Аналіз протоколу TCP

ВИКОНАТИ

39 Візьміть мережевий трафік при зверненні до стартовій сторінці сервера wwwetherealcom Для відображення в буфері кадрів з протоколом TCP застосуєте відповідний вираз фільтрації

У буфері захоплення у вас знаходяться кадри, що належать обміну клиен-та з сервером по протоколу HTTP, але в рамках поточного вправи при накладної протокол нас не цікавить, тому по аналогії з вправою

№ 21 відключіть аналіз протоколу HTTP Частковий панелей зі списком кад-

рів після відключення аналізу протоколу FTP показаний на рис 19:

Рис 19 Відображення інформації про протокол TCP

Зверніть увагу, що тепер по кожному захопленому кадру прива-

диться інформація, що стосується тільки протоколу TCP Наприклад, для пакета

№ 4 (рис 19) запис «1061> ftp »означає порти джерела і призначення,

«[PSH, ACK]» – встановлені біти прапорів, «Seq = 1» – послідовний номер, «Ack = 1» – номер підтвердження, «Win = 16560» – розмір приймального вікна, «Len = 398» – розмір пересилається блоку даних

Кожна TCP-сесія (причому при зверненні до одній сторінці сесій може бути декілька) Починається з обміну трьома TCP-сегментами з уста-Постановою битами SYN, SYN-ACK і ACK На рис 19 можна бачити відкритому- нення трьох сесій TCP (кадри з номерами 1, 2, 3 9, 14, 15 30, 31, 32 відпо-венно)

ВИКОНАТИ

40 Визначте кількість сеансів TCP в буфері захоплених пакетів

На рис 19 також видно, що сеанси TCP починаються з відносних послідовних номерів, рівних нулю Для того щоб відобразити реаль-ні послідовні номери, обрані вузлами при взаємодії, необ-

хідно виконати команду меню Edit Preferences, В який зявився діалогу-

говом вікні (фрагмент діалогового вікна см на рис 110) вибрати протокол

TCP і прибрати маркер в рядку параметра «Relative sequence numbers and win-dow scaling»

Рис 110 Параметри аналізу протоколу TCP

ВИКОНАТИ

41 Відобразите реальні послідовні номери в рамках сеансів TCP

42 Проаналізуйте третій кадр в рамках якого-небудь сеансу TCP і дайте відповідь на наступні питання:

a Які порти використовуються клієнтом і сервером

b Який початковий послідовний номер обраний клієнтом

c Чи присутній в цьому кадрі поле підтвердження, яке його значення

ня

d Яка довжина заголовка TCP, чи присутні дані в цьому кадрі

e Який біт прапорів встановлений і для чого він служить

f Які додаткові опції TCP передаються клієнтом в цьому кад-

ре

g Збережіть кадр і виділіть різним кольором поля заголовка TCP,

пояснивши їх призначення

Важлива можливість програми Ethereal з аналізу TCP трафіка

ка полягає в тому, що за допомогою команди меню Statistics Conversations

можна швидко визначити всі сеанси, наявні в буфері У діалоговому

вікні для відображення сеансів TCP необхідно вибрати закладку TCP (рис

111)

Рис 111 Статистика по сеансах TCP

ВИКОНАТИ

43 Відобразите статистику сеансів TCP

44 Виберіть перший сеанс і за допомогою контекстного меню Apply as Filter 

Selected A&lt—&gtB відображуватимете у буфері кадри, що належать цьому се-

ансу

Для того щоб швидко переглянути передані дані в рамках то-

го чи іншого сеансу, використовують команду меню Analyze ⇒ Follow TCP Stream

Після виконання команди на екрані зявиться діалогове вікно, в якому

різними кольорами будуть відображені як запити клієнта, так і відповіді сер-

віра (рис 112)

Рис 112 Відновлений сеанс TCP

Кнопка «Entire conversation» із списком дозволяє ото-Бразил обидві сторони, що у обміні, або тільки одну з них Діало-говое вікно дозволяє відобразити дані в різних форматах (ASCII, EBCDIC, Hex Dump, C Arrays, Raw) і зберегти їх у файл При виявленні в сеансі кадрів з яким-небудь файлом можна відобразити лише потік відповідного напряму, вибрати необхідний формат і зберегти його на диск

ВИКОНАТИ

45 Визначте, що передавалося в рамках захоплених вами сеансів TCP

Джерело: Андрончик А Н, Богданов В В, Домуховскій Н А, Коллеров А С, Синадський Н І, Хорьков Д А, Щербаков М Ю, Захист інформації в компютерних мережах Практичний курс

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*