Sieci komputerowe
Ćwiczenia 27.04.-11.05.2013
Ćwiczenia 27.04.-11.05.2013
lato 2013r. Sieci komputerowe dr 1
in\. Antoni Masiukiewicz
Zakres Ćwiczeń
" Narzędzia diagnostyczne do testowania połączeń i usuwania
problemów związanych z protokołem TCP/IP w systemie Microsoft
Windows.
" Badanie pakietów warstwy fizycznej i sieciowej.
Oprogramowanie do monitorowania ruchu w sieci WhireShark zasady
działania programu. Nasłuch pakietów warstwy fizycznej, stosowanie
filtrów wyświetlania.
filtrów wyświetlania.
Nasłuch pakietów warstwy sieciowej ARP, IP, ICMP, omówienie budowy
pakietów protokołów sieciowych.
lato 2013r. Sieci komputerowe dr 2
in\. Antoni Masiukiewicz
Spis treści
1. ICMP
2. IPConfig
3. Protokół ARP
4. ARP- wiersz poleceń
5. Wykorzystanie ARP w sieci LAN
6. Wykorzystanie ARP w sieci rozległej
7. ARP a bezpieczeństwo w sieci
8. Wykorzystanie Whire Shark do przechwytywania i analizy protokołu ARP
9. Zapobieganie atakom ARP w sieci
10. Obliczanie sumy kontrolnej nagłówka protokołu IP
lato 2013r. Sieci komputerowe dr 3
in\. Antoni Masiukiewicz
1.ICMP
ICMP (Internet Control Message Protocol, internetowy protokół komunikatów
kontrolnych) opisany w RFC 792 protokół warstwy sieciowej OSI/TCP/IP
wykorzystywany w diagnostyce sieci oraz trasowaniu. Pełni przede
wszystkim funkcjÄ™ kontroli transmisji w sieci.
Jest wykorzystywany w programach ping oraz traceroute/tracert.
Komunikat ICMP (protokół) jest umieszczany (enkapsulowany) wewnątrz
Komunikat ICMP (protokół) jest umieszczany (enkapsulowany) wewnątrz
protokołu IP. MTU IP- 65535 bajtów (oktetów).
Nagłówek protokołu IP
Komunikatt ICMP
20 bajtówIP
P
Pakiet (datagram ) zawierajÄ…cy komunikat ICMP.
lato 2013r. Sieci komputerowe dr 4
in\. Antoni Masiukiewicz
1.ICMP
Nagłowek
Dane ICMP
ICMP
Nagłówek IP Dane IP
Nagłówek Eth. Dane Ethernet
lato 2013r. Sieci komputerowe dr 5
in\. Antoni Masiukiewicz
1.ICMP
Pakiet ICMP ECHO- \Ä…danie
TYP (8)
KOD (0)
Nagłówek ICMP
Nagłówek ICMP
Suma kontrolna
Suma kontrolna
Identyfikator
Numer sekwencji
Dane-opcja
lato 2013r. Sieci komputerowe dr 6
in\. Antoni Masiukiewicz
1.ICMP
Przykład analizy protokołu ICMP
Podstawowe (pierwsze) okno analizatora
lato 2013r. Sieci komputerowe dr 7
in\. Antoni Masiukiewicz
1.ICMP
Pakiet Rodzaj
Adres IP
Adres IP
Typ
Typ
numer 1 informacji
numer 1 informacji
nadawcy
nadawcy
odbiorcy
protokołu
Zapytanie/
odpowiedz
lato 2013r. Sieci komputerowe dr 8
in\. Antoni Masiukiewicz
1.ICMP
Trzecie okno analizatora Drugie okno analizatora
Kod zawarty w ramce Ethernet Zawartość ramki Ethernet-
protokoły
lato 2013r. Sieci komputerowe dr 9
in\. Antoni Masiukiewicz
1.ICMP
Rozwiniecie Ramki 1 (Frame 1)
Data i godzina przechwycenia ramki
Czas od przechwycenia poprzedniej ramki
Czas od przechwycenia pierwszej ramki
Numer ramki
Długość pakietu (bajty)
Ilość przechwyconych bajtów
Typy protokołów umieszczonych w ramce (enkapsulacja)
lato 2013r. Sieci komputerowe dr 10
in\. Antoni Masiukiewicz
1.ICMP
Zawartość ramki Ethernet II
Adres MAC docelowy
Adres MAC zródłowy
Rodzaj protokołu zawartego w ramce
lato 2013r. Sieci komputerowe dr 11
in\. Antoni Masiukiewicz
1.ICMP
Zawartość datagramu IP
Wersja protokołu
Długość nagłówka
Długość nagłówka
Usługi
Długość datagramu
Identyfikator
Flagi
Przesunięcie fragmentu
Czas \ycia TTL
Protokół
Suma kontrolna
Adres zródłowy
Adres docelowy
lato 2013r. Sieci komputerowe dr 12
in\. Antoni Masiukiewicz
1.ICMP
W pierwszych wersjach protokołu IP jeden z bajtów nagłówka był
przeznaczony do nadawania pakietom priorytetów (znacznik
priorytetu) oraz zawierał pola flag, które pozwalały na ustawianie
wartości: opóznienia, przepustowości i niezawodności. Bajt ten nosił
nazwę : ToS Type of service Rodzaj usług. Znacznik priorytetu o
wartości 0 oznaczał niski priorytet, podczas gdy wartość 7
wartości 0 oznaczał niski priorytet, podczas gdy wartość 7
oznaczała maksymalnie wysoki. Pomimo umieszczenia w
konstrukcji nagłówka protokołu IP formalnych narzędzi do
wspomagania QoS, nie znalazły one zbyt wielkiego praktycznego
zastosowania ze względu na brak odpowiednich implementacji w
rzeczywistej strukturze sieci. Ustawienie parametrów QoS w bajcie
ToS było często ignorowane przez urządzenia lub po prostu nie
przynosiło \adnych widocznych efektów.
