Единственный в мире Музей Смайликов
Самая яркая достопримечательность Крыма
Скачать 0.65 Mb.
Шаг 3: Изучите кадры Ethernet в данных, захваченных программой Wireshark.
Показанный ниже результат захвата данных в программе Wireshark отображает пакеты, которые были сгенерированы с помощью команды ping, отправленной с узла ПК на шлюз по умолчанию. В программе Wireshark включен фильтр для просмотра только ARP- и ICMP-протоколов. Сеанс начинается с ARP-запроса МАС-адреса маршрутизатора шлюза, за которым следуют четыре эхо-запроса и ответа.
Часть 2: Захват и анализ кадров Ethernet с помощью программы Wireshark
В части 2 вы воспользуетесь программой Wireshark для захвата локальных и удаленных кадров
Ethernet. Затем вы изучите сведения, содержащиеся в полях заголовков кадров.
Шаг 1: Определите IP-адрес шлюза по умолчанию на своем ПК.
Wireshark Not Showing Interfaces 100% Fix.
Откройте окно командной строки и введите ipconfig .
1. Запишите в отчет IP-адрес шлюза ПК по умолчанию. (подтвердить скриншотом).
Шаг 2: Начните захват трафика на сетевой интерфейсной плате своего ПК.
a. Закройте программу Wireshark. Не нужно сохранять собранные данные. b. Откройте программу Wireshark и начните захват данных. c. Понаблюдайте за трафиком в окне списка пакетов.
Шаг 3: С помощью фильтров программы Wireshark отобразите на экране только трафик
ICMP.
Чтобы скрыть ненужный трафик, установите соответствующий фильтр Wireshark. Фильтр не блокирует захват ненужных данных, а лишь отбирает то, что нужно показывать на экране. На данный момент разрешено отображение только трафика ICMP.
В поле Filter (Фильтр) программы Wireshark введите icmp. При правильной настройке фильтра поле должно стать зеленым. Если поле стало зеленым, нажмите кнопку Apply (Применить) (кнопка со стрелкой вправо), чтобы применить фильтр.
Шаг 4: Из окна командной строки отправьте эхо-запрос на шлюз ПК по умолчанию.
Из окна командной строки отправьте эхо-запрос на шлюз по умолчанию, используя IP-адрес, записанный в шаге 1.
Шаг 5: Остановите захват трафика на сетевой плате.
Нажмите значок Stop Capture (Остановить захват), чтобы остановить захват трафика.
Шаг 6: Изучите первый эхо-запрос в программе Wireshark.
Главное окно программы Wireshark состоит из трех разделов: панель списка пакетов (вверху), панель Packet Details (Сведения о пакете) (посередине) и панель Packet Bytes (Последовательность байтов пакета) (внизу). Если вы правильно выбрали интерфейс для захвата пакетов на шаге 3, программа
Wireshark отобразит данные протокола ICMP на панели списка пакетов, как показано в приведенном ниже примере.
a. На панели списка пакетов (верхний раздел) выберите первый указанный кадр. В столбце Info
(Информация) появится значение Echo (ping) request (Эхо-запрос с помощью команды ping). Строка станет синей. b. Изучите первую строку на панели сведений о пакете в средней части экрана. В этой строке указывается длина кадра (в данном примере — 74 байта). c. Вторая строка на панели сведений о пакете показывает, что это кадр Ethernet II. Также отображаются MAC-адреса источника и назначения.
Основы Wireshark. Настройка, захват и расшифровка трафика
Запишите в отчет MAC-адрес сетевой интерфейсной платы этого ПК.
Запишите в отчет MAC-адрес шлюза по умолчанию. d. Чтобы получить больше информации о кадре Ethernet II, нажмите на значок плюса («+») в начале второй строки. Обратите внимание на то, что значок плюса при этом изменится на значок минуса («-»).
Запишите в отчет отображающийся тип кадра. e. Последние две строки среднего раздела содержат информацию о поле данных кадра. Обратите внимание на то, что данные содержат IPv4-адреса источника и назначения.
Запишите в отчет IP-адрес источника.
Запишите в отчет IP-адрес назначения. f. Для того чтобы выделить эту часть кадра (в шестнадцатеричной системе и в кодировке ASCII) на панели Packet Bytes (Последовательность байтов пакета) (нижний раздел), щелкните по любой строке в среднем разделе. Щелкните по строке Internet Control Message Protocol (Протокол ICMP) в среднем разделе и посмотрите, что будет выделено на панели Packet Bytes (Последовательность байтов пакета).
Какое слово образуют последние два выделенных октета? g. Нажмите на следующий кадр в верхнем разделе и изучите кадр эхо-ответа. Обратите внимание на то, что МАС-адреса источника и назначения поменялись местами, поскольку маршрутизатор, который служит шлюзом по умолчанию, отправил этот кадр в ответ на первый эхо-запрос.
