Phân Tích Gói Tin Bằng WIRESHARK (ICMP , IP,TCP,UDP,ARP ...

Trang chủ » Số Bytes Lớn Nhất Mà Payload » Phân Tích Gói Tin Bằng WIRESHARK (ICMP , IP,TCP,UDP,ARP ...

Có thể bạn quan tâm

Tải bản đầy đủ (.docx) (21 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật
Phân tích gói tin bằng WIRESHARK (ICMP , IP,TCP,UDP,ARP,ENTHERNET)

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.71 MB, 21 trang )

ĐẠI HỌC CÔNG NGHỆ THÔNG TIN- ĐẠI HỌC QUỐC GIA TP HCMLớp: IT005.F13.2(HT1)BÀI THỰC HÀNH: GIAO THỨC TCP VÀ UDP1.Tìm địa chỉ IP và TCP port của máy khách gửi file cho gaia.cs.umass.edu?-> IP:192.168.1.102TCP port : 11612.Tìm địa chỉ IP của gaia.cs.umass.edu? Kết nối TCP dùng để gửi và nhận cácsegments sử dụng port nào?-> IP: 128.119.254.12Destination Port: http 80 (80)3.TCP SYN segment sử dụng sequence number nào để khởi tạo kết nối TCPgiữa máy khách và gaia.cs.umass.edu? Thành phần nào trong segment cho ta biếtsegment đó là TCP SYN segment?-> sequence number : 0Số bit của SYN : 14.Tìm sequence number của SYNACK segment được gửi bởigaia.cs.umass.edu đến máy khách để trả lời cho SYN segment? Tìm giá trị củaAcknowledgement trong SYNACK segment? Làm sao gaia.cs.umass.edu có thểxác định giá trị đó? Thành phần nào trong segment cho ta biết segment đó làSYNACK segment?-> + sequence number của SYNACK segment được gửi bởi gaia.cs.umass.edu đếnmáy khách để trả lời cho SYN segment : 0+ giá trị của Acknowledgement trong SYNACK segment : 1+ Bit của trường SYN ACK : 15.Tìm sequence number của TCP segment có chứa lệnh HTTP POST?-> sequence number của TCP segment có chứa lệnh HTTP POST : 16.Giả thiết rằng TCP segment chứa lệnh HTTP POST là segment đầu tiên củakết nối TCP. Tìm sequence number của 6 segments đầu tiên (tính cả segment cóchứa HTTP POST)? Thời gian mà mỗi segment được gửi? Thời gian ACK cho mỗisegment được nhận? Đưa ra sự khác nhau giữa thời gian mà mỗi segment được gửivà thời gian ACK cho mỗi segment được nhận, tính RTT cho 6 segments? TínhEstimatedRTT sau khi nhận mỗi ACK? Giả sử EstimatedRTT bằng với RTT chosegment đầu tiên, sau đó tính EstimatedRTT với công thức trong giáo trình trang239 cho các segment tiếp theo.->SegmentSequenc Thời gian Thời gianRTT(s)esegmentACKnumber được gửi110.0264770.0539370.02746025660.0417370.0772940.035557320260.0540260.1240850.070059434860.0546900.1691180.11443549460.0774050.2172990.13989664060.0781570.2678020.18964EstimatedRTT = 0.875 * EstimatedRTT + 0.125 * SampleRTTEstimatedRTT segment 1:EstimatedRTT0.0274600.02850.03370.04380.05580.0725EstimatedRTT = RTT for Segment 1 = 0.02746 secondEstimatedRTT segment 2:EstimatedRTT = 0.875 * 0.02746 + 0.125 * 0.035557 = 0.0285EstimatedRTT segment 3:EstimatedRTT = 0.875 * 0.0285 + 0.125 * 0.070059 = 0.0337EstimatedRTT segment 4:EstimatedRTT = 0.875 * 0.0337+ 0.125 * 0.11443 = 0.0438EstimatedRTT segment 5:EstimatedRTT = 0.875 * 0.0438 + 0.125 * 0.13989 = 0.0558EstimatedRTT segment 6:EstimatedRTT = 0.875 * 0.0558 + 0.125 * 0.18964 = 0.07257.Tìm độ dài của 6 segment đầu tiên?