lato 2013r. Sieci komputerowe dr 13
in\. Antoni Masiukiewicz
1.ICMP
Opracowano i wprowadzono do nagłówka protokołu IP pole DiffServ
(Differentiated Services- zró\nicowane usługi), które zastąpiło
wcześniej u\ywane pole ToS (dokument RFC 2474).Tym razem
zastosowano odmienne podejście. Zasięg działania polecenia
ograniczono do jednej domeny/ obszaru administrowanego przez
jednego ISP. Zało\eniem było uzyskanie odpowiedniej jakości usług
jednego ISP. Zało\eniem było uzyskanie odpowiedniej jakości usług
na zakończeniu domeny. Rozwiązanie oparte o DiffServ było bardzo
proste i nie powodowało dodatkowego obcią\enia serwerów na
ście\ce transmisji pakietów. W ramach jednej domeny mo\na było
oczekiwać skutecznej administracji, a negocjacja warunków
transmisji miała się odbywać jedynie na granicy danej domeny z
kolejna domenÄ…. W ramach jednej domeny administrator mo\e
zarządzać procesem agregacji pakietów, agregując pakiety o
podobnych wymaganiach dotyczących jakości transmisji.
lato 2013r. Sieci komputerowe dr 14
in\. Antoni Masiukiewicz
Architektura usługi DifferServ
yródło: BRIAN E. CARPENTER AND KATHLEEN NICHOLS, Differentiated Services in the Internet,
PROCEEDINGS OF THE IEEE, VOL. 90, NO. 9, SEPTEMBER 2002
lato 2013r. Sieci komputerowe dr 15
in\. Antoni Masiukiewicz
1.ICMP
Dawne pole ToS w nagłówku IP zostało zastąpione przez
pole DS, nazywane równie\ polem DSCP (DifferServ
CodePoint).
lato 2013r. Sieci komputerowe dr 16
in\. Antoni Masiukiewicz
1.ICMP
Bity DSCP informują router o sposobie, w jaki ma być traktowany
pakiet. Zarezerwowanie 6 bitów do realizacji QoS pozwala
teoretycznie na uzyskanie 64 ró\nych poziomów /sposobów/opisów
traktowania bitów. W praktyce część kodu jest przeznaczona do
celów informacyjnych. Informacja dotycząca QoS mo\e być
zapisana z poziomu aplikacji w momencie generowania pakietu lub
zapisana z poziomu aplikacji w momencie generowania pakietu lub
przez router (pierwszy router odbierajÄ…cy pakiety bÄ…dz router na
granicy domeny u\ytkownika/ISP). Teoretycznie mo\na do
uzgodnień wykorzystać protokoły IntServ i RSVP i je\eli
uzgodnienia zamykają się w obszarze spójnej administracji,
rozwiązanie to mo\e być skuteczne.
lato 2013r. Sieci komputerowe dr 17
in\. Antoni Masiukiewicz
1.ICMP
W ramach prac nad DifferServ zdefiniowano kilka sposobów
traktowania pakietów m.in.:
" DSCP=000 000, pakiety są transmitowane w tradycyjny sposób,
" DSCP przyjmuje wartości od 001 000 do 111 000, określając 7
poziomów klas transmisji,
" DSCP= 101 110, oznacza EF ( expedited forwarding), zapewnienie
" DSCP= 101 110, oznacza EF ( expedited forwarding), zapewnienie
właściwej jakości dla serwisów pracujących w czasie rzeczywistym,
" AF (assured forwarding) ograniczenie mo\liwości odrzucenia
pakietu przez router.
lato 2013r. Sieci komputerowe dr 18
in\. Antoni Masiukiewicz
1.ICMP
IETF zrealizowało tak\e szereg projektów uzupełniających DifferServ
m.in.:
" opracowanie definicji ró\nych rodzajów transmisji,
" opracowanie modelu routera wykorzystujÄ…cego DifferServ,
" metody zarzÄ…dzania informacjami na poziomie routera,
" sposób wykorzystania DifferServ w transmisjach kodowanych i
niekodowanych,
" definicje dla standardu IPv4 i IPv6.
lato 2013r. Sieci komputerowe dr 19
in\. Antoni Masiukiewicz
1.ICMP
Rozwinięcia pól Flagi i Usługi
Rozwinięcia pól Flagi i Usługi
lato 2013r. Sieci komputerowe dr 20
in\. Antoni Masiukiewicz
1.ICMP
Zawartość pakietu ICMP
Typ operacji
Typ operacji
Kod
Suma kontrolna
Identyfikator
Numer sekwencji
Ilość danych
lato 2013r. Sieci komputerowe dr 21
in\. Antoni Masiukiewicz
1.ICMP
ICMP Smurf to najpopularniejsza forma ataku DDoS (Distributed Denial of
Service ), cechująca się du\ą skutecznością. Najczęściej wykorzystywanym
typem DDoS jest ICMP Smurf. Schemat jego działania jest dość prosty.