Какое устройство и MAC-адрес отображаются в качестве адреса назначения? Запишите в отчет.
Источник: topuch.com
Захват пакетов в программе WireShark. Исследование на соответствие формату кадров IEEE 802.3(3.1.1)
Работа велась в самой популярной программе-сниффера WireShark. Она была нужна для того, захватить и сохранить пакет Ethernet для дальнейшего тестирования разрабатываемого коммутатора.
Захваченный пакет первым делом проверялся на соответствие формату кадров IEEE 802.3. Окно работы программы представлено на рисунке 1.1.
Рисунок 1.1 – Рабочее окно WireShark
Как видно на рисунке 1.1, в разделе Ethernet II есть следующие подразделы:
— Destination: c8:3a:35:dd:3d:50 (hexadecimal);
— Source: 80:fa:5b:12:fe:ab (hexadecimal);
— Type: 0800 (hexadecimal).
Эти подразделы соответствуют полям кадра DA, SA, Type/length. Число ‘h0800 обозначает протокол IPv4, а, например, число ‘h0806 обозначало бы протокол разрешения адресов (ARP).
Остальные подразделы IPv4, Transmission Control Protocol являются полем Data.
После анализа пакета в WireShark захваченный пакет был сохранён в формате.pcap.
Для работы с файлами WireShark в формате.pcap руководитель практики предоставил уже готовые модуль “pcap2gmii” и фунцию для подсчёта crc32. Модуль “pcap2gmii” открывал пакет, отсылал на выход стандартные преамбулу и делиметр, затем посылая содержимое файла формата.pcap однобайтными словами, параллельно используя эти данные для подсчёта контрольной суммы. После того, как был считан конец файла, то на выход идёт контрольная сумма.
На рисунке 1.2 продемонстрирована симуляция модуля приёма кадра в ModelSim. Как видно, при состоянии автомата (o_state) ‘b010 на выходе o_data ‘hd5 – что соответсвует делиметру. А при состояниях ‘b011, ‘b100, ‘b101 – те же самые данные, представленные в окне WireShark в подразделах destination, source, type.
Рисунок 1.2 – Работа приёмника кадра Ethernet
Разработка коммутатора
2.1 Формат пакета Ethernet 802.3:
Практически каждой сетевой технологии (вне зависимости от её уровня) соответствует единица передачи данных. Такой единицей данных, передаваемых в сети Ethernet, является кадр.
Стандарт 802.3 определяет семь полей заголовка:
1. Поле преамбулы, состоящее из семи синхронизирующих байтов (каждый байт содержит одну и ту же последовательность битов – ‘b10101010). Преамбула используется для того, чтобы дать время и возможность схемам приемопередатчиков прийти в устойчивый синхронизм с принимаемым тактовыми сигналами;
2. Начальный ограничитель кадра (Start Frame Delimiter – SFD) состоит из одного байта с набором битов ‘b10101011. Данное поле указывает на предстоящий прием кадра.
3. Адрес назначения (Destination Address field) – состоит из 6 байт и содержит физический адрес устройства в сети, которому адресован данный кадр. Значение этого поля может быть уникальным или нет (широковещательный – предназначен для всех устройств сети).
4. Адрес источник (Source address field) – состоит из 6 байт и содержит физический адрес устройства в сети, которое отправило данный кадр. Первый бит адреса отправителя всегда равен нулю.
5. Поле длины/типа протокола следующего уровня (Length/Type field) может содержать соответственно длину или тип кадра в зависимости от используемого формата кадра. В нашем случае данное поле захваченных пакетов (в программе Wireshark) указывало на тип протокола верхнего уровня, которому принадлежит данный кадр. Состоит из двух байтов.
6. Поле данных (Data field) – содержит от 48 до 1500 байт. Если длина поля меньше 48 байт, то используется поле заполнения, которое и обеспечивает определенную минимальную длину поля данных (48 байт). Это обеспечивает корректную работу механизма обнаружения коллизий. Если длина поля данных достаточна, то поле заполнения в кадре не появляется.
7. Поле контрольной суммы (FCS field) – 4 байта, содержащие значение, которое вычисляется по определенному алгоритму (алгоритм циклического избыточного кода с использованием полинома CRC32 (‘h04C11DB7)), подсчет начинается с поля Destination Address и заканчивается последним байтом поля данных. Данное поле предназначено для проверки корректности передачи данных, оно формируется на устройстве-отправителе пакета, а станция-получатель при приеме пакета выполняет собственно вычисление контрольной суммы для этого кадра по известному алгоритму, однако вычисление теперь заканчивается после прохождения последнего байта поля контрольной суммы. Таким образом при получении фиксированного заранее известного остатка (C704DD7B) можно сделать вывод о том, что пакет передан без ошибок.