-> + segment 1: 565 bytes+ segment 2->6 : 1460 bytes (MSS)8.Tìm lượng buffer còn trống nhỏ nhất mà bên nhận thông báo cho bên gửitrong suốt file trace?-> lượng buffer còn trống nhỏ nhất mà bên nhận thông báo cho bên gửi trong suốtfile trace : 5840 bytes9.Có segment nào được gửi lại hay không? Thông tin nào trong file trace chochúng ta biết điều đó?-> các segment có thể tái truyền đi trong file trace. Có thể kiểm tra là 1 số hiệuchuỗi được gửi đi 2 lần hoặc nhiều lần. Phần Info có thêm [TCP Retransmission]10. Lương dữ liệu mà bên nhận thường acknowledge trong một ACK? Xác địnhcác trường hợp mà bên nhận ACK cho mỗi segment được nhận (bảng 3.2 trongtrang 247 của giáo trình)->ACK seq number56620263486494664067866…Ack 1Ack 2Ack 3Ack 4Ack 5Ack6…ACK data56514601460146014601460…11. Thông lượng (throughput – byte/s) của kết nối TCP? Giải thích cách tínhthông lương.-> Lưu lượng trung bình của 1 kết nối :(0.75* Windown size)/ (RTT)Trong đó : windown size (byte)RTT (seconds)12. Sử dụng Time-Sequence-Graph để quan sát sequence number tương ứng vớithời gian segment được gửi. Xác định giai đoạn Slowstart bắt đầu và kết thúc, đâulà giai đoạn tránh tắc nghẽn (Congestion Avoidance)? Đưa ra nhận xét, so sánh vớihành vi của TCP đã học trong giáo trình.-> Bắt đầu giai đoạn Slowstart khi bắt đầu kết nối. Tức là khi POST HTTP phânmảnh được gửi ra ngoài . Không thể xác định được sự kết thúc của giai đoạnSlowstart. Do TCP này gửi dữ liệu không đủ mạnh để dẫn đến tình trạng tắc nghẽn-> khi TCP kết nối được giữa Sender và Reciever , nó có 1 giá trị duy nhất(windows size) nó cho biết kích thướt thông tin được gửi giữa Sender và Reciever13. Trả lời tương tự đối với file trace mà chúng ta có được trong trường hợpchúng ta tự upload file alice.txt14.Chọn một gói tin UDP, xác định các trường (field) trong UDP header?-> Các field tong UDP header: Source port, Destination port, Length, Checksum15. Qua thông tin hiển thị của Wireshark, xác định độ dài (tính theo byte) củamỗi trường trong UDP header?-> UDP gồm có 4 trường, kích thướt của mỗi trường:- Source port number: 2 bytes- Destination port : 2 bytes- Length : 2 bytes- Checksum: 2 bytes16.Giá trị của trường Length là độ dài của cái gì? Chứng minh?-> giá trị của trường Length là độ dài của toàn bộ datagram: header và data.17.Số bytes lớn nhất mà payload của UDP có thể chứa?-> với trường kích thướt 2 bytes. Kích thướt tối đa theo lý thuyết là 2^16 -1 =65535Cho phép 65535 – 8 = 65527 bytes18.Giá trị lớn nhất có thể có của port nguồn?-> là 2^16 -1 =6553519. Xác định protocol number của UDP (cả hệ 10 lẫn hệ 16)? Để trả lời câu hỏinày, chúng ta cần phải xem trường Protocol của IP header.-> 17 (hệ 10) , 0x11 (hệ 16)20. Kiểm tra một cặp gói tin gồm: gói tin do máy mình gửi và gói tin phản hồicủa gói tin đó. Miêu tả mối quan hệ về port number của 2 gói tin.