2017. december 15., péntek

Hálózati forgalom figyelése

WireShark programmal
Alapadatok:

source  forrás
destination célállomás
length hossz
frame keret
filter szűrő

A főmenü a következőket tartalmazza:

fájl
    Ez a menüpont olyan elemeket tartalmaz, amelyek megnyitják és egyesítik a rögzített fájlokat, menthetik, kinyomtathatják vagy exportálhatják a capture fájlokat részben vagy egészben, és kiléphetnek a Wireshark alkalmazásból. Lásd: 3.5 "A" Fájl "menü .

szerkesztése
    Ez a menü elemeket tartalmaz, hogy megtalálja a csomagot, az idő referenciáját vagy jelöljön ki egy vagy több csomagot, kezelje a konfigurációs profilokat, és állítsa be a beállításokat; (vágás, másolás és beillesztés jelenleg nem valósul meg). Lásd: 3.6 "A" Szerkesztés "menü" .

Kilátás
    Ez a menüpont szabályozza a rögzített adatok megjelenítését, beleértve a csomagok színezését, a betű nagyítását, a csomagot egy külön ablakban mutatva, a csomagok részleteit tartalmazó fák kiterjesztésével és összeomlásával .... Lásd: 3.7 "A" Nézet "menü" .

Megy
    Ez a menü olyan elemeket tartalmaz, amelyek egy adott csomaghoz érkeznek. Lásd: 3.8 "A" Go "menü" .

Elfog
    Ez a menü lehetővé teszi a felvételek elindítását és leállítását, valamint a rögzítési szűrők szerkesztését. Lásd a 3.9. Szakasz "A" Capture "menüpontot .

Elemez
    Ez a menü olyan elemeket tartalmaz, amelyek manipulálhatják a megjelenítési szűrőket, engedélyezhetik vagy letilthatják a protokollok disszekcióját, konfigurálhatják a felhasználó által megadott dekódolókat és követhetik a TCP adatfolyamot. Lásd: 3.10. Szakasz, "Az" Elemzés "menü" .
Statisztika
    Ez a menü különböző statisztikai ablakokat jelenít meg, beleértve a rögzített csomagok összefoglalását, a megjelenítési protokoll hierarchiát statisztikákat és még sok mást. Lásd: 3.11. Szakasz, "A" Statisztika "menü .

Telefonálás
    Ez a menü különböző telefonos statisztikákat tartalmazó elemeket tartalmaz, köztük médiaelemzést, folyamatdiagramokat, megjelenítési protokollszintű statisztikákat és még sok mást. Lásd: 3.12. Szakasz, "A telefonálás menü" .

Drótnélküli
    A menüben szereplő elemek a Bluetooth és IEEE 802.11 vezeték nélküli statisztikákat mutatják.

Eszközök
    Ez a menü különböző eszközöket kínál a Wiresharkban, például tűzfal ACL szabályok létrehozásával. Lásd: 3.13. Szakasz, "Az" Eszközök "menü" .

Segítség
    Ez a menü olyan elemeket tartalmaz, amelyek segítséget nyújtanak a felhasználónak, pl. Az alapvető segítséghez való hozzáféréshez, a különféle parancssori eszközök manuális oldalaihoz, az internetes oldalakhoz való online hozzáféréshez és a szokásos dialógushoz. Lásd: 3.15. Szakasz, "A" Súgó "menü .

A menüelemek mindegyikét részletesebben a következő szakaszokban ismertetjük.
[Tipp]    A gyorsbillentyűk megkönnyítik az életet

A leggyakoribb menüelemek billentyűparancsokkal rendelkeznek. Például megnyomhatja a Control (vagy a Strg német nyelven) és a K billentyűkombinációt, hogy megnyissa a "Capture Options" párbeszédablakot.

 Filtering while capturing

Wireshark uses the libpcap filter language for capture filters. A brief overview of the syntax follows. Complete documentation can be found in the pcap-filter man page. You can find a lot of Capture Filter examples at https://wiki.wireshark.org/CaptureFilters.

You enter the capture filter into the “Filter” field of the Wireshark “Capture Options” dialog box, as shown in Figure 4.3, “The “Capture Options” dialog box”.

A capture filter takes the form of a series of primitive expressions connected by conjunctions (and/or) and optionally preceded by not:

[not] primitive [and|or [not] primitive ...]