2.2 Понятие контрольной суммы, виды, алгоритмы. Cyclic redundancy check (crc). CRC-32-IEEE 802.3 (0x04C11DB7)
Контрольная сумма – некоторое значение, рассчитанное по набору данных путём применения определённого алгоритма и используемое для проверки целостности данных при их передаче или хранении. Несмотря на своё название, контрольная сумма не обязательно вычисляется путём суммирования.
Популярность использования контрольных сумм для проверки целостности данных обусловлена тем, что подобная проверка просто реализуема в двоичном цифровом оборудовании, легко анализируется и хорошо подходит для обнаружения общих ошибок, вызванных наличием шума в каналах передачи данных.
Среди простых можно выделить проверку общей чётности (бит четности) и код Хэмминга, среди наиболее распространенными алгоритмами в данное время являются CRC (циклический избыточный код), MD5 (используется на только для проверки целостности данных, но и позволяет получить довольно надежный идентификатор файла) и SHA-1 (алгоритм криптографического хеширования).
Для подсчета контрольной суммы поля FSM кадра Ethernet используется алгоритм CRC32. Данный алгоритм базируется на свойствах деления с остатком двоичных многочленов. Существует несколько вариантов реализации данного алгоритма:
1. Классический (побитовый алгоритм) реализуется с помощью последовательного итерационного сдвига данных в регистре с обратной связью на один бит. Недостатком является низкая скорость работы;
2. Табличный алгоритм, которые при расчете контрольной суммы использует таблицу с предвычисленными значениями на основе образующего полинома. При использовании данного метода используется большой объем памяти, поскольку приходится хранить предвычисленные данные;
3. Матричный алгоритм работает также, как и табличный, за исключением того, что вместо таблицы используется операция умножения выдвинутого вектора на матрицу по модулю 2.
В работе решено было использовать классический алгоритм с выдвижением сразу одного байта. Таким образом вычисление происходит по приходу нового байта данных: пришел байт – пересчитали контрольную сумму. Важно отметить, что алгоритм имеет некоторые входные параметры, которые влияют на результат работы алгоритма, например, значение используемого полинома, начальная инициализация CRC, инверсия конечного результата и инверсия порядка бит в байте и прочее.
Для подсчета контрольной суммы в протоколе Ethernet необходимо начальное значение для регистра, хранящего текущую контрольную сумму как 0xFFFFFFFF. Принятые байты необходимо передавать развернутым, ведь старший бит – на самом деле младший в байте и наоборот. Вычисленная контрольная сумма разворачивается и инвертируется.
2.3 Однопортоваядвухпортовая память
Стандартное однопортовое ОЗУ имеет по одной шине адреса, данных и управления и в каждый момент времени обеспечивает доступ к ячейке памяти только одному устройству. В отличие от стандартного в n-портовом ОЗУ имеется n независимых наборов шин адреса, данных и управления, гарантирующий одновременный и независимый доступ к ОЗУ n устройствам.
В двухпортовой памяти имеются два набора адресных, информационных и управляющих сигнальных шин, каждый из которых обеспечивает доступ к общему массиву запоминающих элементов.
Другими словами, одновременное выполнение операций чтения и записи в однопортовая памяти невозможно. А к двухпортовой могут сразу обращаться два устройства, так как она обладает способностью одновременного выполнения операций чтения и записи данных.
Так как двухпортовая память обеспечивает гораздо лучшее быстродействие, то было решено реализовывать этот вид запоминающих устройств.
Источник: cyberpedia.su
Русские Блоги
Wireshark — очень популярное программное обеспечение для анализа сетевых пакетов с очень мощными функциями. Он может перехватывать различные сетевые пакеты и отображать подробную информацию о сетевых пакетах. Люди, которые используют wirehark, должны понимать сетевой протокол, иначе они не поймут wirehark.
По соображениям безопасности wirehark может только просматривать пакеты, но не может изменять их содержимое или отправлять пакеты.
Wireshark может получать HTTP и HTTPS, но не может расшифровывать HTTPS, поэтому wirehark не может понять содержимое HTTPS. Таким образом, если вы имеете дело с HTTP, HTTPS или используете Fiddler, другие протоколы, такие как TCP и UDP, используют wirehark.
Просто откройте сумку
- Фрейм: Обзор фрейма данных физического уровня.
- Ethernet II: информация заголовка кадра Ethernet канального уровня.
- Интернет-протокол версии 4: информация заголовка IP-пакета Интернет-уровня.
- Протокол управления передачей: информация заголовка сегмента данных уровня передачи, здесь — протокол TCP.