Atakujący ze zmienionym adresem zródłowym (patrz ramka "Spoofing")
wysyła do określonych komputerów (najczęściej wchodzących w skład
jego ddosnetu) pakiet ICMP Echo request (szerzej znany pod nazwÄ… ping),
a komputery odpowiadają pakietem ICMP echo reply wysłanym pod adres
IP, który tego za\ądał.
IP, który tego za\ądał.
Do wzmocnienia ataku wykorzystuje się sieci LAN z włączoną opcją directed
broadcast - odpowiedz na ICMP Echo Request wysyłana jest z ka\dego
komputera wchodzącego w ich skład (np. na jedno \ądanie przychodzi 50
odpowiedzi).
lato 2013r. Sieci komputerowe dr 22
in\. Antoni Masiukiewicz
2. IPConfig
Narzędzia i usługi protokołu
TCP/IP
" Arp
" Ipconfig
" Nslookup
" Route
" Finger
" Lpq
" Ping
" Rsh
" Ftp
" Ftp
" Lpr
" Rcp
" Tftp
" Hostname
" Nbtstat
" Rexec
" Tracert
" Netstat
" Netsh
lato 2013r. Sieci komputerowe dr 23
in\. Antoni Masiukiewicz
2. IPConfig
Polecenie ipconfig
" Wyświetla wszystkie bie\ące wartości konfiguracji sieci protokołu TCP/IP
oraz odświe\a ustawienia protokołu dynamicznej konfiguracji hosta
(DHCP, Dynamic Host Configuration Protocol) i systemu DNS (Domain
Name System).
Polecenie ipconfig u\yte bez parametrów wyświetla
" adres IP,
" maskÄ™ podsieci i
" maskÄ™ podsieci i
" domyślną bramę
wszystkich kart.
Składnia
" ipconfig [/all] [/renew [karta]] [/release [karta]] [/flushdns]
[/displaydns] [/registerdns] [/showclassid karta] [/setclassid karta
[identyfikator_klasy]]
lato 2013r. Sieci komputerowe dr 24
in\. Antoni Masiukiewicz
2. IPConfig
" /all
Wyświetla pełną konfigurację protokołu TCP/IP dla
wszystkich kart.
Karty mogą reprezentować interfejsy fizyczne, takie jak
zainstalowane karty sieciowe lub interfejsy logiczne, na
przykład połączenia telefoniczne.
lato 2013r. Sieci komputerowe dr 25
in\. Antoni Masiukiewicz
2. IPConfig
Parametry
" /renew [karta]
Odnawia konfigurację protokołu DHCP dla wszystkich kart (je\eli nie
określono karty) lub dla określonej karty, je\eli dołączono parametr
karta. Ten parametr jest dostępny tylko na komputerach, których
karty skonfigurowano do automatycznego pozyskiwania adresów IP.
Aby określić nazwę karty, nale\y wpisać nazwę, która pojawia się po
u\yciu polecenia ipconfig bez parametrów.
" /release [karta]
Wysyła komunikat DHCPRELEASE do serwera DHCP, aby zwolnić
Wysyła komunikat DHCPRELEASE do serwera DHCP, aby zwolnić
bie\ącą konfigurację protokołu DHCP i odrzucić konfigurację adresów
IP dla wszystkich kart (je\eli nie określono karty) lub dla określonej
karty, je\eli dołączono parametr karta. Ten parametr wyłącza obsługę
protokołu TCP/IP dla wszystkich kart skonfigurowanych do
automatycznego pozyskiwania adresów IP. Aby określić nazwę karty,
nale\y wpisać nazwę, która pojawia się po u\yciu polecenia ipconfig
bez parametrów.
lato 2013r. Sieci komputerowe dr 26
in\. Antoni Masiukiewicz
2. IPConfig
" /flushdns
Opró\nia i resetuje zawartość pamięci podręcznej programu
rozpoznawania nazw klientów DNS. Podczas rozwiązywania problemów
z systemem DNS mo\na u\ywać tej procedury do odrzucania
negatywnych wpisów z pamięci podręcznej oraz innych wpisów, które
zostały dodane dynamicznie
/displaydns
Wyświetla zawartość pamięci podręcznej programu rozpoznawania
nazw klientów DNS, w której znajdują się zarówno wpisy wstępnie
załadowane z lokalnego pliku Hosts, jak i ostatnio uzyskane rekordy
zasobów dla kwerend nazw rozpoznawanych przez komputer. Usługa
Klient DNS u\ywa tych informacji do szybkiego rozpoznawania często
poszukiwanych nazw przed wykonaniem kwerendy na
poszukiwanych nazw przed wykonaniem kwerendy na
skonfigurowanych serwerach DNS.
