Анализ протокола TCP

ВЫПОЛНИТЬ!

39. Захватите сетевой трафик при обращении к стартовой странице  сервера www.ethereal.com. Для отображения в буфере кадров с  протоколом TCP примените соответствующее выражение фильтрации.

В буфере захвата у вас находятся кадры, принадлежащие обмену клиен- та с сервером по протоколу HTTP, но в рамках текущего упражнения при- кладной протокол нас не интересует, поэтому по аналогии с упражнением

№ 21 отключите анализ протокола HTTP. Фрагмент панелей со списком кад-

ров после отключения анализа протокола FTP показан на рис. 1.9:

Рис. 1.9. Отображение информации о протоколе TCP

Обратите внимание, что теперь по каждому захваченному кадру приво-

дится информация, касающаяся только протокола TCP. Например, для пакета

№ 4 (рис. 1.9) запись «1061> ftp» означает порты источника и назначения,

«[PSH, ACK]» — установленные биты флагов, «Seq=1» — последовательный номер, «Ack=1» — номер подтверждения, «Win=16560» — размер приемного окна, «Len=398» — размер пересылаемого блока данных.

Каждая TCP-сессия (причем при обращении к одной странице сессий может быть несколько!) начинается с обмена тремя TCP-сегментами с уста- новленными битами SYN, SYN-ACK и ACK. На рис. 1.9 можно видеть откры- тие трех сессий TCP (кадры с номерами 1, 2, 3; 9, 14, 15; 30, 31, 32 соответст- венно).

ВЫПОЛНИТЬ!

40. Определите количество сеансов TCP в буфере захваченных пакетов.

На рис. 1.9 также видно, что сеансы TCP начинаются с относительных последовательных номеров, равных нулю. Для того чтобы отобразить реаль- ные последовательные номера, выбранные узлами при взаимодействии, необ-

ходимо выполнить команду меню Edit ? Preferences, в появившемся диало-

говом окне (фрагмент диалогового окна см. на рис. 1.10) выбрать протокол

TCP и убрать маркер в строке параметра «Relative sequence numbers and win- dow scaling».

Рис. 1.10. Параметры анализа протокола TCP

ВЫПОЛНИТЬ!

41. Отобразите реальные последовательные номера в рамках сеансов TCP.

42. Проанализируйте третий кадр в рамках какого-либо сеанса TCP и ответьте на следующие вопросы:

a.  Какие порты используются клиентом и сервером?

b.  Какой начальный последовательный номер выбран клиентом?

c.  Присутствует ли в этом кадре поле подтверждения, каково его значе-

ние?

d.  Какая длина заголовка TCP, присутствуют ли данные в этом кадре?

e.  Какой бит флагов установлен и для чего он служит?

f.  Какие дополнительные опции TCP передаются клиентом в этом кад-

ре?

g.  Сохраните кадр и выделите различным цветом поля заголовка TCP,

пояснив их назначение.

Немаловажная возможность программы Ethereal по анализу TCP трафи-

ка состоит в том, что с помощью команды меню Statistics ? Conversations

можно быстро определить все сеансы, имеющиеся в буфере. В диалоговом

окне для отображения сеансов TCP необходимо выбрать закладку TCP (рис.

1.11).

Рис. 1.11. Статистика по сеансам TCP

ВЫПОЛНИТЬ!

43. Отобразите статистику сеансов TCP.

44. Выберите первый сеанс и с помощью контекстного меню Apply as Filter ?

Selected ? A<—>B отобразите в буфере кадры, принадлежащие этому се-

ансу.

Для того чтобы быстро просмотреть передаваемые данные в рамках то-

го или иного сеанса, используют команду меню Analyze ? Follow TCP Stream.

После выполнения команды на экране появится диалоговое окно, в котором

разными цветами будут отображены как запросы клиента,  так и ответы сер-

вера (рис. 1.12).

Рис. 1.12. Восстановленный сеанс TCP

Кнопка «Entire conversation» с раскрывающимся списком позволяет ото- бразить обе стороны, участвующие в обмене, или только одну из них. Диало- говое  окно  позволяет  отобразить  данные  в  различных  форматах  (ASCII, EBCDIC, Hex Dump, C Arrays, Raw) и сохранить их в файл. При обнаружении в сеансе кадров с каким-либо файлом можно отобразить лишь поток соответ- ствующего направления, выбрать необходимый формат и сохранить его на диск.

ВЫПОЛНИТЬ!

45. Определите, что передавалось в рамках захваченных вами сеансов TCP.

Источник: Андрончик А. Н., Богданов В. В., Домуховский Н. А., Коллеров А. С., Синадский Н. И., Хорьков Д. А., Щербаков М. Ю., Защита информации в компьютерных сетях. Практический курс

Похожие посты:

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий