Programy do

monitorowania ruchu w

sieci

Made by: Paweł Motowidło

Wireshark 0.99.6a

Analizator protokołu sieciowego,

umożliwiający dokładne zbadanie ruchu w

obrębie lokalnej infrastruktury sieciowej.

Może być również wykorzystany jako

sniffer, czyli narzędzie umożliwiające

przechwytywanie komunikacji sieciowej, w

tym niezaszyfrowanych rozmów Gadu-

Gadu. W programie wykorzystano

WinPcap.

Program można pobrać ze strony:

http://

www.wireshark.org/

Wireshark Screen

BWMeter 3.3.3

Niezwykle poręczne narzędzie służące do

mierzenia i wyświetlania informacji o

przepustowości łącza. To, co odróżnia go od

innych programów tego typu to szczegółowa

analiza pakietów danych, dzięki czemu można

odseparować ruch w sieci lokalnej od

wymiany danych z Internetem. Dodatkowo

aplikacja umożliwia tworzenie statystyk dla

wszystkich komputerów w sieci lokalnej oraz

pozwala obserwować ilość pobieranych

danych z poszczególnych, wybranych przez

użytkownika serwerów.

BWmeter screen

Co to jets ramka ?

Ramka określa strukturę
przesyłanego pakietu danych.
Określona jest w niej pozycja
nagłówka, bitów danych oraz
wypełnienia pakietu. Rozeznanie
w typach ramek jest ważne przy
monitorowaniu pracy w sieci.

W sieciach Ethernet

funkcjonują 4 typy ramek:

• Ethernet II - oryginalna ramka Ethernetu, przydziela pakietowi unikalny

nagłówek.

• Ethernet 802.3 - typ ramki używany najczęściej w sieciach Novell.

• Ethernet 802.2 - standardowy typ ramki dla sieci Novell 4.x.

• Ethernet SNAP - AppleTalk.

Poszczególne skróty mają następujące znaczenie:

• PR - nagłówek (preambuła) - pole sygnalizujące początek ramki (101010...).

• SFD (Start Frame Delimiter) - znacznik początku ramki (10101011).

• DA (Destination Address) - adres docelowy.

• SA (Source Address) - adres źródłowy.

• LE (Length) - długość segmentu danych w ramce.

• Data transmitowane dane.

• PAD - uzupełnienie pola Data w celu zapewnienia minimalnej długości ramki.

• FCS - suma kontrolna dla pakietu.

Patrząc na ramki
Ethernet II i IEEE
802.3 dochodzimy do
wniosku, że są
bardzo podobne. Jest
to jednak
podobieństwo
pozorne. Ramka
802.3 nie definiuje
podwarstwy Logical
Link Control (LLC),
natomiast ramka
Ethernetu jest
ograniczona tylko do
jednej specyfikacji
warstwy Fizycznej.
Początkowe założenia
Ethernetu dotyczące
firmowanego przez
Xerox PARC
Ethernetu były takie,
że będzie on
przenosił dane
protokołów warstw
wyższych.
Odpowiedzialność za
kontrolę błędów, jak
też określenie
rozmiaru pola
danych, przerzucono
na te właśnie
protokoły.

Struktura

ramek

Ramka IEEE 802.3

Podstawowa ramka IEEE 802.3 jest często nazywana
„surową ramką ethernetową” i w takiej postaci jest
rzadko używana.

Najczęściej w polu danych znajdują się struktury
zdefiniowane standardem 802.2, które potocznie zwane
są: ramką LLC i ramką SNAP.

Charakterystyka

poszczególnych pól w

ramce Ethernet i IEEE

802.3.

Charakterystyka poszczególnych pól w ramce Ethernet i IEEE 802.3.

•

Preambuła jest naprzemiennym ciągiem bitów 1 i 0, informującym o nadchodzącej ramce.

Najczęściej nie jest on włączany do wielkości ramki. Uznawany jest za część procesu

komunikacji. W ramce Ethernet znajduje się dodatkowy bajt odpowiadający polu SOF (Start

of Frame Delimiter) określonemu w race IEEE 802.3.