-> Source port của gói tin gửi đi cũng là Destination port của gói tin phản hồi,ngược lại, Source port của gói tin phản hồi là Destination port của gói tin gửi đi.1/ Giao thức ICMP1.1/ICMP và Ping1.Cho biết địa chỉ IP của máy Host mà SV đang dùng? Địa chỉ IP củaHost đích?-> IP của máy Host mà SV đang dùng:192.168.1.101IP của Host đích 143.89.14.342.Tại sao một gói tin ICMP không có số cổng (port number) của Hostnguồn và đích?-> ICMP là giao thức lớp 3 trong khi port number lại được sử dụng ở lớp 43. Xem xét chi tiết một trong số các gói tin Ping Request được gửi bởi Host màSV đang dùng: Cho biết thông tin về ICMP Type và các Code Number củanó? Gói tin ICMP có các trường thông tin nào khác? Các trường thông tinChecksum, Sequence Number và định danh có bao nhiêu byte?->Type: 8Code : 0Checksum: 0xe45aIdentifier (BE): 512 (0x0200)Identifier (LE): 2 (0x0002)Sequence number (BE): 26369 (0x6701)Sequence number (LE): 359 (0x0167)*****Không có câu 4.1.2/ICMP và Traceroute5. Cho biết địa chỉ IP của máy tính đang sử dụng? Địa chỉ IP của Host đích?-> IP của máy tính đang sử dụng: 192.168.1.101Địa chỉ IP của Host đích :138.96.146.26. Nếu ICMP gửi các gói tin UDP (như trong Unix/Linux), số của giao thức IP(IP protocol number) vẫn là 01 có đúng không? Nếu không thì nó sẽ là gì?-> Nó không còn là 01 nữa. Nó là 177. Xem chi tiết gói tin ICMP Echo trong hình chụp màng hình đã thực hiện,nó có khác với các gói tin truy vấn ICMP Ping trong phần đầu của bài thựchành này hay không? Nếu có, hãy giải thích?-> không có gì khác biệt8. Xem chi tiết gói tin ICMP Error trong hình chụp màng hình đã thực hiện,nó có nhiều trường thông tin hơn gói tin ICMP Echo. Những trường thông tinnày bao gồm những gì?->Type: 11Code : 0Không có thuộc tính Identifier9. Xem chi tiết 3 gói tin ICMP cuối cùng nhận được ở Host nguồn. Những góitin này khác với các gói tin ICMP Error như thế nào? Tại sao chúng khácnhau?-> Đó là 3 gói tin TCMP reply10. Trong quá trình đo Tracert, có đường liên kết (link) nào mà có thời giantrễ dài hơn đáng kể so với các link khác hay không? Xem lại hình 4, có đườngliên kết link nào mà có thời gian trễ dài hơn đáng kể so với các link khác haykhông? Căn cứ vào các tên Router có thể đoán biết được vị trí của 2 Router ởđiểm kết thúc ở link này hay không?->Giữa link 9 và 10 có thời gian dài đáng kể hơn so với các link khác. Vị trí 2 routerở điểm kết thúc là Pastourelle, Pháp.2/ Giao thức IP1.Chọn gói tin ICMP Echo Request đầu tiên gửi bởi máy tính của chúngta, và mở phần nội dung của phần Internet Protocol của gói tin trongcửa sổ hiển thị chi tiết về gói tin. Địa chỉ IP của máy đang dùng là gì?-> Địa chỉ IP của máy đang dùng: 192.168.1.1022.Trong Header của gói tin IP, giá trị trong trường thông tin về giao thứclớp cao hơn là gì?-> Trường :ICMP3. IP Header có bao nhiêu byte? Trong Payload của gói tin IP có bao nhiêubyte? Giải thích.-> IP Header= total length- header length =36+ Trong Payload của gói tin IP có 0 byte vì flags = 0x004. Gói tin IP có bị phân mảnh không? Giải thích.