" /registerdns
Inicjuje ręczną dynamiczną rejestrację nazw DNS i adresów IP
skonfigurowanych na komputerze. Tego parametru mo\na u\ywać do
rozwiązywania problemów z nieudaną rejestracją nazw DNS lub
dotyczących dynamicznej aktualizacji między klientem i serwerem DNS
bez ponownego rozruchu komputera klienckiego. Ustawienia systemu
DNS w zaawansowanych właściwościach protokołu TCP/IP określają,
które nazwy są rejestrowane w systemie DNS.
lato 2013r. Sieci komputerowe dr 27
in\. Antoni Masiukiewicz
2. IPConfig
" /showclassid karta
Wyświetla identyfikator klasy DHCP określonej karty. Aby obejrzeć
identyfikator klasy DHCP wszystkich kart, nale\y u\yć gwiazdki (*)
jako symbolu wieloznacznego zamiast parametru karta. Ten parametr
jest dostępny tylko na komputerach, których karty skonfigurowano do
automatycznego pozyskiwania adresów IP.
" /setclassid karta [identyfikator_klasy]
Konfiguruje identyfikator klasy DHCP określonej karty. Aby ustawić
identyfikator klasy DHCP wszystkich kart, nale\y u\yć gwiazdki (*)
jako symbolu wieloznacznego zamiast parametru karta. Ten parametr
jest dostępny tylko na komputerach, których karty skonfigurowano do
automatycznego pozyskiwania adresów IP. Je\eli nie określono
automatycznego pozyskiwania adresów IP. Je\eli nie określono
identyfikatora klasy DHCP, bie\Ä…cy identyfikator klasy jest usuwany.
lato 2013r. Sieci komputerowe dr 28
in\. Antoni Masiukiewicz
2. IPConfig
lato 2013r. Sieci komputerowe dr 29
in\. Antoni Masiukiewicz
2. IPConfig
lato 2013r. Sieci komputerowe dr 30
in\. Antoni Masiukiewicz
2. IPConfig
Ćwiczenie 1
Dla uzyskania podstawowej konfiguracji protokołu TCP/IP wszystkich kart, nale\y wpisać:
ipconfig
Ćwiczenie 2
Dla uzyskania pełnej konfiguracji protokołu TCP/IP wszystkich kart, nale\y wpisać:
ipconfig /all
Ćwiczenie 3
ipconfig /displaydns
Wyświetla zawartość pamięci podręcznej programu rozpoznawania nazw klientów
DNS, w której znajdują się zarówno wpisy wstępnie załadowane z lokalnego pliku
Hosts, jak i ostatnio uzyskane rekordy zasobów dla kwerend nazw
rozpoznawanych przez komputer.
ipconfig/flushdns
Kasowanie tablicy podręcznej.
lato 2013r. Sieci komputerowe dr 31
in\. Antoni Masiukiewicz
3. Protokół ARP
ARP ( Address Resolution Protocol) - jest to protokół
wykorzystywany do znajdowania adresu sprzętowego
komputera (adres MAC), gdy dany jest adres IP.
Protokół ARP został zdefiniowany w RFC 826.
ARP jest wykorzystywane w takich technologiach jak Token
Ring, FDDI, 802.11 oraz w technologiach WAN.
W przypadku sieci wykorzystujących adresy MAC oraz protokół
IP w wersji 4 ARP przyporzÄ…dkowuje 32-bitowe adresy IP
fizycznym, 48-bitowym adresom MAC.
lato 2013r. Sieci komputerowe dr 32
in\. Antoni Masiukiewicz
3. Protokół ARP
Polecenie ARP zarzÄ…dza tzw. tablicÄ… ARP. ZnajdujÄ… siÄ™ w niej pary: adres
warstwy sieciowej (IP) i przypisany do niego adres fizyczny. Zapobiega to
tworzeniu zapytania ARP przy próbie wysłania ka\dego pakietu. Hosty
mogą się ze sobą komunikować za pośrednictwem adresu fizycznego tylko
w obrębie danej sieci w znaczeniu warstwy drugiej modelu OSI.
Jeśli informacje mają być przesłane do innej sieci (lub podsieci w sieci
zło\onej, sieci oddzielonej routerem, itp.), to protokół ARP jest
wykorzystywany jedynie do uzyskania informacji o adresie bramy
domyślnej (sieciowej).
ARP jest protokołem komunikacyjnym pracującym na styku warstw drugiej i
trzeciej modelu OSI. Komunikaty ARP sÄ… umieszczane w ramkach warstwy
trzeciej modelu OSI. Komunikaty ARP sÄ… umieszczane w ramkach warstwy
drugiej, słu\ą jedynie do przenoszenia adresów hostów.
drugiej, słu\ą jedynie do przenoszenia adresów hostów.
adres IP
Warstwa sieci
adres MAC
ARP
Warstwa Å‚Ä…cza
danych
lato 2013r. Sieci komputerowe dr 33
in\. Antoni Masiukiewicz
3. Protokół ARP
34
lato 2013r. Sieci komputerowe dr
in\. Antoni Masiukiewicz
3. Protokół ARP
lato 2013r. Sieci komputerowe dr 35
in\. Antoni Masiukiewicz
4. ARP- wiersz poleceń
Polecenie arp
" Wyświetla i modyfikuje wpisy w pamięci podręcznej ARP
(Address Resolution Protocol), która zawiera jedną lub kilka
tabel u\ywanych do przechowywania adresów IP i
odpowiednich rozpoznanych adresów fizycznych Ethernet
lub Token Ring.