•

SOF (Start of Frame Delimiter) jest bajtem kończącym preambułę. Bajt ten ma postać:

‘10101011’ i zawsze jest zakończony dwoma bitami ‘1’. W standardzie Ethernet bajt ten nie

występuje, zastąpiony jest kolejnym bajtem preambuły, w którym ostatni bit jest równy ‘0’.

•

Adresy stacji odbiorczej i stacji nadawczej są to liczby 6 bajtowe, będące adresami

sprzętowymi komunikujących się interfejsów sieciowych. Trzy pierwsze bajty adresu są

związane z producentem. Trzy ostatnie są numerem przypisanym przez dostawcę do danego

interfejsu sieciowego.

•

Typ jest polem występującym w Ethernecie i określa protokół wyższej warstwy, który ma

posłużyć do odebrania danych z ramki Ethernetu.

•

Długość – pole występujące w IEEE 802.3; określa w bajtach ilość danych, które nastąpią

po tym polu – nie może być więcej niż 1500. W standardzie Ethernet wartość w tym polu jest

zawsze większa od 1500 (dziesiętnie) i określa numer protokołu warstwy wyższej, który

odbierze dane po zakończeniu obróbki przez standard Ethernet.

•

Dane – jeśli ilość danych jest mniejsza od 46 bajtów, wprowadzane jest tzw. uzupełnienie

PAD (padding) i dane są dopełniane jedynkami, tak, aby ramka nie była mniejsza niż 512

bitów, czyli czas slotu dla 10Mb/s. Dane zawarte w ramce zostaną przesłane do protokołu

wyższej warstwy zdefiniowanego odpowiednio:

–

w polu Danych - dla IEEE 802.3;

–

w polu Typ w przypadku Ethernetu.

•

FCS – Sekwencja Sprawdzania Ramki (ang. Frame Check Sequence), która zawiera 4 bajty

kontrolne (cyclic redundancy check - CRC) wygenerowane przez interfejs nadający i

sprawdzane przez odbierający. Określają one, czy dane nie zostały uszkodzone podczas

transmisji.

•

Jednostka danych LLC (Logical Link Control) nazywa się PDU (Protocol Data Unit). PDU

zawarta jest w pierwszych kilku bajtach pola danych ramki Ethernetowej (schemat 3.4.) i

składa się z:

–

         Pola punktu dostępu do usługi docelowej (DSAP) - identyfikuje przewidywalny punkt dostępu do

usługi LLC urządzenia docelowego.

–

         Pola punktu dostępu do usługi źródłowej (SSAP) - określa punkt dostępu do usługi LLC

urządzenia źródłowego.

–

         Pola kontroli - wskazuje typ przenoszonej ramki.

Ramka LLC umożliwia identyfikację

protokołów warstw wyższych przenoszonych

w ramkach 803.2. Pozwala to zachować

kompatybilność z ramką DIX Ethernetu, która

posiada własne, osobne mechanizmy

identyfikowania protokołów.

Ramka protokołu dostępu do podsieci - SNAP (Sub-

Network Access Protocol) dodaje 5-oktetowe pole

identyfikacji protokołu. Pole to dołączane jest do

ramki za nagłówkiem LLC. Składa się z 3-oktetowego

identyfikatora organizacyjnie unikatowego i 2-

oktetowego identyfikatora protokołu. Pola te

określają, dla których z protokołów warstw wyższych

przeznaczona jest ramka. Podramka SNAP została

stworzona w celu zwiększenia możliwości podramek

LLC w zakresie kompatybilności wstecz, z

poprzednimi wersjami Ethernetu.