-> Gói tin IP không bị phân mảnh . Vì flags=0 và offset =05. Các trường thông tin (field) nào trong gói tin IP luôn thay đổi từ một gói tinnày sang gói tin kế tiếp trong chuỗi các gói ICMP gửi bởi máy tính của chúngta?->+Identification+ Time to live+ Checksum6. Các trường thông tin nào là không đổi (hằng sô)? Các trường thông tin nàophải cố định không thay đổi? Các trường thông tin nào phải thay đổi? Tạisao?->Các trường thông tin không thay đổi:+ Version+ Header length+Flag+ Fragment offset+ Protocol+Sourece+DestinationChecksum phải thay đổi vì phụ thuộc vào Time to Live và ID7. Mô tả mẫu mà chúng ta thấy trong các giá trị trong trường thông tin vềđịnh danh của gói tin IP.-> có độ dài 16 bit8. Giá trị trong trường thông tin định danh và trường về TTL là gì?-> Identification: 0x32da (13018)TTL : 119. Có phải các giá trị này vẫn không thay đổi đối với tất cả các gói tin trả lờiICMP TTL-exceeded gửi đến máy tính của chúng ta bởi Router gần nhất? Tạisao?-> giá trị này vẫn không thay đổi đối với tất cả các gói tin trả lời ICMP TTLexceeded gửi đến máy tính của chúng ta bởi Router gần nhất vì giá trị TTL đối vớirouter là duy nhất. TTL phụ thuộc vào hệ điều hànhPhân mảnh (Fragmentation)10. Tìm gói tin ICMP EchoRequest được gửi bới máy tính của chúng ta saukhi thay đổi Packet Size trong Pingplotter thành 2000. Có phải gói tin đó đượcphân mảnh qua nhiều hơn một gói tin IP?-> gói tin bị phân mảnh.11. In ra phân mảnh đầu tiên của gói IP đã bị phân mảnh. Thông tin nàotrong IP Header chỉ ra rằng gói tin đã bị phân mảnh? Thông tin nào trong IPHeader chỉ ra rằng liệu đây có phải là phân mảnh đầu tiên hay là các phânmảnh sau? Gói tin IP này dài bao nhiêu?-> Trường flags cho ta biết gói tin bị phân mảnh.+ Fragment offst=0 . cho ta biết đây là phân mảnh đầu tiên+ gói tin này daì 1500 bytes12. In ra phân mảnh thứ hai của gói tin IP đã bị phân mảnh. Thông tin nàotrong IP Header chỉ ra rằng nó không phải là phân mảnh đầu tiên? Có cácphân mảnh nào khác nữa không?-> Fragment offset= 1480 cho chúng ta biết nó không phải phân mảnh đầu tiênKhông có phân mảnh nào khác vì Flags =0x0013. Những trường thông tin nào thay đổi trong IP Header giữa phân mảnhđầu tiên và thứ hai?-> Những trường thông tin thay đổi:+ Total length+ flags+Fragment offset+ ChecksumBây giờ hãy tìm gói tin ICMP Echo Request đầu tiên được gửi bởi máy tính củachúng ta sau khi chúng ta thay đổi kích thước gói tin trong Pingplotter thành 3500.14. Có bao nhiêu phân mảnh được tạo ra từ gói tin gốc?->Có 3. Dựa vào fragment offset =015. Những trường thông tin nào thay đổi trong IP Header giữa các phânmảnh?-> + Total length+ flags+Fragment offset+ Checksum1/ Bắt và phân tích Ethernet frame1. Địa chỉ Ethernet 48 bit của máy tính chúng ta?