Lokalne sieci komputerowe 1 - laboratorium
Ćwiczenie 1: Analizator sieciowy  analiza protokołów
Cel ćwiczenia
Celem ćwiczenia jest analiza informacji zawartych w nagłówkach pakietów protokołów
warstw łącza danych, sieciowej, transportowej i aplikacji. Na podstawie analizy należy
zbadać w jaki sposób prowadzona jest komunikacja pomiędzy urządzeniami w sieci, w jaki
sposób odbywa się adresowanie urządzeń, nawiązywanie sesji, diagnostyka sieci, itp. Do
przychwytywania ruchu sieciowego wykorzystywany jest program Wireshark.
Wprowadzenie
Analizatory sieciowe (snifery) umożliwiają podsłuchiwanie ruchu sieciowego i wspomagają
analizę przesyłanych danych w podsieci. Można dzięki temu uzyskać informacje o rodzaju
usług i protokołach wykorzystywanych w sieci, adresach komputerów z którymi się łączą
użytkownicy danej podsieci, treści przesyłanych danych, itd. Umożliwia to lepsze
zrozumienie działania sieci, ułatwia ewentualną lokalizację błędów lub intruzów, daje
informacje służące do poprawy działania sieci lub jej modernizacji.
Literatura oraz wymagane informacje
Instrukcja obsługi programu Wireshark (www.wireshark.org)
Znajomość zasady działania i budowy nagłówków analizowanych protokołów (Ethernet,
ARP, IP, ICMP, TCP, UDP HTTP, FTP, DNS), znajomość rodzajów zapytań i odpowiedzi
DNS oraz zasad adresacji urządzeń w warstwie łącza danych (adresy MAC) i sieciowej
(adresy IP) - dokumenty RFC (np. www.ietf.org), książki, artykuły, strony WWW
Znajomość modelu warstwowego ISO/OSI
Znajomość składni i umiejętność korzystania z poleceń konsoli Windows: ping, tracert, arp
Zadania do wykonania
Przed wykonaniem każdego z zadań wyczyścić systemowe tablice ARP i DNS (za
pomocą poleceń konsoli lub polecenia  Napraw w opcjach karty sieciowej).
Przed analizą zastosować odpowiednie filtry do odrzucenia nieistotnych w danym zadaniu
pakietów (filtry zamieścić w sprawozdaniu).
1. Uruchomić program tracert dla hosta zewnętrznego podając adres domenowy.
Przeanalizować szczegółowo (wszystkie pola nagłówków i informacyjne) przechwycone
pakiety ARP i ICMP, zawartość nagłówków UDP oraz informacje protokołu DNS dla co
najmniej 4 różnych pakietów (różne typy pytań i odpowiedzi).
2. Uruchomić przeglądarkę WWW dla wybranego adresu sieciowego i przeanalizować
przebieg sesji TCP nawiązywanej pomiędzy komputerem a serwerem: nawiązanie sesji,
nadzór nad transmisją (potwierdzenia), rozłączenie sesji.
3. Uruchomić kilka (2-3) okien przeglądarki i połączyć się z różnymi witrynami WWW. Na
podstawie analizy przechwyconych pakietów pokazać w jaki sposób realizowane jest
przesłanie przychodzących pakietów do odpowiedniego okna przeglądarki (skąd stacja
 wie do którego okna przeglądarki przekazać odebrany pakiet ?).
4. Uruchomić przeglądarkę WWW dla wybranych adresów sieciowych i przeanalizować
dane protokołu HTTP dla kilku wybranych pakietów.
5. Na jednym z komputerów udostępnić katalog i umieścić w nim plik tekstowy. Skopiować
(przez sieć) plik na drugi komputer. Zidentyfikować protokół warstwy aplikacji
obsługujący udostępnianie plików. Zbadać własności tego protokołu (typy zapytań i
odpowiedzi, czy przesyłane dane są szyfrowane, itd.)
6. Uruchomić program FTP, zalogować się na dowolny adres, przesłać plik i przeanalizować
przebieg komunikacji FTP (logowanie, pakiety informacyjne i danych).
7. Uruchomić wybrany przez siebie program sieciowy (np. komunikator, poczta, zdalny
pulpit, terminal), zidentyfikować i przeanalizować odpowiednie protokoły warstwy
aplikacji związane z tym programem.
Sprawozdanie
W formie pisemnego sprawozdania przygotować dokładną analizę wykonanych zadań:
sposób generowania ruchu, filtry, analizę zawartości pól nagłówków i pól informacyjnych,
przebiegi sesji (sesja TCP, pytanie-odpowiedz
ARP, żądanie-odpowiedz
ICMP, itd.), wnioski.
Przykład ogólnej analizy otrzymanego logu dla protokołu ARP (nie pasujący do żadnego z
powyższych zadań !):
Info
Opis
Protokół ARP (Adress Resolution Protocol) służy do uzyskania przez stację A adresu MAC
(czyli adresu Ethernet) stacji, która jest bramą dla stacji A.
No. 15. Stacja o adresie IP 156.17.43.50 potrzebuje adresu MAC stacji o adresie
156.17.43.62, która jest bramą (gateway) dla stacji 156.17.43.50. Dlatego wysyła ramkę
rozgłoszeniową (broadcast) o adresie docelowym MAC w postaci ff:ff:ff:ff:ff:ff .
No. 16. Z definicji bramy wynika, że musi się znajdować w tej samej podsieci co stacja, dla
której jest bramą. Dlatego otrzyma ramkę rozgłoszeniową i odpowie na nią przesyłając swój
adres MAC. W tym momencie stacja o adresie IP 156.17.43.50 zna adres MAC swojej bramy,
więc może zacząć wysyłać pakiety IP do stacji znajdujących się w innych podsieciach.
Ocena
Na ocenę z tego ćwiczenia będzie wpływać: przygotowanie teoretyczne do ćwiczenia z
zakresu wymaganych protokołów, praca w czasie realizacji zadań w laboratorium,
sprawozdanie oddane na następnych (po wykonaniu zadania) zajęciach oraz dyskusja z
Prowadzącym na temat ćwiczenia i sprawozdania.