" Dla ka\dej karty sieciowej Ethernet lub Token Ring
zainstalowanej na komputerze dostępna jest oddzielna
zainstalowanej na komputerze dostępna jest oddzielna
tablica.
" Polecenie arp bez parametrów wyświetla Pomoc.
" Adres fizyczny dla parametru adres_ethern składa się z
sześciu bajtów wyra\onych w zapisie szesnastkowym i
rozdzielonych Å‚Ä…cznikami (00-AA-00-4F-2A-9C ,adres MAC).
lato 2013r. Sieci komputerowe dr 36
in\. Antoni Masiukiewicz
4. ARP- wiersz poleceń
Parametry
" /a [adres_intern] [-N adres_interf]
Wyświetla bie\ące tabele pamięci podręcznej ARP dla wszystkich
interfejsów. Aby wyświetlić wpis pamięci podręcznej ARP dla
określonego adresu IP, nale\y u\yć polecenia arp /a z parametrem
adres_intern, gdzie adres_intern jest adresem IP. Aby wyświetlić
tabelę pamięci podręcznej ARP dla określonego interfejsu, nale\y u\yć
parametru -N adres_interf, gdzie adres_interf jest adresem IP
przypisanym do interfejsu. W parametrze -N uwzględniana jest
wielkość liter.
" /d adres_intern [adres_interf]
Usuwa wpis z określonym adresem IP, gdzie adres_intern jest
Usuwa wpis z określonym adresem IP, gdzie adres_intern jest
adresem IP. Aby usunąć wpis w tabeli dla określonego interfejsu,
nale\y u\yć parametru adres_interf, gdzie adres_interf jest adresem
IP przypisanym do interfejsu. Aby usunąć wszystkie wpisy, nale\y u\yć
symbolu wieloznacznego gwiazdki (*) zamiast parametru
adres_intern.
" /s adres_intern adres_ethern [adres_interf]
Dodaje wpis statyczny do pamięci podręcznej ARP, który rozpoznaje
adres fizyczny adres_ethern na podstawie adresu IP adres_intern. Aby
dodać wpis statyczny pamięci podręcznej ARP do tabeli dla
określonego interfejsu, nale\y u\yć parametru adres_interf, gdzie
adres_interf jest adresem IP przypisanym do interfejsu.
lato 2013r. Sieci komputerowe dr 37
in\. Antoni Masiukiewicz
4. ARP- wiersz poleceń
Ćwiczenie 7
a/Wyświetlić tabele pamięci podręcznej ARP dla wszystkich interfejsów,
Wpisać w wierszu poleceń:
" arp /a
b/Wyświetlić tabelę pamięci podręcznej ARP dla interfejsu, do którego
przypisano adres IP 10.20.125.xxx, wpisać w wierszu poleceń:
" arp /a -N 10.20.125.xxx
c/Wykasować wpisy w tablicy podręcznej.
c/Wykasować wpisy w tablicy podręcznej.
d/Dodać wpisy do tablicy podręcznej, z wykorzystaniem komendy Ping:
" do bramy domyślnej,
" do innych komputerów w sieci lokalnej.
lato 2013r. Sieci komputerowe dr 38
in\. Antoni Masiukiewicz
5. Wykorzystanie ARP w sieci LAN
Komunikacja z uwzględnieniem warstwy sieciowej
PC20 IP: 1.20.125.102
PC10 IP: 1.10.125.101
Pakiet IP
Pakiet IP
Internet
lato 2013r. Sieci komputerowe dr 39
in\. Antoni Masiukiewicz
5. Wykorzystanie ARP w sieci LAN
Komunikacja z uwzględnieniem warstwy sieciowej i warstwy łącza
danych
PC10 IP: 10.20.125.102
PC10 IP: 10.20.125.101
SWITCH
MAC docelowy 0C-3B-4C-00-00-00
MAC zródłowy 0A-3E-DB-00-00-00
Pakiet IP Ramka Ethernet
lato 2013r. Sieci komputerowe dr 40
in\. Antoni Masiukiewicz
5. Wykorzystanie ARP w sieci LAN
Proces przekazywania pakietu
1. Umieszczenie pakietu w ramce Ethernet
2. Umieszczenie czterech adresów w ramce Ethernet: adres zródłowy IP,
adres docelowy IP, adres zródłowy MAC, adres docelowy MAC
3. Wysłanie pakietu
Przypisanie adresu MAC do adresu IP >> odwzorowanie (mapowanie)
adresów warstwy 3 (sieci ) na adresy warstwy 2 (łącza danych).
adresów warstwy 3 (sieci ) na adresy warstwy 2 (łącza danych).
lato 2013r. Sieci komputerowe dr 41
in\. Antoni Masiukiewicz
5. Wykorzystanie ARP w sieci LAN
Wykorzystanie ARP w sieci lokalnej
3. PC2 odpowiada na
PC1, PC2 ta sama podsieć zapytanie ARP
Adres MAC 00-00-02 dla
1. Znajdz adres MAC
IP: 10.20.125.102
dla IP:
10.20.125.102
PC2 IP: 10.20.125.102
MAC: 00-00-02..
MAC: 00-00-02..
PC1 IP: 10.20.125.101
MAC: 00-00-01..