Địa chỉ Ethernet 48 bit của máy tính chúng: 00:d0:59:a9:3d:682. Địa chỉ đích (Ethernet 48 bit) trong Ethernet frame? Đó có phải là địa chỉ củagaia.cs.umass.edu hay không (Gợi ý: là không). Địa chỉ đó là của thiết bị nào? (trang 468469 trong giáo trình) Địa chỉ đích (Ethernet 48 bit) trong Ethernet frame: 00:06:25:da:af:73Đây không phải là địa chỉ của gaia.cs.umass.edu mà là địa chi của router Linksys vì gói tin phảiđược chuyển đến router của mạng con trước khi router này chuyển tiếp gói tin.3. Giá trị hệ 16 của trường Frame type (2 byte). Giao thức tầng trên tương ứng là gì? Giá trị hệ 16 của trường Frame type (2 byte): 0x08004. Tính từ ký tự “G” (GET) trong frame đến hết frame có bao nhiêu byte? Có 54 byte tính từ đầu đến nơi xuất hiện ký tự “G” (GET) trong frame. 14 byte đầu của EthernetFrame,20 byte IP Header , 20 byte TCP Header trước khi bắt đầu của HTTPTrả lời các câu hỏi bên dưới dựa vào nội dung của thông điệp đầu tiên phản hồi cho thông điệp HTTPGET5. Địa chỉ nguồn trong Ethernet frame? Có phải là địa chỉ của máy tính chúng ta hay củagaia.cs.umass.edu? (Gợi ý: là không). Địa chỉ đó của thiết bị nào? Địa chỉ gốc trong Ethernet frame: 00:06:25:da:af:73Đây không phải là nguồn trong Ethernet frame hay địa chỉ của gaia.cs.umass.edu mà là địa chicủa router Linksys6. Địa chỉ đích của Ethernet frame? Có phải đó là địa chỉ của máy tính chúng ta hay không? Địa chỉ đích của Ethernet frame: 00:d0:59:a9:3d:68 và là địa chỉ của máy tính chúng ta7. Giá trị hệ 16 của trường Frame type (2 byte). Giao thức tầng trên tương ứng là gì? Giá trị hệ 16 của trường Frame type (2 byte): 0x08008. Tính từ ký tự “O” (OK) trong frame đến hết frame có bao nhiêu byte? Có 54 byte tính từ đầu đến nơi xuất hiện ký tự “O” (OK) trong frame. 14 byte đầu của EthernetFrame,20 byte IP Header , 20 byte TCP Header trước khi bắt đầu của HTTP2/ARP2.1/ARP caching9. Viết nội dung của ARP cache trong máy tính của chúng ta. Giải thích ý nghĩa của từng dòngtrong ARP cache? Cache ARP bao gồm có : địa chỉ IP ở cột Internet Address. Địa chỉ MAC ở cột Physical Address ,cột Type là kiểu giao thức2.2/Quan sát hành vi của ARP10. Giá trị hệ 16 của địa chỉ nguồn và đích trong thông điệp ARP request? Giá trị hệ 16 của địa chỉ nguồn: 00:d0:59:a9:3d:68Giá trị hệ 16 của địa chỉ đích: ff:ff:ff:ff:ff:ff là địa chỉ quảng bá11. Giá trị hệ 16 của trường Frame type (2 byte). Giao thức tầng trên tương ứng là gì? Giá trị hệ 16 của trường Frame type (2 byte) : 0x0806 . Giao thức ARP12. Download bản miêu tả ARP từ . Một bảnmiêu tả chi tiết khác dễ theo dõi hơn />a. Tính từ trương opcode , một gói tin ARP dài bao nhiêu byte?Một gói tin ARP dài : 20 byteb. Giá trị của trường opcode trong phần payload của ARP request? Giá trị của trường opcode trong phần payload của ARP request : 00 01c. Thông điệp ARP có chứa địa chỉ IP của bên gửi không? Có . Thông điệp ARP có chứa địa chỉ IP của bên gửi: 192.168.1.105d. Tìm trong phần payload của ARP: Câu hỏi mà ARP request yêu cầu – Tìm địa chỉ Ethernettương ứng với địa chỉ IP đã cho? Khi trường “ Target Mac address” được thiết lập thành 00:00:00:00:00:00 thì đã yêu cầu địa chỉtương ướng với địa chỉ IP 