyślnej. Dodatkowo przechwycone dane zostały przefiltrowane w celu wyświetlenia
protokołów ARP oraz ICMP. Sesja rozpoczyna się od zapytania o adres MAC bramy domyślnej, a następnie
wyświetlone są cztery żądania i odpowiedzi ping.
Krok 4: Analiza zawartości nagłówka ramki Ethernet II zapytania ARP
Poniższa tabela przedstawia zawartość pól nagłówka pierwszej zarejestrowanej przez program Wireshark
ramki Ethernet II.
Pole
Wartość
Opis
Preambuła
Nie przedstawiono w
przechwytywaniu
To pole przedstawia bity synchronizujące używane przez
kartę sieciową
.
Adres docelowy
Broadcast
(ff:ff:ff:ff:ff:ff)
Adres warstwy drugiej. Każdy adres ma
© 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public.
Tłumaczenie - Michał Kowal, Politechnika Wrocławska, Katedra Telekomunikacji i Teleinformatyki, luty 2014
Page 2 of 7
Lab – Analiza ramek Ethernet przy użyciu program Wireshark
długość 48 bitów (6 bajtów), przedstawiony jest w postaci 12
cyfr szesnastkowych 0-9, A-F. Powszechnie używany
sposób zapisu to 12:34:56:78:9A:BC
.
Pierwszych sześć cyfr szesnastkowych identyfikuje
producenta karty sieciowej, natomiast ostatnie sześć cyfr
szesnastkowych stanowi numer seryjny karty sieciowej.
Adres docelowy może być rozgłoszeniem. Składa się wtedy
z samych 1 bądź pojedynczy (ang. unicast). Adres źródłowy
jest zawsze adresem typu unicast.
Adres źródłowy
Dell_24:2a:60
(5c:26:0a:24:2a:60)
Typ ramki
0x0806
W przypadku ramek Ethernet II pole to zawiera
szesnastkową wartość oznaczającą protokół warstwy
wyższej, którego nagłówek i dane znajdują się w polu
danych. Jest wiele protokołów, które mogą być przenoszone
przez ramki Ethernet II. Dwa z nich to
Wartość Opis
0x0800 Protokół IPv4
0x0806 Protokół ARP
Dane
ARP
Zawiera enkapsulowane dane protokołu wyższej warstwy.
Długość pola danych zawiera się między 46 a 1500 bajtów
FCS
Nie przedstawiono w
przechwytywaniu.
Sekwencja kontrolna ramki (FCS) jest używana przez kartę
sieciową do wykrywania błędów powstałych podczas
transmisji. Jej wartość jest obliczana przez nadawcę na
podstawie pól zawierających adresy, typ oraz dane.
Odbiorca sprawdza wartość FCS.
Jakie jest znaczenie wystąpienia samych 1 w polu adresu docelowego?
_______________________________________________________________________________________
_______________________________________________________________________________________
Dlaczego komputer przed wysłaniem zapytania ping wysyła rozgłoszeniową ramkę ARP?
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
Jaki jest źródłowy adres MAC w pierwszej ramce? _______________________
Jakie jest ID producenta (OUI) karty sieciowej nadawcy? __________________________
Jaką cześć adresu MAC stanowi OUI?
_______________________________________________________________________________________
Jaki jest adres źródłowy karty sieciowej nadawcy? _________________________________
Część 2: Przechwytywanie i analiza ramek Ethernet przy użyciu programu
Wireshark
W drugiej części użyjesz programu Wireshark do zarejestrowania ramek Ethernet w czasie komunikacji z
komputerem w sieci lokalnej i zdalnej. Następnie przeanalizujesz zawartość pól w nagłówku zarejestrowanej
ramki.
© 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public.
Tłumaczenie - Michał Kowal, Politechnika Wrocławska, Katedra Telekomunikacji i Teleinformatyki, luty 2014
Page 3 of 7
Lab – Analiza ramek Ethernet przy użyciu program Wireshark
Krok 1: Odczytanie adresu IP bramy domyślnej zdefiniowanej na komputerze PC.
Otwórz okno wiersza poleceń i wydaj komendę ipconfig.
Jakie jest adres IP bramy domyślnej? ________________________
Krok 2: Rozpoczęcie rejestracji ruchu na karcie sieciowej.
a. Uruchom program Wireshark.
b. Na pasku narzędziowym Network Analyzer kliknij ikonę Interface List.
c. W oknie Capture Interfaces programu Wireshark wybierz interfejs, dla którego chcesz włączyć
przechwytywanie pakietów i kliknij przycisk Start. Jeśli nie jesteś pewien, który interfejs należy wybrać
kliknij przycisk Details aby uzyskać bardziej szczegółowe informacje dotyczące danego interfejsu.
d. Obserwuj rejestrowany ruch sieciowy pojawiający się w oknie Packet List.
Krok 3: Odfiltrowanie ruchu ICMP.
W programie Wireshark możesz włączyć ukrywanie wyświetlania niechcianego ruchu przy użyciu filtra.
Włączenie filtrowania nie powoduje wyłączenia przechwytywania niechcianego ruchu – filtr odnosi się tylko do
prezentowanych danych.
W polu Filter wpisz icmp. Jeśli wpisana fraza jest poprawna pole zmieni kolor na zielony. Aby włączyć
filtrowanie kliknij Apply.
© 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public.
Tłumaczenie - Michał Kowal, Politechnika Wrocławska, Katedra Telekomunikacji i Teleinformatyki, luty 2014
Page 4 of 7
Lab – Analiza ramek Ethernet przy użyciu program Wireshark
Krok 4: W oknie wiersz poleceń komputera PC wydaj polecenie ping do bramy domyślnej.