PC3
Ethernet
2.Rozgłoszeniowy ARP- szukam
FF-FF-FF..
MAC dla IP: 10.20.125.102
Ethernet
4.Odpowiedz ARP-
PC4
00-00-01..
MAC 00-00-02.. dla IP: 10.20.125.102
lato 2013r. Sieci komputerowe dr 42
in\. Antoni Masiukiewicz
5. Wykorzystanie ARP w sieci LAN
Wykorzystanie ARP w sieci lokalnej- kroki
1. PC1:
Wie \e komputer PC2 jest w tej samej podsieci,
Zna adres PC2: 10.20.125.102,
Potrzebuje adresu MAC komputera PC2.
2. PC1 wysyła \ądanie ARP na adres rozgłoszeniowy MAC FF-FF-FF& śądanie
ARP oznacza \e komputer o docelowy m adresie IP (10.20.125.102)
powinien odpowiedzieć do komputera o zródłowym adresie IP
(10.20.125.101) i MAC , podając swój adres MAC.
(10.20.125.101) i MAC , podając swój adres MAC.
3. PC2 tworzy odpowiedz ARP
4. PC2 wysyła na adres IP i MAC podany w zapytaniu adres MAC w parze z
adresem IP ( IP: 10.20.125.102/MAC: 00-00-02..). Pozostałe
komputery pomimo otrzymania \Ä…dania ARP pozostajÄ… bierne.
lato 2013r. Sieci komputerowe dr 43
in\. Antoni Masiukiewicz
5. Wykorzystanie ARP w sieci LAN
Komputery i routery w sieci TCP/IP przechowujÄ… informacje uzyskane za
pomocą protokołu ARP w tablicy zwanej tablicą ARP lub pamięcią
podręczną ARP.
Przed umieszczeniem pakietu w ramce Ethernet komputer sprawdza w
pamięci podręcznej czy posiada docelowy adres MAC. Je\eli nie posiada to
musi wykorzystać protokół ARP w celu zdobycia tej informacji.
Pamięć podręczna ARP jest okresowo weryfikowana, a
nieu\ywane wpisy sÄ… usuwane.!!
Czas ten zale\y od urządzenia. Na przykład, w niektórych systemach
Czas ten zale\y od urządzenia. Na przykład, w niektórych systemach
operacyjnych Windows wpis w pamięci ARP jest usuwany po 2 minutach.
Jeśli dany wpis był u\yty w międzyczasie, licznik dla danego wpisu
przedłu\any jest do 10 minut.
Bez pamięci podręcznej, ARP musiałby nieustannie rozsyłać zapytania
tłumaczenia adresów w sieci LAN. To spowodowałoby opóznienia w sieci i
jej przecią\enie. W skrajnie przeciwnym przypadku, nieskończenie długie
czasy przechowywania wpisów ARP mogłyby doprowadzić do błędów w
przypadku, gdyby pewne urządzenia w międzyczasie zmieniły adres
Warstwy 3 (sieci).
lato 2013r. Sieci komputerowe dr 44
in\. Antoni Masiukiewicz
6. Wykorzystanie ARP w sieci rozległej
Podsieć: 10.20.129.xxx
Podsieć: 10.20.125.xxx
FA0/1
FA0/0
Router 1
PC5 PC8
Gateway
Gateway
10.20.129.251
10.20.125.101 10.20.129.101
10.20.125.251
00-FF-AA..
00-FF-AA..
00-FF-AB..
00-FF-AB..
00-00-02& 00-00-01&
00-00-02& 00-00-01&
Dane Nagłówek IP
Nowy nagłówek
Pakiet IP
Eth.
Nagłówek Nagłówek
Pakiet IP Pakiet IP
Eth. Eth.
lato 2013r. Sieci komputerowe dr 45
in\. Antoni Masiukiewicz
6. Wykorzystanie ARP w sieci rozległej
Kroki
1. PC5 wysyła pakiet IP w ramce Ethernet do swojej bramy domyślnej (R1,
10.20.125.251, 00-FF-AB& ). Docelowy MAC: 00-FF-AB& Router 1.
2. Router 1 odrzuca nagłówek ramki.!!
3. Router 1 umieszcza pakiet IP w nowej ramce Ethernet. Docelowy adres
MAC: 00-00-01& komputer PC8.
4. Router 1 przekazuje ramkÄ™ z pakietem przez interfejs FA 0/1.
lato 2013r. Sieci komputerowe dr 46
in\. Antoni Masiukiewicz
7. ARP a bezpieczeństwo w sieci
ARP tak\e mo\e być jednak tak\e słabym punktem jeśli chodzi o
bezpieczeństwo. Techniki takie jak ARP spoofing czy ARP poisoning
bywają u\ywane przez napastników do rozgłaszania fałszywych powiązań
adresów MAC w sieci. Napastnik podrabia adres MAC określonego
urządzenia, co sprawia, \e ramki kierowane są do niewłaściwego odbiorcy.
Jedną z metod zapobiegania ARP spoofing jest ręczne skojarzenie
adresów MAC.
Po otrzymaniu komunikatu ARP tablice uaktualnia zarówno nadawca, jak i
odbiorca, mo\liwe jest zagłuszenie ARP własnymi, często wysyłanymi
komunikatami. Technika taka nazywana jest ARP Flooding.
Mo\liwa jest sytuacja, w której intruz w sieci lokalnej podszywa się pod
Mo\liwa jest sytuacja, w której intruz w sieci lokalnej podszywa się pod
adres bramy w tej sieci i uzyskuje dostęp do strumienia informacji
kierowanej do Internetu. Mo\liwości intruza są du\e przykładowo, mo\e
wygenerować fałszywy certyfikat i pośredniczyć w szyfrowanej
komunikacji u\ytkownika z bankiem. Takie działanie jest nazywane
atakiem man-in-the-middle.
lato 2013r. Sieci komputerowe dr 47
in\. Antoni Masiukiewicz
8. Wykorzystanie WhireShark do przechwytywania i
analizy protokołu ARP
Przykład analizy otrzymanego logu dla protokołu ARP
Frame 15 (42 bytes on wire, 42 bytes captured)
Ethernet II, Src: 00:00:39:45:55:a0, Dst: ff:ff:ff:ff:ff:ff
Address Resolution Protocol (request)
Frame 16 (60 bytes on wire, 60 bytes captured)
Ethernet II, Src: 00:02:bb:55:45:56, Dst: 00:00:39:45:55:a0
Address Resolution Protocol (reply)
lato 2013r. Sieci komputerowe dr 48
in\. Antoni Masiukiewicz
8. Wykorzystanie WhireShark do przechwytywania i
analizy protokołu ARP
Opis
Protokół ARP (Adress Resolution Protocol) słu\y do uzyskania przez stację A
adresu MAC (czyli adresu Ethernet) stacji, która jest bramą dla stacji A.
Ramka 15. Stacja o adresie IP: 156.17.43.50 potrzebuje adresu MAC stacji
o adresie IP:156.17.43.62, która jest bramą (gateway) dla stacji
IP:156.17.43.50. Dlatego wysyła ramkę rozgłoszeniową (broadcast) o
adresie docelowym MAC w postaci ff:ff:ff:ff:ff:ff .
Ramka 16. Z definicji bramy wynika, \e musi się znajdować w tej samej
podsieci co stacja, dla której jest bramą. Dlatego otrzyma ramkę
podsieci co stacja, dla której jest bramą. Dlatego otrzyma ramkę
rozgłoszeniową i odpowie na nią przesyłając swój adres MAC. W tym
momencie stacja o adresie IP 156.17.43.50 zna adres MAC swojej bramy,
więc mo\e zacząć wysyłać pakiety IP do stacji znajdujących się w innych
podsieciach.
lato 2013r. Sieci komputerowe dr 49
in\. Antoni Masiukiewicz
8. Wykorzystanie WhireShark do przechwytywania i
analizy protokołu ARP
lato 2013r. Sieci komputerowe dr 50
in\. Antoni Masiukiewicz
8. Wykorzystanie WhireShark do przechwytywania i
analizy protokołu ARP
lato 2013r. Sieci komputerowe dr 51
in\. Antoni Masiukiewicz
lato 2013r. Sieci komputerowe dr 52
in\. Antoni Masiukiewicz
8. Wykorzystanie WhireShark do przechwytywania i
analizy protokołu ARP
lato 2013r. Sieci komputerowe dr 53
in\. Antoni Masiukiewicz
8. Wykorzystanie Whire Shark do przechwytywania
i analizy protokołu ARP
Ćwiczenie 8
Wykorzystanie analizatora Whire Shark do przechwytywania i analizy
protokołu ARP.
a/ uruchomić program Whire shark,
b/ za pomocą IP Config zidentyfikować adresy: bramy domyślnej, serwerów
DNS
c/ usunąć wpisy z pamięci podręcznej ARP
d/ uruchomić przechwytywanie pakietów w programie Whire shark
d/ u\yć polecenia Ping : do bramy domyślnej, serwerów DNS, innych
d/ u\yć polecenia Ping : do bramy domyślnej, serwerów DNS, innych
komputerów w sieci lokalnej
e/ przeanalizować protokoły ARP przechwycone przez Whire shark
W zakresie:
Struktura protokołu,
Adresy warstwy sieciowej
Adresy warstwy Å‚Ä…cza danych
lato 2013r. Sieci komputerowe dr 54
in\. Antoni Masiukiewicz
9. Zapobieganie atakom ARP w sieci
Niedopuszczanie nieautoryzowanych urządzeń do sieci. Atak tego typu jest
jednak często wywoływany przez autoryzowanego u\ytkownika, więc
potrzebujemy bardziej skomplikowanej metody do zatrzymania ataku.
Dobrym zabezpieczeniem będą statyczne wpisy ARP dla hostów w sieci.
Zbudowanie takiej konfiguracji zajmie sporo czasu. Konfiguracja nie
odświe\y się automatycznie, je\eli posiadamy dynamiczną sieć dowolnego
rozmiaru.
Narzędziem, które pozwoli monitorować mapowanie par IP na MAC oraz
zapamiętujące ich zmian jest ARPWATCH. Oprogramowanie wymaga
instalacji na serwerze "widzącym" cały ruch sieciowy. Konieczne będzie
instalacji na serwerze "widzącym" cały ruch sieciowy. Konieczne będzie
więc uruchomienie przełącznika do monitorowania ruchu (port mirroring)
na danym porcie.
lato 2013r. Sieci komputerowe dr 55
in\. Antoni Masiukiewicz
10. Obliczanie sumy kontrolnej nagłówka protokołu
IP
Sposób obliczania sumy kontrolnej nagłówka protokołu IP
Integralność informacji zawartych w nagłówku datagramu IP zapewnia 16-
bitowa suma kontrolna nagłówka (header checksum).