Протокол пользовательских дейтаграмм: протокол UDP. - Протокол передачи гипертекста: информация прикладного уровня, вот протокол HTTP
Слойный анализ
1. Кадр физического уровня
-Frame 5: 66 bytes on wire (528 bits), 66 захвачено байтов (528 bits) on interface 0 /Frame / 5, другая сторона отправляет 66 байтов и фактически получает 66 байтов -Interface id: 0 (DeviceNPF_37239901-4A63-419C-9693-97957A8232CD>) // Идентификатор интерфейса равен 0 -Encapsulation type: Ethernet (1) //Тип упаковки -Arrival Time: Jul 5, 2017 15:14:31.865685000 // Дата и время захвата (китайское стандартное время) -[Time shift for this packet: 0.000000000 seconds] -Epoch Time: 1499238871.865685000 seconds -[Time delta from previous captured frame: 0.
006861000 seconds] // Временной интервал с предыдущим пакетом -[Time delta from previous displayed frame: 0.006861000 seconds] -[Time since reference or first frame: 0.
613985000 seconds] // # Интервал времени между этим пакетом и первым кадром -Frame Number: 5 // Номер кадра -Frame Length: 66 bytes (528 bits) // Длина кадра -Capture Length: 66 bytes (528 bits) // Длина байта захвата -[Frame is marked: False] // Был отмечен -[Frame is ignored: False] // Игнорируется -[Protocols in frame: eth:ethertype:ip:tcp] // Иерархия протоколов, заключенная во фрейм -[Coloring Rule Name: HTTP] // Раскрашивание отмеченного названия договора -[Coloring Rule String: http || tcp.port == 80 || http2] // Строка отображения правила окраски
2. Информация заголовка кадра Ethernet на канальном уровне.
-Ethernet II, Src: Tp-LinkT_f5:3e:62 (c0:61:18:f5:3e:62), Dst: IntelCor_09:65:a5 (58:fb:84:09:65:a5) — Destination: IntelCor_09:65:a5 (58:fb:84:09:65:a5) // MAC-адрес назначения — Source: Tp-LinkT_f5:3e:62 (c0:61:18:f5:3e:62) // Исходный MAC-адрес (MAC-адрес моего компьютера) — Type: IPv4 (0x0800) // 0x0800 означает использование протокола IP
3. Информация заголовка IP-пакета интернет-уровня
Internet Protocol Version 4, Src: 192.168.2.112, Dst: 116.211.185.142 0100 . = Версия: 4 // протокол IPV4 . 0101 = Длина заголовка: 20 байтов (5) // Длина заголовка -Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT) // Сфера дифференцированных услуг -Total Length: 52 // Общая длина IP-пакета -Identification: 0x3849 (14409) // Поле идентификации -Flags: 0x02 (Don’t Fragment) // Отметьте поле -Fragment offset: 0 // Смещение сегмента -Time to live: 128 // Срок жизни TTL -Protocol: TCP (6) // Протокол верхнего уровня, инкапсулированный в этом пакете, — TCP -Header checksum: 0xd100 [validation disabled] // Контрольная сумма данных заголовка -[Header checksum status: Unverified] // Статус проверки данных головы -Source: 192.168.2.112 // Исходный IP-адрес -Destination: 116.211.
185.142 //IP-адрес получателя -[Source GeoIP: Unknown] // IP-адрес на основе местоположения -[Destination GeoIP: Unknown]
В-четвертых, информация заголовка сегмента данных TCP транспортного уровня.
Transmission Control Protocol, Src Port: 60606, Dst Port: 80, Seq: 0, Len: 0 -Source Port: 60606 // Номер порта источника (ecbe) -Destination Port: 80 // Номер порта назначения (0050) -[Stream index: 0] -[TCP Segment Len: 0] -Sequence number: 0 (relative sequence number) // Серийный номер (относительный серийный номер) (четыре байта fd 3e dd a2) -Acknowledgment number: 0 // Номер подтверждения (четыре байта 00 00 00 00) -Header Length: 32 bytes // Длина головы (0x80) -Flags: 0x002 (SYN) // Поле тега TCP -Window size value: 8192 // Размер окна управления потоком (20 00) -[Calculated window size: 8192] -Checksum: 0x97ad [unverified] // Контрольная сумма сегмента данных (97 объявлений) -[Checksum Status: Unverified] -Urgent pointer: 0 // Аварийный указатель (00 00) -Options: (12 bytes), Maximum segment size, No-Operation (NOP), Window scale, No-Operation (NOP), No-Operation (NOP), SACK permitted // Параметры (переменная длина
Пять, заголовок сегмента данных UDP
User Datagram Protocol, Src Port: 7273, Dst Port: 15030 -Source Port: 7273 // Исходный порт (1c 69) -Destination Port: 15030 // Порт назначения (3a 6b) -Length: 1410 // Длина (05 82) -Checksum: 0xd729 [unverified] // Контрольная сумма (d7 29) -[Checksum Status: Unverified] -[Stream index: 6335]
Источник: russianblogs.com