May 13th, 2012 
admin
ВЫПОЛНИТЬ!
39. Захватите сетевой трафик при обращении к стартовой странице сервера www.ethereal.com. Для отображения в буфере кадров с протоколом TCP примените соответствующее выражение фильтрации.
В буфере захвата у вас находятся кадры, принадлежащие обмену клиен- та с сервером по протоколу HTTP, но в рамках текущего упражнения при- кладной протокол нас не интересует, поэтому по аналогии с упражнением
№ 21 отключите анализ протокола HTTP. Фрагмент панелей со списком кад-
ров после отключения анализа протокола FTP показан на рис. 1.9:
Рис. 1.9. Отображение информации о протоколе TCP
Обратите внимание, что теперь по каждому захваченному кадру приво-
дится информация, касающаяся только протокола TCP. Например, для пакета
№ 4 (рис. 1.9) запись «1061> ftp» означает порты источника и назначения,
«[PSH, ACK]» — установленные биты флагов, «Seq=1» — последовательный номер, «Ack=1» — номер подтверждения, «Win=16560» — размер приемного окна, «Len=398» — размер пересылаемого блока данных.
Каждая TCP-сессия (причем при обращении к одной странице сессий может быть несколько!) начинается с обмена тремя TCP-сегментами с уста- новленными битами SYN, SYN-ACK и ACK. На рис. 1.9 можно видеть откры- тие трех сессий TCP (кадры с номерами 1, 2, 3; 9, 14, 15; 30, 31, 32 соответст- венно).
ВЫПОЛНИТЬ!
40. Определите количество сеансов TCP в буфере захваченных пакетов.
На рис. 1.9 также видно, что сеансы TCP начинаются с относительных последовательных номеров, равных нулю. Для того чтобы отобразить реаль- ные последовательные номера, выбранные узлами при взаимодействии, необ-
ходимо выполнить команду меню Edit ? Preferences, в появившемся диало-
говом окне (фрагмент диалогового окна см. на рис. 1.10) выбрать протокол
TCP и убрать маркер в строке параметра «Relative sequence numbers and win- dow scaling».
Рис. 1.10. Параметры анализа протокола TCP
ВЫПОЛНИТЬ!
41. Отобразите реальные последовательные номера в рамках сеансов TCP.
42. Проанализируйте третий кадр в рамках какого-либо сеанса TCP и ответьте на следующие вопросы:
a. Какие порты используются клиентом и сервером?
b. Какой начальный последовательный номер выбран клиентом?
c. Присутствует ли в этом кадре поле подтверждения, каково его значе-
ние?
d. Какая длина заголовка TCP, присутствуют ли данные в этом кадре?
e. Какой бит флагов установлен и для чего он служит?
f. Какие дополнительные опции TCP передаются клиентом в этом кад-
ре?
g. Сохраните кадр и выделите различным цветом поля заголовка TCP,
пояснив их назначение.
Немаловажная возможность программы Ethereal по анализу TCP трафи-
ка состоит в том, что с помощью команды меню Statistics ? Conversations
можно быстро определить все сеансы, имеющиеся в буфере. В диалоговом
окне для отображения сеансов TCP необходимо выбрать закладку TCP (рис.
1.11).
Рис. 1.11. Статистика по сеансам TCP
ВЫПОЛНИТЬ!
43. Отобразите статистику сеансов TCP.
44. Выберите первый сеанс и с помощью контекстного меню Apply as Filter ?
Selected ? A<—>B отобразите в буфере кадры, принадлежащие этому се-
ансу.
Для того чтобы быстро просмотреть передаваемые данные в рамках то-
го или иного сеанса, используют команду меню Analyze ? Follow TCP Stream.
После выполнения команды на экране появится диалоговое окно, в котором
разными цветами будут отображены как запросы клиента, так и ответы сер-
вера (рис. 1.12).
Рис. 1.12. Восстановленный сеанс TCP
Кнопка «Entire conversation» с раскрывающимся списком позволяет ото- бразить обе стороны, участвующие в обмене, или только одну из них. Диало- говое окно позволяет отобразить данные в различных форматах (ASCII, EBCDIC, Hex Dump, C Arrays, Raw) и сохранить их в файл. При обнаружении в сеансе кадров с каким-либо файлом можно отобразить лишь поток соответ- ствующего направления, выбрать необходимый формат и сохранить его на диск.
ВЫПОЛНИТЬ!
45. Определите, что передавалось в рамках захваченных вами сеансов TCP.
Источник: Андрончик А. Н., Богданов В. В., Домуховский Н. А., Коллеров А. С., Синадский Н. И., Хорьков Д. А., Щербаков М. Ю., Защита информации в компьютерных сетях. Практический курс
Опубликовано в рубрике