Jest ona obliczana według prostego algorytmu, zakładającego zsumowanie
wszystkich słów nagłówka jako liczb 16-bitowych a następnie dopełnienie
do jedności otrzymanej liczby. Otrzymana liczba jest 24-bitowa i nie
do jedności otrzymanej liczby. Otrzymana liczba jest 24-bitowa i nie
mo\na jej umieścić w 16-bitowym polu sumy kontrolnej. Dokonuje się
tutaj prostego zabiegu najstarszy bajt tej liczby jest odcinany a
następnie dodawany do otrzymanej w ten sposób liczby 16- bitowej. Na
czas obliczeń pole sumy kontrolnej jest zerowane. Ostatnim krokiem jest
odjęcie uzyskanej liczby od liczby FFFF, co daje liczbę szukaną sumę
kontrolną nagłówka IP.
lato 2013 Sieci komputerowe 56
dr in\. Antoni Masiukiewicz
10. Obliczanie sumy kontrolnej nagłówka protokołu
IP
Ćwiczenie 0
Suma kontrolna
Obliczyć sumę kontrolną dla poni\szego pakietu
lato 2013 Sieci komputerowe 57
dr in\. Antoni Masiukiewicz
10. Obliczanie sumy kontrolnej nagłówka protokołu
IP
Krok 1
Sumowanie liczb zawartych w nagłówku
45 00 4x16 +5x16 +0x16 +0x16° = 17 664
00 4e 0x16 +0x16 +4x16 +14x16° = 78
0c 20 0x16 +12x16 +2x16 +0x16° = 3 104
00 00 = 0
00 00 = 0
80 01 8x16 +0x16 +0x16 +1x16° = 32 769
ff 34 zerujemy sumÄ™ kontrolnÄ… = 0
59 6c 5x16 +9x16 +6x16 +12x16° = 22 892
cb 05 12x16 +11x16 +0x16 +5x16° = 51 973
0a c8 0x16 +10x16 +12x16 +8x16° = 2 760
00 21 0x16 +0x16 +2x16 +1x16° = 33
Suma = 131 273
lato 2013 Sieci komputerowe 58
dr in\. Antoni Masiukiewicz
10. Obliczanie sumy kontrolnej nagłówka protokołu
IP
Krok 2
Zamiana sumy na liczbÄ™ szesnastkowÄ…
131 273 : 65536 = 2x16
201 :16 = 12x16 =cx16
9 = 9x16°
Suma w postaci liczby szesnastkowej
Suma w postaci liczby szesnastkowej
2x16 +0x16 +0x16 +cx16 +9x16°= 02 00 c9 (0+pięć bajtów)
lato 2013 Sieci komputerowe 59
dr in\. Antoni Masiukiewicz
10. Obliczanie sumy kontrolnej nagłówka protokołu
IP
Krok 3
Dodajemy dwa pierwsze bajty sumy do czterech pozostałych
00 c9 = 0x16 +0x16 +cx16 +9x16° =201
+ 02 = 0x16 +2x16° = 2
Suma = 203
Zamieniamy sumÄ™ na liczbÄ™ szesnastkowÄ…
203=cb
lato 2013 Sieci komputerowe 60
dr in\. Antoni Masiukiewicz
10. Obliczanie sumy kontrolnej nagłówka protokołu
IP
Krok 4
Od liczby ffff odejmujemy liczbÄ™ uzyskanÄ… w kroku 3
ffff = 65535
- cb = -203
Wynik = 65332
Zamieniamy wynik na liczbÄ™ szsnastkowÄ…
65332 : 4096 = 15x16 = fx16
3892 :256 = 15x16 = fx16
52 :16 = 3x16
4 = 4x16°
Szukana suma kontrolna ff34
lato 2013 Sieci komputerowe 61
dr in\. Antoni Masiukiewicz
Wyszukiwarka
Podobne podstrony:
2 Sieci komputerowe 03 2013 [tryb zgodności]1 Sieci komputerowe # 02 2013 [tryb zgodności]id?463 Sieci komputerowe# 03 2013 [tryb zgodności]czas pracy grudzień 2013 [tryb zgodności]11 Style kierowania [tryb zgodnoci]M Panfil MBO i LBO na 11 2008 [tryb zgodnosci](betonowanie 11 [tryb zgodności])(ZBROJENIE 11 [tryb zgodności])1 04 11 tryb rzeczywisty i chroniony procesoraMikroI 11 [tryb zgodnosci]Przykłady postaci larwalnych wykład 04 Tyl ko do odczytu tryb zgodności11 przybylowski PE fin2 [tryb zgodnosci]05 Zas i koszty [tryb zgodności]idX95ZDROWIE PSYCHICZNE zaburzenia osobowosci 11 materialy tryb zgodnosciSieci komputerowe wyklady dr FurtakSter Proc Dyskret 6 [tryb zgodności]więcej podobnych podstron