An example is shown in Example 4.1, “A capture filter for telnet that captures traffic to and from a particular host”.

Example 4.1. A capture filter for telnet that captures traffic to and from a particular host

A capture filter for telnet that captures traffic to and from a particular host

tcp port 23 and host 10.0.0.5


This example captures telnet traffic to and from the host 10.0.0.5, and shows how to use two primitives and the and conjunction. Another example is shown in Example 4.2, “Capturing all telnet traffic not from 10.0.0.5”, and shows how to capture all telnet traffic except that from 10.0.0.5.

Example 4.2. Capturing all telnet traffic not from 10.0.0.5

Capturing all telnet traffic not from 10.0.0.5

tcp port 23 and not src host 10.0.0.5


A primitive is simply one of the following: [src|dst] host <host>
    This primitive allows you to filter on a host IP address or name. You can optionally precede the primitive with the keyword src|dst to specify that you are only interested in source or destination addresses. If these are not present, packets where the specified address appears as either the source or the destination address will be selected.
ether [src|dst] host <ehost>
    This primitive allows you to filter on Ethernet host addresses. You can optionally include the keyword src|dst between the keywords ether and host to specify that you are only interested in source or destination addresses. If these are not present, packets where the specified address appears in either the source or destination address will be selected.
gateway host <host>
    This primitive allows you to filter on packets that used host as a gateway. That is, where the Ethernet source or destination was host but neither the source nor destination IP address was host.
[src|dst] net <net> [{mask <mask>}|{len <len>}]
    This primitive allows you to filter on network numbers. You can optionally precede this primitive with the keyword src|dst to specify that you are only interested in a source or destination network. If neither of these are present, packets will be selected that have the specified network in either the source or destination address. In addition, you can specify either the netmask or the CIDR prefix for the network if they are different from your own.
[tcp|udp] [src|dst] port <port>

    This primitive allows you to filter on TCP and UDP port numbers. You can optionally precede this primitive with the keywords src|dst and tcp|udp which allow you to specify that you are only interested in source or destination ports and TCP or UDP packets respectively. The keywords tcp|udp must appear before src|dst.

    If these are not specified, packets will be selected for both the TCP and UDP protocols and when the specified address appears in either the source or destination port field.
less|greater <length>
    This primitive allows you to filter on packets whose length was less than or equal to the specified length, or greater than or equal to the specified length, respectively.
ip|ether proto <protocol>
    This primitive allows you to filter on the specified protocol at either the Ethernet layer or the IP layer.
ether|ip broadcast|multicast
    This primitive allows you to filter on either Ethernet or IP broadcasts or multicasts.
<expr> relop <expr>
    This primitive allows you to create complex filter expressions that select bytes or ranges of bytes in packets. Please see the pcap-filter man page at http://www.tcpdump.org/manpages/pcap-filter.7.html for more details.

4.13.1. Automatic Remote Traffic Filtering

If Wireshark is running remotely (using e.g. SSH, an exported X11 window, a terminal server, …), the remote content has to be transported over the network, adding a lot of (usually unimportant) packets to the actually interesting traffic.

To avoid this, Wireshark tries to figure out if it’s remotely connected (by looking at some specific environment variables) and automatically creates a capture filter that matches aspects of the connection.

The following environment variables are analyzed:

SSH_CONNECTION (ssh)
    <remote IP> <remote port> <local IP> <local port>
SSH_CLIENT (ssh)
    <remote IP> <remote port> <local port>
REMOTEHOST (tcsh, others?)
    <remote name>
DISPLAY (x11)
    [remote name]:<display num>
SESSIONNAME (terminal server)
    <remote name>

On Windows it asks the operating system if it’s running in a Remote Desktop Services environment.
4.13.2. Stop the running capture

A running capture session will be stopped in one of the following ways:

    Using the Stop button from the “Capture Info” dialog box.

[Note]    Note

The “Capture Info” dialog box might be hidden if the “Hide capture info dialog” option is used.

    Using the Capture › Stop menu item.
    Using the Stop toolbar button.
    Pressing Ctrl+E.
    The capture will be automatically stopped if one of the Stop Conditions is met, e.g. the maximum amount of data was captured.