Stacja, która wysyła ramkę PAUSE na określony adres

grupowy, oprócz kodu rozkazu PAUSE, wysyła informację

o czasie, przez jaki należy wstrzymać przesyłanie

kolejnych ramek z danymi. Czas ten podany jest w postaci

dwubajtowej liczby. Wartość jej odpowiada czasowi przez

jaki, od momentu odebrania ramki, stacja wysyłająca

dane powinna wstrzymać dalszą transmisję. Czas

mierzony jest w jednostkach zwanych kwantami. Jeden

kwant odpowiada czasowi, jaki potrzebny jest do

przesłania w sieci 512 bitów. Liczba jednostek czasu, o

jaką można odroczyć dalsze przesyłanie ramek, zawiera

się w przedziale od 0 do 65535.

.

 

                                                                                                                                                                                                               

Ramka
PAUSE

Protokoły internetowe

Protokoły internetowe to podzbiór

protokołów komunikacyjnych, mający

zastosowanie w środowisku internetu.

Protokoły internetowe to zbiór ścisłych

reguł i kroków postępowania, które są

automatycznie wykonywane przez

urządzenia w celu nawiązania łączności i

wymiany danych.

Najpopularniejsze

protokoły internetowe:

• HTTP
• HTTPS
• FTP
• SMTP
• POP3
• IMAP
• IRC
• DNS

HTTP

HTTP (ang. Hypertext Transfer Protocol –

protokół przesyłania dokumentów

hipertekstowych) to protokół sieci WWW (ang.

World Wide Web). Obecną definicję HTTP

stanowi RFC 2616. Za pomocą protokołu HTTP

przesyła się żądania udostępnienia dokumentów

WWW i informacje o kliknięciu odnośnika oraz

informacje z formularzy. Zadaniem stron WWW

jest publikowanie informacji - natomiast protokół

HTTP właśnie to umożliwia.

HTTP standardowo korzysta z portu nr 80

HTTPS

HTTPS (ang. HyperText Transfer Protocol Secure) to

szyfrowana wersja protokołu HTTP. Zamiast używać w

komunikacji klient-serwer niezaszyfrowanego tekstu,

szyfruje go za pomocą technologii SSL. Zapobiega to

przechwytywaniu i zmienianiu przesyłanych danych.

HTTPS działa domyślnie na porcie nr 443 w protokole TCP.

Wywołania tego protokołu zaczynają się od https:, a

zwykłego połączenia HTTP od http:. Protokół HTTP jest

warstwę wyżej (na transporcie SSL), najpierw następuje

więc wymiana kluczy SSL, a dopiero później żądanie HTTP.

Powoduje to, że jeden adres IP może serwować tylko jedną

domenę lub też tylko subdomeny danej domeny (zależnie

od certyfikatu).

FTP

FTP (ang. File Transfer Protocol) - protokół typu klient-

serwer, który umożliwia przesyłanie plików z i na serwer

poprzez sieć TCP/IP. Protokół ten jest zdefiniowany przez

IETF w RFC 959

FTP jest protokołem 8-bitowym, dlatego nie wymaga

specjalnego kodowania danych na postać 7-bitową, tak jak

ma to miejsce w przypadku poczty elektronicznej

Jeżeli FTP pracuje w trybie aktywnym, korzysta z portów:

21 dla poleceń (połączenie to jest zestawiane przez

klienta) oraz 20 do przesyłu danych. Połączenie

nawiązywane jest wówczas przez serwer. Jeżeli FTP

pracuje w trybie pasywnym wykorzystuje port 21 do

poleceń i port o numerze > 1024 do transmisji danych,

gdzie obydwa połączenia zestawiane są przez klienta.

SMTP

SMTP (ang. Simple Mail Transfer Protocol) –

protokół komunikacyjny opisujący sposób

przekazywania poczty elektronicznej w Internecie.

SMTP to względnie prosty, tekstowy protokół, w

którym określa się co najmniej jednego odbiorcę

wiadomości (w większości przypadków

weryfikowane jest jego istnienie), a następnie

przekazuje treść wiadomości. Demon SMTP działa

najczęściej na porcie 25.

SMTP nie pozwala na pobieranie wiadomości ze

zdalnego serwera. Do tego celu służą POP3 lub

IMAP.