192.169.1.113. Tìm thông điệp ARP reply trả lời cho thông điệp ARP requesta. Tính từ trương opcode , một gói tin ARP dài bao nhiêu byte? Tính từ trương opcode , một gói tin ARP dài 20 byteb. Giá trị của trường opcode trong phần payload của ARP request Giá trị của trường opcode trong phần payload của ARP request : 00 02c. Tìm trong phần payload của ARP: Câu trả lời cho ARP request tương ứng – Địa chỉEthernet tương ứng với địa chỉ IP đã yêu cầu? Thông điệp trả lời cho yêu cầu ARP trước xuất hiện ở “Sender MAC address” giá trị của nó là00:06:25:da:af:73 tương ướng với IP address 192.168.1.114. Giá trị hệ 16 của địa chỉ nguồn và đích trong thông điệp ARP reply? Giá trị hệ 16 của địa chỉ nguồn trong thông điệp ARP reply : 00:06:25:da:af:73Giá trị hệ 16 của địa chỉ đích trong thông điệp ARP reply :00:d0:59:a9:3d:6815. Mở file ethernet-ethereal-trace-1 đã được cung cấp trong thư mục wireshark-traces. 2 góitin đầu là ARP request và ARP reply tương ứng. Tuy nhiên, gói tin thứ 6 là một ARPrequest khác , tại sao không có gói tin ARP reply trả lời cho gói tin ARP request này? Vì các yêu cầu ARP được quảng bá nhưng phản hồi ARP thì gửi trực tiếp đến máy tính có địa chỉEthernet đã gửi yêu cầu , do vậy máy tính chúng ta không phải là máy tính đã gửi yêu cầu ARPnên không nhận được phản hồi ARP mà chỉ nhận được yêu cầu ARP quảng bá

Tài liệu liên quan

  • Phân tích dữ liệu bằng phần mềm SPSS 12 0 phần 2 Phân tích dữ liệu bằng phần mềm SPSS 12 0 phần 2
    • 13
    • 864
    • 2
  • Phân tích dữ liệu bằng phần mềm SPSS 12.0 phần 4 Phân tích dữ liệu bằng phần mềm SPSS 12.0 phần 4
    • 11
    • 526
    • 2
  • Tài liệu Phân tích dữ liệu bằng phần mềm SPSS ppt Tài liệu Phân tích dữ liệu bằng phần mềm SPSS ppt
    • 11
    • 937
    • 4
  • Tài liệu Phân tích dữ liệu bằng phần mềm SPSS 12.0 phần 2 ppt Tài liệu Phân tích dữ liệu bằng phần mềm SPSS 12.0 phần 2 ppt
    • 13
    • 627
    • 1
  • Tài liệu Phân tích dữ liệu bằng phần mềm SPSS 12.0 phần 1 doc Tài liệu Phân tích dữ liệu bằng phần mềm SPSS 12.0 phần 1 doc
    • 19
    • 870
    • 4
  • Tài liệu Minitab-phân tích thống kê bằng phần mềm minitab ppt Tài liệu Minitab-phân tích thống kê bằng phần mềm minitab ppt
    • 155
    • 1
    • 47
  • Tài liệu Phân tích dữ liệu bằng SPSS - Phần 1 ppt Tài liệu Phân tích dữ liệu bằng SPSS - Phần 1 ppt
    • 18
    • 690
    • 13
  • Sử dụng Wireshark để bắt và phân tích gói tin. Sử dụng Wireshark để bắt và phân tích gói tin.
    • 15
    • 9
    • 291
  • PHÂN TÍCH GÓI TIN VỚI WIRESHARK PHÂN TÍCH GÓI TIN VỚI WIRESHARK
    • 43
    • 1
    • 31
  • Sử dụng Wireshark để phân tích gói dữ liệu trong hệ thống mạng ppt Sử dụng Wireshark để phân tích gói dữ liệu trong hệ thống mạng ppt
    • 14
    • 856
    • 9

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

(2.23 MB - 21 trang) - Phân tích gói tin bằng WIRESHARK (ICMP , IP,TCP,UDP,ARP,ENTHERNET) Tải bản đầy đủ ngay ×

Từ khóa » Số Bytes Lớn Nhất Mà Payload