W oknie wiersz poleceń wydaj poleceni ping na adres IP bramy domyślnej (adres ten odczytałeś w kroku 1).
Krok 5: Zatrzymaj przechwytywanie ruchu na karcie sieciowej
Kliknij ikonę Stop Capture aby zatrzymać przechwytywanie ruchu.
Krok 6: Analiza pierwszego żądania Echa (ping) w programie Wireshark
Główne okno programu Wireshark ma trzy panele: 1) w górnej sekcji jest wyświetlana lista przechwyconych
PDU (ramek lub pakietów) – wyświetlane jest zbiorcze zestawienie informacji o przechwyconych pakietach. 2)
w środkowej sekcji wyświetlane są szczegóły wskazanych jednostek PDU 3) w dolnej sekcji wyświetlane są
surowe dane z podziałem na warstwy - są one wyświetlane w postaci dziesiętnej i szesnastkowej. Jeśli
wybrałeś prawidłowy interfejs w kroku 3 okno programu Wireshark powinno wyglądać podobnie do tego
prezentowanego poniżej.
e. W panelu Packet List (górna sekcja) kliknij pierwsza ramkę protokołu ICMP. W kolumnie Info powinieneś
zobaczyć tekst Echo (ping) request. Kliknięcie ramki spowoduje jego podświetlenie na niebiesko.
f.
Przeanalizuj pierwszą linię w panelu Packet Details (środkowa sekcja). W pierwszej linii jest wyświetlana
długość ramki, w tym przypadku 74 bajty.
g. W drugiej linii w panelu Packet Details zamieszczona jest informacja, ze jest to ramka Ethernet II.
Dodatkowo są wyświetlane adresy MAC źródłowy i docelowy.
Jaki jest adres MAC karty sieciowej komputera? ________________________
Jaki jest adres MAC bramy domyślnej? ______________________
© 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public.
Tłumaczenie - Michał Kowal, Politechnika Wrocławska, Katedra Telekomunikacji i Teleinformatyki, luty 2014
Page 5 of 7
Lab – Analiza ramek Ethernet przy użyciu program Wireshark
h. Aby uzyskać więcej informacji dotyczących analizowanej ramki Ethernet II kliknij znak plus (+) na
początku drugiej linii. Zauważ, że znak plus zmienił się na minus (-).
Jakiego typu jest wyświetlana ramka? ________________________________
i.
Ostatnie dwie linie w środkowej sekcji zawierają informacje dotyczące pola danych w ramce. Dane te
zawierają między innymi adresy IP źródłowe i docelowe.
Jaki jest źródłowy adres IP? _________________________________
Jaki jest docelowy adres IP? ______________________________
j.
Kliknięci dowolnej linii w środkowej sekcji powoduje podświetlenie odpowiadającej jej części danych ramki
w panelu Packet Bytes (dolna sekcji). Kliknij linię Internet Control Message Protocol w środkowej
sekcji, aby podświetlić odpowiadającą jej część danych w panelu Packet Bytes.
Jaki tekst jest zapisany w dwóch ostatnich, podświetlonych oktetach? ______
k. Kliknij kolejną ramkę w górnym panelu i przeanalizuj ramkę odpowiedzi na żądanie Echo (Echo reply).
Zauważ, że adresy MAC źródłowy i docelowy są zamienione miejscami, ponieważ ramka została wysłana
przez bramę domyślą jako odpowiedź na pierwszy pakiet (Echo request).
Podaj producenta i adres MAC urządzenia, do którego zostały wysłane pakiety:
___________________________________________
Krok 7: Restartowanie przechwytywania pakietów w programie Wireshark.
W celu rozpoczęcia nowego przechwytywania kliknij ikonę Start Capture. Jeśli program Wireshark zapyta,
czy chcesz zapisać poprzednio zarejestrowane pakiety przed rozpoczęciem nowego przechwytywania kliknij
Continue without Saving.
© 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public.
Tłumaczenie - Michał Kowal, Politechnika Wrocławska, Katedra Telekomunikacji i Teleinformatyki, luty 2014
Page 6 of 7
Lab – Analiza ramek Ethernet przy użyciu program Wireshark
Krok 8: W oknie wiersz poleceń wydaj polecenie ping
Krok 9: Zatrzymaj przechwytywanie pakietów.
Krok 10: Dokonaj analizy nowych danych, które pojawiły się w panelu packet list programu
Wireshark.
Jaki jest źródłowy i docelowy adres MAC zawarty w pierwszej ramce żądania echa (ping request)?
Adres źródłowy: _________________________________
Adres docelowy: ______________________________
Jaki jest źródłowy i docelowy adres IP zawarty w polu dany analizowanej ramki?
Adres źródłowy: _________________________________
Adres docelowy: ______________________________
Porównaj te adresy z adresami zapisanymi w kroku 7. Tylko docelowy adres IP został zmieniony. Dlaczego
docelowy adres IP został zmieniony, podczas gdy docelowy adres MAC pozostał ten sam?
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
_______________________________________________________________________________________
Do przemyślenia
Wireshark nie wyświetla pola preambuła nagłówka ramki. Co ono zawiera?
_______________________________________________________________________________________
_______________________________________________________________________________________
© 2013 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public.
Tłumaczenie - Michał Kowal, Politechnika Wrocławska, Katedra Telekomunikacji i Teleinformatyki, luty 2014
Page 7 of 7