POP3

Post Office Protocol version 3 (POP3) to protokół internetowy z warstwy

aplikacji pozwalający na odbiór poczty elektronicznej ze zdalnego serwera do

lokalnego komputera poprzez połączenie TCP/IP. Ogromna większość

współczesnych internautów korzysta z POP3 do odbioru poczty

Kiedy użytkownik połączy się z siecią, to korzystając z POP3 może

pobrać czekające na niego listy do lokalnego komputera. Jednak

protokół ten ma wiele ograniczeń:

• połączenie trwa tylko, jeżeli użytkownik pobiera pocztę i nie może pozostać

uśpione,

• do jednej skrzynki może podłączyć się tylko jeden klient równocześnie,

• każdy list musi być pobierany razem z załącznikami i żadnej jego części nie

można w łatwy sposób pominąć - istnieje co prawda komenda top, ale

pozwala ona jedynie określić przesyłaną liczbę linii od początku wiadomości,

• wszystkie odbierane listy trafiają do jednej skrzynki, nie da się utworzyć ich

kilku,

• serwer POP3 nie potrafi sam przeszukiwać czekających w kolejce listów.

Istnieje bardziej zaawansowany protokół IMAP, który pozwala na przeglądanie

czekających listów nie po kolei na podobieństwo plików w katalogach i

posiada niektóre funkcje pominięte w POP3.

IMAP

IMAP (Internet Message Access Protocol) to

internetowy protokół pocztowy zaprojektowany jako

następca POP3.
W przeciwieństwie do POP3, który umożliwia

jedynie pobieranie i kasowanie poczty, IMAP

pozwala na zarządzanie wieloma folderami

pocztowymi oraz pobieranie i operowanie na listach

znajdujących się na zdalnym serwerze.
IMAP pozwala na ściągnięcie nagłówków

wiadomości i wybranie, które z wiadomości chcemy

ściągnąć na komputer lokalny. Pozwala na

wykonywanie wielu operacji, zarządzanie folderami

i wiadomościami.

IRC

IRC (ang. Internet Relay Chat) to jedna ze starszych

usług sieciowych umożliwiająca rozmowę na

tematycznych lub towarzyskich kanałach

komunikacyjnych, jak również prywatną z inną

podłączoną aktualnie osobą.
Usługa ta funkcjonuje w architekturze klient-serwer, tj.

fizycznie składa się z grupy połączonych ze sobą na

stałe serwerów oraz programów-klientów. Programy

klienckie uruchamiane są przez końcowych

użytkowników lokalnie – na ich własnych komputerach,

lub zdalnie, za pośrednictwem usługi SSH lub telnet.

Rozmowy w sieci IRC odbywają się na tzw. kanałach, z

których część funkcjonuje stale. Inne mogą być

uruchamiane przez jednego użytkownika w celu

porozmawiania choćby z jedną inną osobą. Można także

prowadzić prywatną rozmowę z innym użytkownikiem.

DNS

DNS (ang. Domain Name System, system nazw domenowych) to

system serwerów oraz protokół komunikacyjny zapewniający zamianę

adresów znanych użytkownikom Internetu na adresy zrozumiałe dla

urządzeń tworzących sieć komputerową. Dzięki wykorzystaniu DNS

nazwa mnemoniczna, np. pl.wikipedia.org, może zostać zamieniona

na odpowiadający jej adres IP, czyli 145.97.39.155.

Adresy DNS składają się z domen internetowych rozdzielonych

kropkami. Dla przykładu w adresie Wikipedii org oznacza domenę

funkcjonalną organizacji, wikipedia domenę należącą do fundacji

Wikimedia, a pl polską domenę w sieci tej instytucji. W ten sposób

możliwe jest budowanie hierarchii nazw, które porządkują Internet.

DNS to złożony system komputerowy oraz prawny. Zapewnia z jednej

strony rejestrację nazw domen internetowych i ich powiązanie z

numerami IP. Z drugiej strony realizuje bieżącą obsługę komputerów

odnajdujących adresy IP odpowiadające poszczególnym nazwom.