1. Захватите сетевой трафик при обращении к стартовой странице сервера www.google.com.
Для отображения в буфере кадров с протоколом TCP примените соответствующее выражение фильтрации.
В буфере захвата у вас находятся кадры, принадлежащие обмену клиента с сервером по протоколу HTTP, но в рамках текущего упражнения прикладной протокол нас не интересует, поэтому отключите анализ протокола HTTP, ARP.
Рис. 1. Отображение информации о протоколе TCP
Каждая TCP-сессия (причем при обращении к одной странице сессий может быть несколько) начинается с обмена тремя TCP-сегментами с установленными битами SYN, SYN-ACK и ACK. На рис. 1 можно видеть открытие трех сессий TCP (кадры с номерами 1, 2, 3; 9, 14, 15; 30, 31, 32 соответственно).
2. Определите количество сеансов TCP в буфере захваченных пакетов.
На рис. 1 также видно, что сеансы TCP начинаются с относительных последовательных номеров, равных нулю. Для того чтобы отобразить реальные последовательные номера, выбранные узлами при взаимодействии, необходимо выполнить команду меню Edit -> Preferences, в появившемся диалоговом окне (фрагмент диалогового окна см. на рис. 2) выбрать протокол TCP и убрать маркер в строке параметра «Relative sequence numbers and window scaling».
|
|
Рис. 2. Параметры анализа протокола TCP
- Отобразите реальные последовательные номера в рамках сеансов TCP.
- Проанализируйте третий кадр в рамках какого-либо сеанса TCP и ответьте на следующие вопросы:
- Какие порты используются клиентом и сервером?
- Какой начальный последовательный номер выбран клиентом?
- Присутствует ли в этом кадре поле подтверждения, каково его значение?
- Какая длина заголовка TCP, присутствуют ли данные в этом кадре?
- Какой бит флагов установлен и для чего он служит?
- Какие дополнительные опции TCP передаются клиентом в этом кадре?
- Сохраните кадр и выделите различным цветом поля заголовка TCP, пояснив их назначение.
Немаловажная возможность программы Wireshark по анализу TCP трафика состоит в том, что с помощью команды меню Statistics -> Conversations можно быстро определить все сеансы, имеющиеся в буфере. В диалоговом окне для отображения сеансов TCP необходимо выбрать закладку TCP (рис. 3).
Рис. 3. Статистика по сеансам TCP
- Отобразите статистику сеансов TCP.
- Выберите первый сеанс и с помощью контекстного меню Apply as Filter -> Selected -> A<—>B отобразите в буфере кадры, принадлежащие этому сеансу.
Для того чтобы быстро просмотреть передаваемые данные в рамках того или иного сеанса, используют команду меню Analyze -> Follow TCP Stream. После выполнения команды на экране появится диалоговое окно, в котором разными цветами будут отображены как запросы клиента, так и ответы сервера.
|
|
Кнопка «Entire conversation» с раскрывающимся списком позволяет отобразить обе стороны, участвующие в обмене, или только одну из них.
Определите, что передавалось в рамках захваченных вами сеансов TCP.
В отчете привести:
- схему рабочего места с проставленными IP-адресами всех задействованных интерфейсов устройств,
- анализ третьего кадра сеанса TCP и ответы на вопросы пункта 4,
- окно статистики по TCP,
- результат выполнения пункта 7,
- выводы.