Przechwytywanie ramek

Przechwytywanie ramek

Wykonawca:

Paweł Madejski i7b1s1

1.Podaj numer IP, maskę i domyślną bramę węzła, przez który kontaktuje się Twój

komputer z siecią Internet.

IP: 10.3.237.180

Maska: 255.255.255.0

Brama: 10.3.237.254

2.Włączyć program Ethereal i przechwycić ramki związane ze sprawdzaniem

osiągalności węzła sieci (adres węzła poda prowadzący). Wypełnić podane tabele:

Czy docelowy węzęł jest osiągalny?

TAK

Jaki jest nr IP i nazwa domenowa docelowego
węzła?

IP: 209.131.36.159
Domena: Yahoo.com

Ramka zapytania nr 1:

port

Adres IP

identyf.
pakietu

TT

L

protokół

ICMP

nadawcy

odbiorcy

nadawcy

odbiorcy

typ

identyf.

10.3.2

37.180

209.13

1.36.1

59

0x1311

(4881)

1
2
8

TCP

(0x06

)

8 0x02

00

Ramka odpowiedzi nr 1:

port

Adres IP

identyf.
pakietu

TT

L

protokół

ICMP

nadawcy

odbiorcy

nadawcy

odbiorcy

typ

identyf.

209.13

1.36.1

59

10.3.2

37.180

0xeb27

(60199)

5
2

TCP

(0x06

)

0

0x02

00

Ramka zapytania nr 2:

port

Adres IP

identyf.
pakietu

TT

L

protokół

ICMP

nadawcy

odbiorcy

nadawcy

odbiorcy

typ

identyf.

10.3.2

37.180

209.13

1.36.1

59

0x1314

(4884)

1
2
8

TCP

(0x06

)

8 0x02

00

Ramka odpowiedzi nr 2:

port

Adres IP

identyf.
pakietu

TT

L

protokół

ICMP

nadawcy

odbiorcy

nadawcy

odbiorcy

typ

identyf.

10.131

.36.15

9

10.3.3

27.180

0x0d4a

(3402)

5
2

TCP

(0x06

)

0

0x02

00

Wnioski:

Skąd wiadomo, że podane ramki odpowiedzi są odpowiedziami na podane zapytania, a nie są odpowiedziami
na inne zapytania?

Możemy to stwierdzić na podstawie typu żądania ICMP:
0 - zwrot echa - „odpowiedź na ping”
8 - żądanie echa - „wysłanie pinga”

Opracował: Janusz Furtak

1

Przechwytywanie ramek

3.

Zadanie należy wykonać na dwóch stanowiskach. Na jednym stanowisku wykorzystując

program Ethereal przechwycić ramki związane z logowaniem się z drugiego
stanowiska na wskazany serwer przy pomocy usługi telnet, a potem usługi ssh
(program „Putty”).

Czy logowanie telnet zakończyło się
sukcesem?

NIE

Jaka jest postać przechwyconego hasła?
(podać zawartość przechwyconych ciągów
znaków w kolejnych ramkach)

Nr. przechwyconej ramki | znak (wartosc
heksadecymalna przy znaku)
47 | p (70)
48 | a (61)
49 | s (73)
50 | s (73)

Czy logowanie ssh zakończyło się
sukcesem?

NIE

Jaka jest postać przechwyconego hasła?

84 71 93 7a 2f e9 8d 6c e4 01
3e ae a7 ee 4d b2 19 3b 73 99 8d c8 c0 1e 91 62
87 e6 fa e6 9a 2e a1 f0 24 ae 3a f2 ed 49 e8 84
a5 ce 41 90 69 e1 f8 5c 25 ae 21 24 f7 7a 88 a9
45 c2 2f 8b d6 c2 95 9b 4b 63 6d c5 de 88 a1 71
ea 91 50 1f 1c 37 e4 13 da 70 64 bd 26 04 60 2d
cc 49 4b 99 5b 73 30 91 83 e8

Wnioski:

Podczas logowania przez telnet hasło jest
przesyłane jawnie po jednym znaku w każdej
kolejnej ramce natomiast przy logowaniu przez
SSH jest ono przesyłane w jednej paczce ale w
postaci zaszyfrowanej

4.

Przechwycić sesję TCP. Wykorzystując program Ethereal przechwycić ramki związane

z transferem danych z serwera WWW o adresie IP podanym przez prowadzącego.

numer IP Twojego PC:

10.3.237.180

numer IP/ nazwa domenowa
serwera WWW:

IP: 209.131.36.159

Domena: Yahoo.com

5.Wypełnić tabele według podanego wzoru dla etapów: inicjowanie połączenia (trzy

ramki, transfer danych (6 ramek) i zamykanie połączenia (3 ramki).