4.13.3. Restart a running capture

A running capture session can be restarted with the same capture options as the last time, this will remove all packets previously captured. This can be useful, if some uninteresting packets are captured and there’s no need to keep them.

Restart is a convenience function and equivalent to a capture stop following by an immediate capture start. A restart can be triggered in one of the following ways:

    Using the Capture › Restart menu item.
    Using the Restart toolbar button.


Hálózati forgalom

    A NetBalancer segítségével figyelheted hálózati aktivitásodat, igény esetén azok prioritását, hozzáférési szabályait is konfigurálni tudod. Látványos grafikonon értesülhetsz a maximális fel illetve letöltési sebességedről.
    NetBalancer 9.11.2
    Szerző 2017-12-15 | Nincs hozzászólás
    A NetBalancer segítségével figyelheted hálózati aktivitásodat, igény esetén azok prioritását, hozzáférési szabályait is konfigurálni tudod. Látványos grafikonon értesülhetsz a maximális fel illetve letöltési sebességedről.

 
    A Wireshark Portable nevű Free alkalmazás segítségével könnyebbé teheted a telepített víruskeresőd munkáját, neki köszönhetően az összes háttérbeli hálózati kapcsolat beazonosíthatóvá válik. Ez a hordozható változat.
    Wireshark Portable 2.4.3
    Szerző 2017-12-11 | Nincs hozzászólás
    A Wireshark Portable nevű Free alkalmazás segítségével könnyebbé teheted a telepített víruskeresőd munkáját, neki köszönhetően az összes háttérbeli hálózati kapcsolat beazonosíthatóvá válik. Ez a hordozható változat.

 
    A Wireshark egy mindenre kiterjedő professzionális hálózati analizátor szoftver ami képes minden a háttérben meghúzódó kapcsolat felkutatására és megjelenítésére. Biztonsági megközelítésből igen hasznos.
    Wireshark 2.4.3
    Szerző 2017-12-10 | Nincs hozzászólás
    A Wireshark egy mindenre kiterjedő professzionális hálózati analizátor szoftver ami képes minden a háttérben meghúzódó kapcsolat felkutatására és megjelenítésére. Biztonsági megközelítésből igen hasznos.

 
    A GlassWire egy hálózat figyelő, monitorozó, vele megtudhatod hogy melyik alkalmazásod hová csatlakozik, igény esetén azok blokkolhatóak. Ez a tűzfal program segít biztonságosabbá tenni a számítógépedet. Modern megjelenés rugalmas konfigurálhatóság jellemzi.
    GlassWire 1.2.121
    Szerző 2017-11-30 | Nincs hozzászólás
    A GlassWire egy hálózat figyelő, monitorozó, vele megtudhatod hogy melyik alkalmazásod hová csatlakozik, igény esetén azok blokkolhatóak. Ez a tűzfal program segít biztonságosabbá tenni a számítógépedet. Modern megjelenés rugalmas konfigurálhatóság jellemzi.

  
    Ingyen használható hálózati aktivitás figyelő program a Netmonitor. Megtudhatod a forgalmazott adatok mennyiségét, az aktuális sávszélességet. Letöltés a lap alján.
    Netmonitor 2.0.0
    Szerző 2014-01-22 | Nincs hozzászólás
    Ingyen használható hálózati aktivitás figyelő program a Netmonitor. Megtudhatod a forgalmazott adatok mennyiségét, az aktuális sávszélességet. Letöltés a lap alján.


     A Bitmeter egy általános hálózat adatforgalom figyelő program ami információt biztosít le illetve feltöltési sebességünk aktuális értékeiről.
    Bitmeter 3.5.10
    Szerző 2013-07-10 | Nincs hozzászólás
     A Bitmeter egy általános hálózat adatforgalom figyelő program ami információt biztosít le illetve feltöltési sebességünk aktuális értékeiről.

Port direct lezáráshoz tegyél fel helyettük egy Comodo IS Premiumot. Ebben van egy olyan, hogy láthatatlan port varázsló. Ezzel lezárhatod és elrejtheted az internet felől érkező portscan elől a gépedet. A tűzfal eseményeknél megnézheted milyen behatolási kísérletek történtek. Itt lehet bejövő, vagy kimenő kísérlet. Illetve azt is láthatod, hogy éppen milyen program generálta a riasztást. A kimenő kísérleteknél rendszerint a blokkolt programok szoktak riasztást generálni mint behatolási kísérlet.

A Comodo telepítése előtt ki kell kapcsolni a Windows beépített tűzfalát a szolgáltatások között, valamint a Defendert is.

Azt a folyamatot, amikor az IP-csomagok esetén módosítjuk a forrás IP-címet, IP address spoofingnak vagy IP spoofingnak hívjuk. Ennek célja lehet a csomagot küldő személy azonosságának elrejtése, vagy egy másik számítógépes rendszer megszemélyesítése.
Az adatok küldésének alapvető eljárása az internetes hálózaton, és más számítógépes hálózatok között az Internet Protocol. Az IP csomagok fejléce egyebek közt tartalmazza a forrás numerikus címét és a forrás címét. Normál esetben erről a címről küldték a csomagot. Ha a fejléc megváltoztatásával, valaki egy hamis címet ad meg, akkor úgy tűnhet mintha egy másik gépről érkezett volna a csomag. A célgép fogadja a módosított csomagot és egy választ küld az abban megadott IP (tehát a módosított, valótlan) címre, ami azt jelenti, hogy ezt a rendszert főleg akkor alkalmazzák amikor az esetleges támadó nem törődik a célgépről jövő válassszal, vagy valamilyen más módon jut a válaszhoz. A hackerek általában megtalálják a lehetőséget hogy megtekintsék vagy átirányítsák a választ a saját gépükre. A leggyakoribb eset, amikor a támadó módosított címe ugyan azon a LAN-on vagy WAN-on van. Ennél fogva a támadóknak hozzáférése van a gépekhez.

Az IP spoofingot leggyakrabban a szolgáltatásmegtagadással járó támadások (DoS, DDoS) esetén használják. Ebben az esetben a cél az, hogy kezelhetetlenül nagy hálózati forgalmat hozzanak létre, ekkor a támadó természetesen nem törődik az általa küldött csomagokra érkező válasszal, tehát az IP spoofing pont megfelel erre a célra. Ennek a módszernek számos előnye van. Először is nehéz kiszűrni. úgy tűnik mintha minden csomag más címről érkezett volna, így a támadó címe rejtve marad. Azok a szolgáltatásblokkoló támadások, amik IP spoofingot használnak az egész IP területről véletlenszerűen választanak címet, ám az összetettebb spoofing rendszerek el tudják kerülni az elérhetetlen vagy a router által nem használt címeket. A botnetek hatékonyságából kifolyólag (gyorsabb, automatikus) az IP spoofing mára már kezdi elveszíteni jelentőségét a szolgáltatásmegtagadással járó támadások körében, de a hackereknek mint lehetséges eszköz (a spoofing) mindmáig rendelkezésükre áll. A DoS elleni védelmek, amik a forrás IP érvényességén alapszanak, problémába ütközhetnek a módosított IP-vel rendelkező csomagok esetében. A Backscatter (az áldozat gépének módosított címekre küldött válasza) segítségévél megállapíthatjuk a támadó spoofing használatának hatékonyságát. (Annál hatékonyabb a spoofing, minél szélesebb intervallumból használ IP-címeket)