Inicjowanie połączenia

Nadawca

Odbiorca

Nadawca

Identyfikator ramki IP

0x28d0 (10448)

Identyfikator ramki IP

0

Identyfikator ramki IP

0x28d1 (10449)

IP nadawcy

10.3.237.1
80

IP odbiorcy

66.196.65.
174

IP nadawcy

66.196.65.
174

IP odbiorcy

10.3.237.1
80

IP nadawcy

10.3.237.1
80

IP odbiorcy

66.196.65.
174

port nadawcy

1311

port odbiorcy

80

port nadawcy

80

port odbiorcy

1311

port nadawcy

1311

port odbiorcy

80

nr sekwencyjny

0

nr sekwencyjny

0

nr sekwencyjny

1

nr potwierdzenia

nr potwierdzenia

1

nr potwierdzenia

1

kody

SYN

okno

64240

kody

SYN,ACK

Okno

5840

kody

ACK

okno

64240

Opracował: Janusz Furtak

2

Przechwytywanie ramek

Transfer danych

Nadawca

Odbiorca

Identyfikator ramki IP

0x28d2 (10450)

Identyfikator ramki IP

0x2406 (9222)

Identyfikator ramki IP

0x2408 (9224)

IP nadawcy

10.3.237.1
80

IP odbiorcy

66.196.65.
174

IP nadawcy

66.196.65.
174

IP odbiorcy

10.3.237.1
80

IP nadawcy

66.196.65.
174

IP odbiorcy

10.3.237.1
80

port nadawcy

1311

port odbiorcy

80

port nadawcy

80

port odbiorcy

1311

port nadawcy

80

port odbiorcy

1311

nr sekwencyjny

1

nr sekwencyjny

1

nr sekwencyjny

1

nr potwierdzenia

1

nr potwierdzenia

462

nr potwierdzenia

462

kody

PSH, ACK

okno

64240

kody

ACK

okno

6432

kody

PSH, ACK

okno

6432

Identyfikator ramki IP

0x240a

Identyfikator ramki IP

Identyfikator ramki IP

IP nadawcy

66.196.65.
174

IP odbiorcy

10.3.237.1
80

IP nadawcy

IP odbiorcy

IP nadawcy

IP odbiorcy

port nadawcy

80

port odbiorcy

1311

port nadawcy

port odbiorcy

port nadawcy

port odbiorcy

nr sekwencyjny

305

nr sekwencyjny

nr sekwencyjny

nr potwierdzenia

462

nr potwierdzenia

nr potwierdzenia

kody

PSH, ACK

okno

6432

kody

okno

kody

okno

Zamykanie połączenia

Nadawca

Odbiorca

Nadawca

Identyfikator ramki IP

0x240c (9228)

Identyfikator ramki IP

0x28db (10459)

Identyfikator ramki IP

0

IP nadawcy

66.196.65.
174

IP odbiorcy

10.3.237.1
80

IP nadawcy

10.3.237.1
80

IP odbiorcy

66.196.65.
174

IP nadawcy

66.196.65.
174

IP odbiorcy

10.3.237.1
80

port nadawcy

80

port odbiorcy

1311

port nadawcy

1311

port odbiorcy

80

port nadawcy

80

port odbiorcy

1311

nr sekwencyjny

1757

nr sekwencyjny

462

nr sekwencyjny

1758

nr potwierdzenia

462

nr potwierdzenia

1758

nr potwierdzenia

463

kody

FIN, ACK

okno

6432

kody

FIN, ACK

okno

64240

kody

ACK

okno

6432

Wnioski:

W przebiegu poprawnych sekwencji zauważyłem, że numer potwierdzenia pokrywa się

często z numerem sekwencji w następnej ramce.
Sekwencja inicjowania połączenia przebiegła poprawnie, natomiast podczas sekwencji
zamknięcia nastąpił przeplot sygnału ACK do serwera.
Podczas sekwencji transferu nie odczytałem odpowiedniej z zadaniem liczby ramek. Przyczyną
mógł być mój błąd lub za mała wielkość pliku jaki pobierałem z serwera.

Badany adres IP jest różny od IP serwisu Yahoo.com. Najprawdopodobiej przyczyną jest

przechowywanie obrazów na innym serwerze niż serwer domeny Yahoo.com.

Opracował: Janusz Furtak

3

Przechwytywanie ramek

6.Jaka jest prawidłowa sekwencja kodów w kolejnych ramkach dla przypadków?

nadawca

odbiorca

nadawca

inicjowanie połączenia

SYN

SYN, ACK

ACK

zamykanie połączenia

FIN, ACK

FIN,ACK

ACK

Opracował: Janusz Furtak

4