Az IP spoofing olyan esetben is használható, amikor a behatolók hatástalanítani akarják az olyan hálózatvédelmi folyamatokat, mint az IP-cím alapján történő azonosítás. Ez a fajta támadás eléggé nehéz távoli hálózatok ellen, mivel ez több ezer csomag módosítását jelentené egyszerre. Nagyon hatékony viszont „bizalmas” hálózaton belüli gépek közt. Például, mindennapos dolog bizonyos cégeknél, hogy a belső rendszerek (gépek) „megbíznak” egymásban, így a kezelőnek a bejelentkezéshez nincs szüksége felhasználónévre vagy jelszóra, feltéve hogy csatlakoznak egy másik gépről a belső hálózatra (és már be vannak jelentkezve). Az IP spoofingot egy ilyen hálózaton belül használva a támadó a célgéphez könnyedén hozzáférhet, hitelesítés nélkül.
Az IP spoofing-támadások ellen az egyik használható módszer a packet filtering. A gatewayt az internet felé általában ingress filteringgel védik, ami azt jelenti, hogy a hálózaton kívülről jövő csomagot csak akkor hagyja jóvá a szolgáltató, ha az megbízható, hálózaton belüli címről érkezik. Ez meggátolja, hogy a hálózaton kívülről spoofinggal hozzáférjenek egy hálózaton belüli géphez. Ideális esetben a gateway rendelkezik egress filteringgel is a kimenő csomagokra vonatkozóan, ami blokkolja az olyan kimenő csomagokat, amiknek a forráscíme nem található a hálózaton belül. Ez meggátolja a hálózaton belüli támadót abban hogy a hálózaton kívüli gép ellen spoofing jellegű műveletet hajtson végre.
A spoofing kifejezést néha az emailek és a netnewsok fejlécének meghamisítására is értik. A meghamisított headerek arra jók, hogy megtéveszék a címzettet (levél esetén) vagy az internetes alkalmazásokat az üzenet forrását illetően (netnews esetén). Ez a spam és sporg (meghamisított fejlécű hatalmas mennyiségű hamis cikk küldése a Netnewsra) használók gyakori módszere, hogy ne lehessen őket nyomon követni. Ezenkívül még ajánlott olyan hálózati protokollok és szolgáltatások tervezése, melyeknél nem csak a forrás IP valódiságára fog alapulni a védelem.

Néhány upper layer protocol biztosítani tudja magának a védelmet az IP spoofing ellen. Például a Transmission Control Protocol (TCP) számsorozatokat rendel távoli gépekhez, hogy meggyőződhessen arról, hogy egy kívülről érkező csomag biztosan az elfogadott hálózatból származik-e. Ezek a szekvenciális számok a csatlakozást követően a válaszcsomagban érkeznek, így mivel a támadó általában nem látja a válaszcsomagokat muszáj a számsort kitalálnia, hogy csatlakozzon a hálózathoz. A régebbi operációs rendszerek és hálózati eszközök gyenge képességeiből kifolyólag némely esetben ezek a TCP-számsorok könnyen kitalálhatóak.

A Wireshark program használata
A Wireshark (régi nevén Ethereal) protokoll analizátor program, amelyet a hálózat adminisztrátorok a hálózati hibák behatárolására, a forgalom analizálására használnak. A labor során ennek a programnak a segítségével megvizsgáljuk néhány hálózati protokoll pontos működését. Lehetőség nyílik arra, hogy az elméleti órákon tanultakat a gyakorlatban ellenőrizhessük.
A program elindítás után az alkalmazás fő ablakát láthatjuk magunk előtt. Ezen ablak menüsorából elsősorban a Capture és az Analyze lenyíló menük elemeit használjuk. A Capture menü tartalmazza a hálózati csomagok monitorozásának beállításait és a monitorozás elindítását. Az Analyze menü a monitorozás során vett csomagok értelmezésének beállításait tartalmazza.
Egyszerű monitorozás
Amennyiben a számítógépünkön nem futattunk semmilyen hálózaton forgalmazó programot, akkor is gépünk folyamatosan kap hálózati csomagokat. Ezek broadcast csomagok, többnyire ARP címlekérések, illetve ha MS Windowst használó gépek is vannak a hálózaton, akkor SMB csomagok. A monitorozás kipróbálására ezeket a csomagokat fogjuk megvizsgálni.
A monitorozás elindításához válasszuk ki a Capture menü Options elemét. Ekkor a
következő ablakot láthatjuk:



A dialógusablak Interface mezőjében megadhatjuk a vizsgálandó hálózati interfészt. Az eth0 interfész a rendszerek első ethernet interfészét jelenti. A vizsgálataink folyamán ennek az interfésznek a forgalmát figyeljük.
A Capture Filter mezőben szűrési feltételeket állíthatunk be, amellyel a hálózati interfészen átvitt számos csomag közül kiválaszthatjuk azt a halmazt, amely számunkra érdekes. Helyes megválasztásával nagyban megkönnyíthetjük a munkánkat.
Az esetek többségében csak ezt a két paramétert állítjuk, azonban érdekesek lehetnek a Stop Capture beállítások, amellyel a monitorozás végének feltételét adhatjuk meg, vagy a Display Options csoporton belüli Update list of packets in real time opció, amely jelentős terhelést jelenthet, azonban lehetővé teszi a beérkező csomagok folyamatos követését. Ezen kívül a Name Resolution csoportban található opciókkal megadhatjuk, hogy mely címeket fejtse vissza a program.
A paraméterek beállítása után a Start gombbal indíthatjuk a monitorozást. A megjelenő dialógus ablakon szám szerint követhetjük az elkapott csomagok számát. Amennyiben szeretnénk a monitorozást leállítani a Stop gombbal tehetjük meg.
A monitorozás leállítása után a program főablaka a következő képen néz ki:


A felület 3 részre tagolódik. A felső részben egy listát találhatunk, amely az elkapott csomagokat tartalmazza. Ha ebből a listából kiválasztunk egy csomagot. akkor az alsó részben láthatjuk a bináris tartalmát, míg a középső rész értelmezett formában mutatja. A vizsgálódásaink során elsősorban a középső részt használjuk.
A középső mező a kiválasztott csomag által tartalmazott keretek listáját mutatja. Ahogy a
csomag az egyes hálózati rétegeken keresztül haladva felépül, minden réteg egy új keretet
alkot belőle. Minden keret rendelkezik néhány fejléc mezővel és egy adat résszel. A lista elemeit lenyitva a fejléc mezők tartalmát tekinthetjük meg. Példaként a képen egy ARP kérés csomag felépítését láthatjuk. A csomagban található egy Ethernet keret, amely tartalmazza a forrás MAC címét, míg a cél MAC cím helyén egy broadcast cím található. Az Ethernet keret tartalmaz egy ARP keretet, amelynek mezői megadják a forrás MAC címet, IP címet, illetve a cél IP címét. A cél MAC címe a kérdés így annak értéke implementációfüggő, esetünkben a broadcast cím.
Az előzőekben ismertetett módon bármikor megismételhetjük a monitorozást. Ilyenkor a program a monitorozás elindításakor felteszi a kérdést, hogy a korábban vett csomagokat lementse-e, vagy törölje.
A TCP kommunikáció követése
A TCP protokoll egy stream jellegű kommunikációt tesz lehetővé. Ez a kommunikáció a két program között, mint egy csővezeték funkcionál, amelyen mindkét irányba közlekedhetnek protokoll üzenetek vagy adatok. Ugyanakkor a hálózati modell alsóbb rétegeiben  ez  a  kommunikáció  is  csomagokra  tördelve  jelenik  meg,  az  üzenetek csomagok láncolatában továbbítódnak. Ha az előzőekben ismertetett módon egy TCP kommunikáció csomagjait monitorozzuk le, akkor azt az ablak felső részében, mint csomagok listája láthatjuk. Ezeket a csomagokat egyenként megvizsgálhatjuk, azonban ha az alkalmazási réteg protokoll üzeneteire vagyunk kíváncsiak, akkor célszerű a csomagokat összefűzni.
A   TCP   kommunikáció   összefűzésére   az   Analyze   menü   Follow   TCP   Stream menüpontját használhatjuk. Ehhez ki kell választanunk a TCP kapcsolat egy csomagját, majd  aktiválnunk  a  menüpontot.  Ezt  a  menüpontot  úgy  is  elérhetjük,  ha  az  adott csomagot kiválasztva az egér jobb gombjával kattintunk.
A  megjelenő  ablakban  olvashatjuk  a  két  oldal  üzeneteit.  Az  egyes  irányokat  színek
különböztetik meg.
Megfigyelhetjük, hogy a menüpont kiválasztása módosítja a Filter opció értékét. Ha újra az összes vett csomagot szeretnénk látni, akkor a Clear gombbal törölhetjük a szűrést.
A mérési feladatok megvalósításához szükség van a Wireshark és egy terminál program használatára.
ARP címlekérés vizsgálata
A mérési feladat megvalósításához a Wireshark programban a következő Capture Filter
beállítással indítsuk el a monitorozást: „arp host <saját ip cím>”
A terminálban futtassuk le a ping programot a mérésvezető által megadott IP címmel. Azonban mielőtt ezt megtennénk, ellenőrizzük az arp paranccsal, hogy az adott IP cím nem szerepel-e már az ARP gyorsító tárban. Amennyiben szerepel, akkor meg kell várnunk, amíg kiürül a gyorsító tár, különben a vizsgálódásunk eredménytelen lesz.
A  ping  parancs  kiadása  után  állítsuk  le  a  monitorozást  és  elemezzük  a  kapott csomagokat!


Ping vizsgálata
A mérési feladat megvalósításához a Wireshark programban a következő Capture Filter
beállítással indítsuk el a monitorozást: „icmp”
A terminálban futtassuk le a ping programot a mérésvezető által megadott IP címmel.
A  ping  parancs  kiadása  után  állítsuk  le  a  monitorozást  és  elemezzük  a  kapott csomagokat!
Traceroute vizsgálata
A mérési feladat megvalósításához a Wireshark programban a következő Capture Filter
beállítással indítsuk el a monitorozást: „not broadcast and not multicast and not arp”
A terminálban futtassuk le a traceroute programot a mérésvezető által megadott  IP
címmel a következő módon: traceroute –n –q 1 <ip cím>
A  miután  véget  ért  a  parancs  állítsuk  le  a  monitorozást  és  elemezzük  a  kapott csomagokat!
TCP kapcsolat felépülése és lebontása
A mérési feladat megvalósításához a Wireshark programban a következő Capture Filter
beállítással indítsuk el a monitorozást: „tcp port 80”
A terminálban építsünk fel, majd bontsunk le egy TCP kapcsolatot a mérésvezető által
megadott web szerverrel a következő parancsokkal:
telnet gépnév 80
<CTRL+]>
quit
Miután véget ért a parancs állítsuk le a monitorozást és elemezzük a kapott csomagokat!
HTTP protokoll vizsgálata
A mérési feladat megvalósításához a Wireshark programban a következő Capture Filter
beállítással indítsuk el a monitorozást: „tcp port 80”
Nyissunk meg egy web böngészőt és hozzuk be a mérésvezető által megadott weboldalt! A miután véget ért a weboldal betöltése állítsuk le a monitorozást és nézzük meg a kapott csomagokat.   A   TCP   kommunikáció   egy   csomagját   kiválasztva   fűzzük   össze   a kommunikáció csomagjait a Follow TCP Stream menüpont használatával.
A megjelenő ablakban vizsgáljuk meg a kliens és a szerver üzeneteti!
Mérési feladatok

1.   A kérés csomag Ethernet kerete milyen cél címet tartalmaz és miért?
2.   A kérés csomag ARP keretében milyen HW és IP címeket találunk?
3.   A válasz csomag Ethernet kerete milyen cél címet tartalmaz?
4.   A válasz csomag ARP keretében milyen HW és IP címeket találunk?
5.   Melyik   ICMP  csomag  típust  használja  a  ping  program  a  kommunikáció
ellenőrzésére?
6.   A távoli gép milyen csomaggal jelzi a kommunikációs kapcsolat meglétét?
7.   Milyen protokoll csomagokat küld a program a távoli gépnek?
8.   Hogyan változik a kiküldött csomagok „Time to live” értéke?
9.   Honnan és milyen protokoll üzeneteket kapunk vissza?
10. Hogyan  deríti  ki  ez  a  mechanizmus  a  kommunikációs  vonalban  lévő  egyes
csomópontok címét?
11. Vizsgálja meg a gépünk által a szervernek küldött első csomag, a szerver válasz csomagjának,  majd  a  gépünk  viszont  válasz  csomagjának  TCP  Flags  mező értékét! Hogyan változnak a Flag értékek a kapcsolat felépülése során?
12. Vizsgálja meg az utolsó három csomag (a kapcsolat lebontás csomagjainak) TCP Flags értékét! Hogyan változnak a Flag értékek a kapcsolat lebontása során?
13. Vizsgálja meg a TCP Sequence number és Acknowledgement number értékek változását a kapcsolat során! Milyen szabály szerint változnak ezek az értékek?
14. Keresse meg a kliens kérésének első sorát!
15. Keresse meg a szerver válaszának első sorát!
16. Keresse meg a web oldal HTML forrását a szerver válaszában! (A HTML forrás
azonosításában segíthet, ha a web böngészőben lekéri a web oldal forrását.)
17. Feladatok érvényesek Ipv4-re és Ipv6-ra.

Nincsenek megjegyzések:

Megjegyzés küldése